La Commission Nationale Informatique et Liberté vient d’adresser une mise en demeure à EDF et ENGIE, relative au non-respect d’exigences relatives au recueil du consentement (pour la collecte des données issues des compteurs communicants LINKY), ainsi que pour une durée de conservation excessive des données de consommation.
C’est l’occasion de rappeler l’importance de ces concepts clés de la conformité au Règlement Générale sur la Protection des Données.
Le consentement
Le consentement n’est pas la seule base légale permettant de traiter des données.
Comme l’énonce l’article 6 du RGPD, un traitement peut être effectué par exemple dans le cadre de l’exécution d’un contrat, ou du fait d’une obligation légale.
Mais dès lors qu’un consentement est recueilli, il doit correspondre à la définition donnée à l’article 4 du RGPD: « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».
Il est donc nécessaire de vérifier que le consentement ne soit pas obtenu dans un contexte contraignant, général et confus, comme c’est bien souvent le cas dans les documents contractuels.
La durée de conservation
Le RGPD impose un principe fort: les données ne peuvent être conservée sans limite de durée.
La donnée traitée doit respecter une « cycle de vie » découpé en 3 phases.
La « base active » correspond à l’utilisation courante des données. Sa durée est déterminée par la finalité du traitement.
Puis l’« archivage intermédiaire » répond à des obligations légales ou des délais de prescriptions applicables. Cet archivage doit être concrétisé par une séparation physique ou logique vis-à-vis de la base active, et se voir appliqué des conditions d’accès plus restrictives.
A l’issue du délais d’archivage déterminé, les données doivent être supprimées ou anonymisées.
Enfin, l’« archivage définitif », géré par les services d’archive territorialement compétent, peut être justifié si les données présentent un intérêt public ou historique.
Les pratiques constatées dans de nombreuses entreprises vont à l’encontre de ces principes, mais ce n’est pas une fatalité : s’il est parfois ardu de voir clair dans les textes applicables, un expert peut vous aider à fixer clairement et de manière transparente les conditions de recueil du consentement et de durée de conservation.