Nouveau rebondissement dans le dossier Linky. Ce 10 février 2020, une décision de la Commission nationale de l'informatique et des libertés (Cnil) parue au Journal Officiel au sujet de ces compteurs communicants controversés indique que, le 31 décembre dernier, l'autorité administrative a mis en demeure les énergéticiens EDF et Engie pour non-respect de certaines exigences relatives au consentement de la collecte des données de consommation, ainsi qu'à la conservation de ces dernières.

Un consommateur pas suffisamment informé

Après avoir effectué des contrôles chez EDF et Engie afin de vérifier leur conformité au Règlement général sur la protection des données (RGPD), la Cnil a observé des manquements quant à la politique mise en place pour la collecte et la conservation des données. L'autorité rappelle que le RGPD impose aux entreprise d'obtenir "un consentement spécifique" à chaque aspect de la collecte ; "or il a été constaté que EDF et Engie recueillent par le biais d'une seule et unique case à cocher le consentement pour deux opérations clairement distinctes". La décision de la Cnil porte également sur la notion de consentement "éclairé". Sur ce point, l'autorité s'est aperçue, chez EDF, "que la rédaction de la mention accompagnant la case à cocher 'j'accepte' est particulièrement susceptible d'induire l'abonné en erreur sur la portée de son engagement". Le même reproche est formulé à l'encontre d'Engie, la Cnil estimant que "ce consentement n'est ni spécifique ni éclairé".

Des données conservées trop longtemps

L'autre grief porte donc sur la durée de conservation des données de consommation, jugées dans certains cas trop longues au vu des finalités pour lesquelles elles sont traitées. "S'agissant d'EDF, la société conserve [...] les consommations quotidiennes et à la demi-heure cinq ans après la résiliation du contrat", note la Cnil. Pour l'autorité, rien ne justifie qu'elles soient conservées pendant cinq ans après la fin du contrat. "S'agissant d'Engie, les contrôles ont révélé que la société conserve les données de consommation mensuelles de ses clients à l'issue de la résiliation de leur contrat pendant une durée de trois ans en base active, puis pendant une durée de huit ans en archivage intermédiaire (base contenant les données ayant encore un intérêt administratif, par exemple en cas de contentieux)", poursuit l'autorité. Là encore, aucune raison valable ne peut légitimer cette démarche. Si les coordonnées des clients peuvent être sauvegardées "en base active" pendant trois ans suite à la résiliation du contrat pour permettre à la société de faire de la prospection commerciale, les données de consommation, pour leur part, n'ont rien à voir avec cet objectif.

Une décision qui peut impacter 35 millions de Linky

La présidente de la Cnil, Marie-Laure Denis, a donc estimé que la conservation de ces différentes données par les sociétés était excessive, en violation de l'article 5, paragraphe 1, e), du RGPD". EDF et Engie disposent donc chacune d'un délai de trois mois à compter du 31 décembre 2019 pour se mettre en conformité. La Cnil a pris la décision "de rendre publiques ces mises en demeure compte tenu de la nature des manquements, du nombre de personnes concernées et des caractéristiques des traitements en cause". Mais pour l'autorité publique, "la publicité de la mise en demeure apparaît également nécessaire afin de sensibiliser les clients quant aux droits dont ils disposent", ajoutant "qu'il est essentiel que les clients puissent garder la maîtrise des données de consommation fines, qui peuvent révéler des informations sur leur vie privée (heures de lever et de coucher, périodes d'absence, éventuellement le nombre de personnes présentes dans le logement)". Et d'insister sur le fait que "la quantité de clients concernés est particulièrement élevée puisque 35 millions de compteurs communicants Linky doivent être installés d'ici 2021". De quoi alimenter encore les débats houleux autour du déploiement de cette technologie.