La Cnil, gendarme français de la protection des données, a annoncé mardi avoir mis en demeure les groupes d'énergie EDF et Engie, leur donnant trois mois pour mettre en conformité la manière dont ils gèrent la collecte des informations personnelles des consommateurs par les compteurs communicants Linky. Les deux groupes sont mis en demeure "en raison du non-respect de certaines des exigences relatives au recueil du consentement à la collecte des données de consommation issues des compteurs communicants Linky, ainsi que pour une durée de conservation excessive des données de consommation", précise le communiqué de la Commission nationale informatique et libertés (Cnil).
EDF et Engie "recueillent effectivement un consentement auprès de leurs utilisateurs" mais il "n'est ni spécifique ni suffisamment éclairé", estime le gendarme français des données personnelles, qui a mené une série de contrôles chez ces entreprises pour s'assurer de la conformité de leurs pratiques.
EDF et Engie sont dans "une trajectoire globale de mise en conformité", reconnaît la Cnil
Si les deux groupes français "ont globalement défini des durées de conservation" des données, les vérifications ont révélé qu'elles sont "parfois trop longues au regard des finalités" pour lesquelles les données sont conservées, relève également la Cnil.
EDF et Engie sont toutefois dans "une trajectoire globale de mise en conformité", estime le gendarme des données personnelles, qui leur a donné trois mois pour rectifier les deux manquements. Les données de consommation relevées par les compteurs intelligents Linky peuvent donner des informations sur la vie privée des occupants du logement, telles que les heures de lever et de coucher, les périodes d'absence ou encore le nombre de personnes présentes. "Il est donc essentiel que les clients puissent garder la maîtrise de leurs données", souligne la Cnil.
Ces données peuvent être collectées seulement après avoir obtenu le consentement des personnes concernées. Ce consentement doit être "libre, spécifique, éclairé et univoque", conformément au Règlement général sur la protection des données (RGPD) entré en vigueur en mai 2018.