A l'issue de contrôles effectués au sein des deux sociétés, le gendarme français des données personnelles a relevé deux "manquements" concernant le recueil du consentement "ni spécifique ni suffisamment éclairé" et la durée de conservation "excessive" des données de consommation et donne trois mois au deux entreprises pour revenir dans les clous.
"EDF et Engie recueillent effectivement un consentement auprès de leurs utilisateurs, ce consentement n’est ni spécifique ni suffisamment éclairé s’agissant des données de consommation à l’heure ou à la demi-heure", écrit la Cnil dans un communiqué.
S'agissant d’EDF, "la rédaction de la mention accompagnant la case à cocher 'j’accepte' est particulièrement susceptible d’induire l’abonné en erreur sur la portée de son engagement", estime-t-elle. Concernant Engie, "aucune information suffisamment précise" n'est donnée avant de recueillir le consentement pour "permettre à l’utilisateur de comprendre la différence de portée" entre la collecte des données de consommation journalière et des données de consommation fines à l’heure ou la demi-heure.
L'autre "manquement" relevé par la commission concerne les durées de conservation "parfois trop longues au regard des finalités pour lesquelles les données sont traitées", conservation "excessive" "en violation" selon la Cnil du règlement général sur la protection des données (RGPD).
(Marine Pennetier, édité par Bertrand Boucey)
