VIDÉO - Numérique / Nouvelles technologies
RGPD : EDF et ENGIE mises en demeure par la CNIL
La CNIL a mis en demeure les sociétés EDF et ENGIE pour deux manquements au RGPD. D’une part, pour non-respect de certaines exigences relatives au recueil du consentement des données de consommation. D’autre part, pour une durée de conservation excessive des données de consommation.
En effet, les données de consommation collectées par ces entreprises peuvent révéler des informations sur la vie privée. Il s’agira notamment de l’heure de lever et de coucher, de période d’absence, etc. On parle de données de consommation fines. Il est donc essentiel que les clients puissent garder la maîtrise de leurs données.
Afin d’aider les professionnels, la CNIL a publié en 2012 une recommandation précisant les conditions de collecte des données de consommations fines. En 2014, elle a également adopté un pack de conformité. Ce pack indique les bonnes pratiques à respecter pour protéger la vie privée des consommateurs. Les règles applicables à la collecte des données de consommation fines diffèrent selon la précision de la donnée et le rôle du responsable de traitement.
Mais dans tous les cas, le responsable de traitement doit recueillir l’accord préalable de l’utilisateur. Or, après avoir organisé des contrôles au sein des deux sociétés, la CNIL a relevé une insuffisance de conformité et constaté deux manquements.
Quels sont les manquements constatés ?
D’une part, le consentement recueilli n’est ni spécifique, ni suffisamment éclairé. Le consentement spécifique impose de recueillir un consentement distinct pour chaque objectif poursuivi par la collecte de données. Le consentement éclairé suppose, quant à lui, une information suffisante de l’internaute. Or la CNIL a relevé qu’aucune information précise n’était donnée à l’utilisateur afin qu’il comprenne la portée de son engagement. Elle a estimé que cela était susceptible de l’induire en erreur.
D’autre part, si les deux sociétés ont bien défini des durées de conservation, la CNIL les a jugé trop longues au regard des finalités du traitement.
Ces manquements au RGPD ont conduit la CNIL à mettre en demeure ENGIE et EDF de se conformer au RGPD dans un délai de 3 mois. Elle a également obligé les entreprises à rendre ces mises en demeure publique afin que les consommateurs soient informés. Si les sociétés se conforment au RGPD dans le délai imparti, les procédures seront classées sans suite. Dans le cas contraire, la CNIL pourra saisir sa formation restreinte, chargée de sanctionner les manquements au RGPD. Elle pourra prononcer une sanction.
Découvrir aussi dans cette catégorie