Absence de recueil d’un consentement spécifique : mise en demeure d’EDF et d’ENGIE par la CNIL

Dans deux délibérations en date du 31 décembre 2019, la CNIL a mis en demeure EDF et ENGIE de se conformer avec le RGPD concernant les modalités de recueil du consentement et les durées de conservation dans le cadre des données personnelles collectées via les compteurs communicants LINKY.  

Les fournisseurs d’énergie, que sont EDF et ENGIE, ne peuvent collecter les données de consommation fines de leurs usagers, c’est-à-dire journalières, à l’heure et/ou à la demi-heure, que sous réserve du recueil d’un consentement libre, spécifique, éclairé et univoque.

Dans ces délibérations, la CNIL a rappelé que le recueil du consentement est un exercice difficile qui ne doit pas être pris à la légère, puisqu’elle a pu considérer que :

• L’affichage dans l’espace client des consommations quotidiennes et l’affichage dans l’espace client des consommations à la demi-heure constituent deux finalités distinctes ;
• Et qu’en conséquence, le recueil d’un consentement via une seule case à cocher pour la collecte tant des données de consommation journalière que de celles à la demi-heure ne respectait pas le principe de spécificité du consentement.

La CNIL est également venue souligner le fait que des données personnelles ne devaient pas être conservées sans une finalité déterminée :

• Par exemple, la conservation des données de consommation mensuelle pendant trois ans à l’issue de la résiliation du contrat n’est pas justifiée puisque ces données ne servent pas à la prospection commerciale ;
• De même pour les données de consommation quotidienne et à la demi-heure qui sont conservées pendant cinq ans à l’issue de la résiliation du contrat alors qu’elles ne sont pas nécessaires à la facturation de l’électricité consommée.

La CNIL a donc mis en demeure EDF et à ENGIE de se conformer au RGPD sur ces différents points.

Ces deux délibérations invitent les responsables du traitement à plus de transparence concernant les traitements mis en œuvre et notamment à :

• Ne pas se contenter d’une seule case à cocher pour recueillir le consentement et à expliciter les différents traitements mis en œuvre ;
• Justifier pour chaque catégorie de données personnelles d’une raison précise et déterminée pour leur conservation.