Compteurs Linky : quatre questions sur la mise en demeure d'Engie et d'EDF par la Cnil sur leur gestion des données

Le gendarme français de la protection des données a annoncé mardi avoir mis en demeure les groupes d'énergie EDF et Engie pour leur gestion des informations récoltées avec les compteurs Linky.

La Cnil pointe deux manquements dans la gestion des données du compteur Linky.
La Cnil pointe deux manquements dans la gestion des données du compteur Linky. (GARO / PHANIE / AFP)

C'est un rappel à l'ordre qui ne manquera pas de nourrir l'opposition aux compteurs Linky. La Commission nationale de l'informatique et des libertés (Cnil) a mis en demeure, mardi 11 février, EDF et Engie pour non-respect de certaines exigences dans l'utilisation et la conservation des données récoltées par ces compteurs intelligents"Les données de consommation fines peuvent révéler des informations sur la vie privée (...). Il est donc essentiel que les clients puissent garder la maîtrise de leurs données", note la Cnil dans son communiqué. Elle signale tout de même que les deux entreprises sont "dans une trajectoire globale de mise en conformité".

Franceinfo fait le point sur cette décision et sur ses conséquences.

1Que reproche la Cnil aux deux entreprises ?

La Cnil articule sa mise en demeure autour de "deux manquements" : un consentement "ni spécifique, ni suffisamment éclairé" pour la collecte de certaines données ainsi qu'une "durée de conservation excessive" de ces informations.

Le problème du consentement. Lorsque le compteur Linky est installé chez un client, il est invité à donner un "consentement global" pour l'affichage dans l'espace client des consommations quotidiennes et des consommations à la demi-heure, une démarche contraire aux exigences du Règlement général sur la protection des données (RGPD). "Un usager peut souhaiter consulter l'historique de ses consommations à la journée, sans pour autant vouloir transmettre à son fournisseur des données 'à la demi-heure', bien plus précises sur sa vie privée", estime la Cnil. 

La Cnil estime également que les deux entreprises ne permettent pas à leurs clients de donner leur consentement de manière éclairée. EDF "présente les données quotidiennes et à la demi-heure comme étant équivalentes, alors que ces dernières sont plus révélatrices des habitudes de vie des personnes que les données quotidiennes". Engie ne donne "aucune information suffisamment précise" qui permettrait "à l'utilisateur de comprendre la différence de portée entre la collecte de 'l'index quotidien' (données de consommation journalière) et la collecte de la 'courbe de charge' (données de consommation fines à l'heure ou la demi-heure)".

La conservation des données. La Cnil estime que les "durées de conservation sont parfois trop longues au regard des finalités pour lesquelles les données sont traitées". EDF conserve ainsi les durées de consommation à la demi-heure cinq ans après la résiliation du contrat. Engie sauvegarde, elle, les données de consommation mensuelle pendant une durée de huit ans en archivage intermédiaire.

2Quelles sont les conséquences de cette décision ?

Après cette mise en demeure, Engie et EDF ont désormais trois mois pour se mettre en conformité. "Aucune suite ne sera donnée à ces procédures si les sociétés se conforment au RGPD dans le délai imparti", rappelle la Cnil. Dans le cas contraire, la Cnil pourra prendre une sanction financière contre les deux fournisseurs d'énergie. "Avec le RGPD, le montant des sanctions pécuniaires peut s'élever jusqu'à 20 millions d'euros ou, dans le cas d'une entreprise, jusqu'à 4% du chiffre d'affaires annuel mondial", indique l'organisme sur son site.

3Pourquoi cette mise en demeure est-elle publique ?

La Cnil ne rend pas toujours publiques ses mises en demeure. Mais cette fois-ci, elle a décidé de le faire "compte tenu de la nature des manquements, du nombre de personnes concernées et des caractéristiques des traitements en cause". La Commission y voit également un moyen de "sensibiliser les clients quant aux droits dont ils disposent". "Il est essentiel que les clients puissent garder la maîtrise des données de consommation fines, qui peuvent révéler des informations sur leur vie privée (heures de lever et de coucher, périodes d'absence, éventuellement le nombre de personnes présentes dans le logement)", estime la Cnil.

4Comment EDF et Engie réagissent-ils ?

Les deux entreprises visées n'ont pas tardé à réagir. "EDF prend acte de la mise en demeure de la Cnil et s'engage à mettre en place les corrections nécessaires, conformément aux demandes adressées par la Cnil", indique l'électricien, tout en précisant qu'"en aucun cas EDF ne transmet ou revend les données de consommation à des entreprises ou organisations tierces"

Engie assure de son côté avoir pris les devants : "La Cnil considère qu'il est obligatoire de collecter le consentement du client pour lui mettre à disposition ses consommations à la journée ou à la demi-heure. Cela a été fait via une 'case à cocher' permettant au client de donner son accord s'il souhaite avoir accès à son suivi de consommations détaillées dans son Espace Client Engie (...) Depuis décembre 2019, Engie a déjà fait évoluer son offre et ne propose plus qu'un service reposant sur les seules données de consommation à la journée et non sur les données de consommation à la demi-heure. Dès lors, nous informerons la Cnil de ces nouveaux éléments", écrit l'entreprise dans un communiqué. Elle s'engage "à mettre à jour ses règles au sein d’une politique de conservation des données".