Les compteurs communicants Linky, déployés sur le territoire depuis la fin de l’année 2015, sont en capacité de collecter les données de consommation d’électricité toutes les heures ou demi-heures. À partir de celles-ci, il est aisé de déduire des informations privées comme le nombre de personnes qui habitent dans un logement, à quelle heure elles se lèvent ou se couchent. En raison de la sensibilité de ces données et du nombre de personnes concernées (23,4 millions de compteurs Linky installés en France à la fin de l’année 2019), la Commission nationale de l’informatique et des libertés (Cnil) a mis en demeure, le 11 février 2020, deux fournisseurs d’électricité, EDF et ENGIE, pour non-respect de certaines conditions dans le recueil du consentement de leurs clients relatifs à la communication de ces données.
En effet, le règlement européen sur la protection des données (RGPD) dispose que le consentement doit être spécifique, c’est-à-dire qu’à une demande correspond une seule finalité, et éclairé (suffisamment explicite pour que l’utilisateur comprenne bien à quoi il consent ou non). Or, pour le gendarme français de la protection des données, si les deux fournisseurs d’électricité sont « dans une trajectoire globale de mise en conformité », le recueil du consentement auprès de leurs utilisateurs ne satisfait pas à ces caractéristiques. EDF et ENGIE n’utilisent qu’une seule case « j’accepte » pour deux opérations, à savoir l’affichage dans l’espace client des consommations à la journée et à la demi-heure. De plus, les formulations peuvent prêter à confusion. Par exemple, chez EDF, il est mentionné « consommation d’électricité quotidienne (toutes les 30 minutes) ». La Cnil estime que les deux types de données sont présentées comme étant équivalentes alors que des relèves à la demi-heure « sont plus révélatrices des habitudes de vie des personnes que les données quotidiennes ». Par ailleurs, la Cnil reproche aux deux fournisseurs « une durée de conservation excessive des données de consommation » au regard des finalités pour lesquelles elles sont collectées. EDF conserve les données des utilisateurs cinq ans après la résiliation de leur contrat, tandis qu’ENGIE les garde trois ans en base active et huit ans en archivage.
Comme le rappelle la Cnil, « une mise en demeure n’est pas une sanction ». Les deux fournisseurs d’électricité ont trois mois pour se mettre en conformité avec les exigences du RGPD, avant d’être effectivement sanctionnés. En mars 2018, c’était un autre fournisseur, Direct Energie, qui avait été mis en demeure pour une absence de demande de consentement sur les données issues du compteur communicant Linky. La société s’était conformée aux demandes de la Cnil, ce qui avait entraîné la clôture de la procédure au mois d’octobre 2018.
