Linky : le consentement des utilisateurs est insuffisant pour collecter autant de données
Les compteurs Linky collectent beaucoup trop de données personnelles sans correctement demander le consentement des utilisateurs, et les conservent ensuite trop longtemps : la CNIL vient de mettre en demeure EDF et Engie de se conformer au Règlement Général européen de Protection des Données (RGPD).
La CNIL vient de mettre en demeure EDF et Engie de mieux se conformer au RGPD dans la manière dont ces acteurs collectent des données via les compteurs intelligents Linky. “Les données de consommation fines peuvent révéler des informations sur la vie privée (heures de lever et de coucher, périodes d’absence, éventuellement le nombre de personnes présentes dans le logement). Il est donc essentiel que les clients puissent garder la maîtrise de leurs données”, note la CNIL dans un communiqué.
Selon la CNIL, la collecte de données fines comme la courbe de charge peut trahir des comportements identifiables. La CNIL note que si le code de l'énergie autorise ErDF à collecter des données journalières, la collecte automatique et permanente de données plus fines doit obligatoirement passer par un consentement explicite de l'utilisateur final.
Or la Cnil explique avoir constaté à l'issue de contrôles que “EDF et ENGIE sont dans une trajectoire globale de mise en conformité” – sans l'être vraiment encore. La CNIL explique : “ces deux sociétés ont désigné un délégué à la protection des données et tiennent à jour un registre des traitements”.
EDF et Engie ont été mis en demeure de mieux respecter le consentement
Par ailleurs, la CNIL relève que ces sociétés “mettent également en œuvre des procédures afin de permettre aux personnes concernées d’exercer l’ensemble de leurs droits Informatique et Libertés (accès, opposition, effacement, etc…), notamment à l’égard de leurs données de consommation énergétique” ainsi que “des modalités de recueil du consentement des personnes préalablement à la collecte de leurs données de consommation et ont défini des politiques de durée de conservation”.
Mais la CNIL constate pourtant des manquements sur ces deux derniers points : “la CNIL a constaté que si les sociétés EDF et ENGIE recueillent effectivement un consentement auprès de leurs utilisateurs, ce consentement n’est ni spécifique ni suffisamment éclairé s’agissant des données de consommation à l’heure ou à la demi-heure”, explique l'autorité.
Et d'ajouter que “si les sociétés EDF et ENGIE ont globalement défini des durées de conservation, les vérifications de la CNIL ont notamment révélé que ces durées de conservation sont parfois trop longues au regard des finalités pour lesquelles les données sont traitées”.
EDF et Engie n'ont pas tardé à réagir. EDF explique sur Twitter : “EDF s’engage à apporter les corrections demandées par la CNIL. La protection des données personnelles de nos clients est une priorité. Nous les utilisons exclusivement pour leur délivrer les services auxquels ils ont souscrit. En aucun cas nous ne transmettons leurs données“.
Lire également : Linky – vous pouvez refuser l'installation du compteur connecté
De son côté, Engie explique, toujours sur Twitter : “ENGIE est respectueuse de la protection des données personnelles et de la vie privée de ses clients. Les données de consommation collectées avec leur consentement sont utilisées pour les services qu'ils souscrivent. ENGIE ne revend aucune donnée client à des tiers”.
Source : CNIL