Compteurs LINKY : La CNIL voulait nous rassurer. Voilà, c’est fait !

Cela partait d’un bon sentiment.

La CNIL (Commission Nationale de l’Informatique et des Libertés) avait estimé, voilà bientôt 10 ans, que les compteurs LINKY (1) pouvaient porter atteinte à la vie privée des gens. Pour accompagner les professionnels (en réalité pour qu’ils ne fassent pas n’importe quoi avec nos données) elle avait publié en 2012 une recommandation destinée aux fournisseurs d’électricité EDF et ENGIE (groupes industriels français dont l’État est le principal actionnaire) sans citer les autres (il y en a 37 !).

Cette recommandation précisait les conditions de collecte de la « Courbe des charges » expression recouvrant les consommations finies à l’heure ou à la demi-heure. La CNIL a aussi mis en place en 2014 un « Pack de conformité » dit « Compteurs communicants » détaillant les règles à respecter par les gestionnaires de réseau de distribution et les 2 fournisseurs cités plus haut. Parmi ces règles, l’accord des usagers pour la collecte quotidienne des données et leur accord également pour communiquer ces données à des sociétés tierces.

Les règles n’ont pas été respectées.

Notamment au regard du fameux RGPD de l’UE (Règlement Général sur la Protection des Données) entré en vigueur le 27 avril 2016 qui, depuis qu’il a été adopté, vous demande régulièrement d’ « Accepter » quand vous consultez la plupart des sites européens. La CNIL a donc adressé une mise en demeure à EDF et ENGIE le 11/02/20 qui portait sur :

  • Le consentement de l’usager qu’elle considérait comme n’étant pas spécifique. En d’autres termes l’ « Accepter » était trop global (une seule case à cocher) et manquait donc de précisions. Il eut fallu que, pour chaque type d’objectif visé par la collecte des données, le consentement ait été précisé par autant de cases à cocher que nécessaire. En résumé, la case à cocher unique proposée par les fournisseurs leur donnait tous les droits. Et particulièrement celui d’opérer à des relevés quotidien à l’heure ou à la demi-heure sans votre avis.
  • La durée de conservation des données jugée trop longue au regard des finalités pour lesquelles elles étaient traitées. EDF conservait les données quotidiennes et à (l’heure et à la demi-heure) 5 ans après la résiliation des contrats alors que l’historique des clients doit leur rester accessible que pendant 3 ans. De plus, rien n’était précisé concernant l’archivage définitif de ces données. ENGIE conservait bien 3 ans les données pour les laisser à ses clients mais archivait pendant 8 ans !

Note de JDPS : aucune remarque n’ayant été formulée concernant la communication des données à des sociétés tierces dans la mise en demeure en question, on peut penser que le nécessaire avait été fait dans ce domaine. 🙂

Restait donc aux fournisseurs à se mettre en conformité dans les délais impartis par la CNIL (délais repoussés à cause du COVID-19). A défaut, des sanctions étaient prévues par ladite mise en demeure.

Bonne nouvelle, la mise en demeure est désormais close depuis le 15 février 2021.

La CNIL a estimé effectivement avoir reçu des éléments « démontrant que les manquements constatés ont cessé« .

  • EDF aurait mis en ligne un nouveau parcours de consentement dont il ressort clairement que le client peut « consentir au souci de sa consommation quotidienne » et non plus à la demi-heure. 
  • Pour ENGIE la procédure serait toujours en cours.

Enseignements à tirer de cette affaire qui est passée au-dessus des têtes de la plupart des Français :

  • Si vous estimez que votre vie privée doit être préservée, allez voir rapidement sur le site de votre fournisseur d’électricité le nouveau parcours de consentement et… cochez les bonnes cases.
  • Il n’est pas du tout sûr qu’à l’avenir ces bonnes mesures coercitives de la CNIL soient scrupuleusement respectées par les fournisseurs d’électricité. Une modification de présentation du site et hop, le tour est joué ! La CNIL fera-t-elle de nouveaux contrôles ultérieurement ? Rien n’est moins sûr. Pourtant les sanctions prévues sont lourdes en cas de non respect du RGPD.
  • Antérieurement, et pendant la mise en demeure de la CNIL, les fournisseurs continuant d’enregistrer nos habitudes de consommation, rien ne dit qu’ils n’ont pas conservé nos données et que cela leur suffit désormais pour mieux nous connaître. Les nouvelles mesures risquent donc de n’être utiles et rassurantes qu’aux futurs clients qui seront équipés du nouveau compteurs Linky. En janvier 2020, 22 millions étaient installés sur 35 millions, l’objectif final.

Remarque sur le RGPD en général : il est supposé garantir aux usagers la protection de leurs données personnelles. J’ai bien peur qu’il ne s’agisse en vérité d’une formule apaisante pour rassurer les gens. En effet, sur la plupart des sites le « J’accepte » est susceptible d’induire des actions que la plupart des gens ignorent car, rares sont les utilisateurs (pressés) qui demandent à personnaliser la gestion de leurs données avant de visiter le site qui les intéresse.

(1) Les compteurs communicants Linky ont été développés par ENEDIS anciennement ERDF.

Photos : Internet – https://mon-dpo-externe.com – https://dailygeekshow.com – https://www.verlingue.fr/