Lille / Paris / Nice

EDF et ENGIE mises en demeure par la CNIL pour l’utilisation de données des compteurs connectés LINKY

Les sociétés EDF et ENGIE ont été mises en demeure par la CNIL le 31 décembre 2019 pour différents manquements relatifs à l’utilisation des données émanant des compteurs connectés LINKY. Ces mises en demeure ont été rendues publiques par la CNIL et publiées sur Legifrance le 11 février 2020.

LINKY : l’ère de la consommation électrique connectée

Le compteur LINKY permet de transmettre des données de consommation et de recevoir des instructions à distance. Ce nouveau compteur connecté, déployé progressivement en France auprès de 35 millions de foyers permet la collecte de données de consommation bien plus précises qu’auparavant. Il permet en effet la collecte de données d’électricité à la demi-heure.

Ces données peuvent révéler des informations très précises sur le mode de vie et la vie privée des ménages concernés. Les courbes de charge (données de consommation à la demi-heure) peuvent en effet permettre de déterminer les habitudes de vie d’un foyer (les heures de lever et de coucher, les périodes d’absence, le nombre de personnes présentes dans le logement, etc.).

Les données de consommation quotidienne collectées par les compteurs sont transmises à ENEDIS, société chargée de gérer le réseau d’électricité en France quel que soit le fournisseur d’électricité (EDF, TOTAL DIRECT ENERGIE, LECLERC ELECTRICITÉ, etc.). ENEDIS ne collecte pas les données de consommation fines (horaires et/ou à la demi-heure) de manière automatique.

Pour la compréhension de cet article, il convient de bien appréhender la distinction existante entre le gestionnaire du réseau de distribution (ENEDIS) et les fournisseurs d’électricité.

ENEDIS est par la suite chargée de transmettre aux fournisseurs d’électricité les données de consommation mensuelle des foyers afin de leur permettre d’établir leur facturation auprès de leurs clients.

Or, comme énoncé précédemment, les compteurs connectés permettent la collecte de données de consommation bien plus précises, à la journée, à l’heure et même à la demi-heure. Il est donc très tentant pour les fournisseurs d’électricité d’avoir accès à ce niveau de détail des consommations de leurs clients, pour toutes sortes de finalités (prospection commerciale, la fourniture de “conseils personnalisés” visant à réduire la consommation d’énergie du foyer, etc.).


Une collecte de données fondée sur un consentement irrégulier

Les fournisseurs d’énergie, tels qu’EDF et ENGIE ne peuvent collecter les consommations quotidiennes et horaires et/ou à la demi-heure qu’avec le consentement de l’abonné.

Ce principe n’est pas nouveau dans la mesure où de nombreux travaux avaient été menés par la CNIL, en concertation avec les acteurs du domaine de l’énergie, lors du projet de déploiement des premiers compteurs connectés. Ces travaux avaient notamment donné lieu à :

Pour que le consentement au traitement des données de consommation fines soit valable, il doit être obtenu dans le respect des dispositions du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, interprétées à la lumière des lignes directives WP259rev0.1 de l’EDPB (European Data Protection Board). A cet égard, le consentement doit notamment revêtir les caractéristiques suivantes :

  • être libre ;
  • revêtir un caractère spécifique ;
  • être éclairé ;
  • être univoque ;
  • être démontrable par le responsable de traitement.

Est reproché à EDF et ENGIE de ne pas avoir récolté un consentement éclairé et spécifique.

Sur l’absence de consentement spécifique

Pour obtenir l’accès aux données de consommation quotidienne et à la demi-heure de leurs clients, les sociétés EDF et ENGIE récoltaient un consentement par le biais d’une seule case à cocher. Une fois ce consentement unique obtenu, les deux sociétés utilisaient les données de consommation pour différentes finalités :

Finalités / FournisseursAffichage dans l’espace client des consommations quotidiennesAffichage dans l’espace client des consommations à la 1/2 heureEnvoi de “conseils personnalisés”
ENGIEXX
EDFXXX

Pour l’autorité de protection des données française, le consentement récolté ne revêtait pas un caractère spécifique dans la mesure où les personnes concernées n’étaient pas en mesure de fournir un consentement de façon indépendante et distincte pour chaque finalité poursuivie. Un usager ne pouvait ainsi pas consulter l’historique de ses consommations à la journée, sans également transmettre au fournisseur ses données de consommation à la demi-heure.

Pour étayer son raisonnement, la CNIL se fonde notamment sur le considérant 43 du RGPD disposant :

(…) le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d’espèce (…).

Sur l’absence de consentement éclairé

Le cas EDF est sans aucun doute l’exemple le plus parlant en la matière. La CNIL relève que la mention accompagnant la case à cocher permettant la récolte d’un “consentement” unique pour les 3 finalités susmentionnées était rédigée de manière ambiguë. Elle faisait en effet référence “à la consommation d’électricité quotidienne (toutes les 30 min)“.

Pour l’autorité française, “les données quotidiennes et à la demi-heure sont présentées comme étant équivalentes, alors que les données à la demi-heure sont plus révélatrices des habitudes de vie des personnes que les données quotidiennes“. Cette rédaction est “particulièrement susceptible d’induire l’abonné en erreur sur la portée de son engagement“.


Des durées de conservation non-proportionnées

La CNIL reproche à EDF et ENGIE de conserver les données de consommation de leurs clients pendant une durée excédant celle nécessaire au regard des finalités pour lesquelles elles sont traitées.

Notons que les deux distributeurs avaient opté pour la mise en oeuvre de durées de conservation des données bien distinctes :

Durée de conservation / Fournisseurs En base active En archivage intermédiaire
ENGIE3 ans à l’issue de la résiliation du contrat (incluant les consommations mensuelles mais pas celles quotidiennes et à la demi-heure ) 8 ans à l’issue de la résiliation du contrat (incluant les consommations mensuelles mais pas celles quotidiennes et à la demi-heure )
EDF5 ans après la résiliation du contrat (incluant les consommations quotidiennes et à la demi-heure)N/A

Aux fins d’argumenter sa position, la CNIL prend notamment en compte :

Le fournisseur d’électricité ou de gaz naturel facture, au moins une fois par an, en fonction de l’énergie consommée. Aucune consommation d’électricité ou de gaz naturel antérieure de plus de quatorze mois au dernier relevé ou autorelevé ne peut être facturée, sauf en cas de défaut d’accès au compteur, d’absence de transmission par le consommateur d’un index relatif à sa consommation réelle, après un courrier adressé au client par le gestionnaire de réseau par lettre recommandée avec demande d’avis de réception, ou de fraude.


DIRECT ENERGIE avait déjà fait l’objet d’une mise en demeure pour des faits similaires

Les mises en demeure des sociétés EDF et ENGIE interviennent presque deux ans après la mise en demeure du fournisseur d’électricité DIRECT ENERGIE pour des faits similaires.

Dans sa Décision MED n° 2018- 007 du 5 mars 2018, la CNIL reprochait notamment au fournisseur :

  • la collecte des données de consommation quotidienne sans l’obtention du consentement des usagers ;
  • la collecte trompeuse du consentement des usagers de leurs données de consommation à la demi-heure. DIRECT ENERGIE demandait simultanément à ses clients leur accord pour la mise en service du compteur LINKY et la collecte des données de consommation horaire. Pour la CNIL, cette situation générait une situation dans laquelle ” le client donne son accord à la collecte des données dans un contexte où il pense également donner son accord à l’activation du compteur Linky, alors que le consentement à la collecte de la courbe de charge est en fait décorrélé de l’activation du compteur”.

La CNIL avait finalement clôturé sa mise en demeure en octobre 2018 sans sanctionner le fournisseur.


EDF et ENGIE ont 3 mois pour se mettre en conformité

Les fournisseurs d’électricité EDF et ENGIE disposent d’un délai de 3 mois pour se conformer aux réglementations sur la protection des données personnelle, et notamment pour :

  • recueillir un consentement libre, spécifique, éclairé et univoque préalablement à la collecte des données de consommation quotidiennes et à la demi-heure de ses clients, y compris de ceux dont les données sont déjà enregistrées ;
  • définir et mettre en œuvre une politique de durée de conservation des données qui n’excède pas la durée nécessaire aux finalités pour lesquelles ces données sont collectées et, au besoin, purger les données non conformes à cette politique de durée de conservation ;
  • justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti.

Sources