Premièrement, le gendarme de la vie privée déclare si que les deux sociétés recueillent effectivement un consentement auprès de leurs utilisateurs, ce consentement n’est « ni spécifique ni suffisamment éclairé » s’agissant des données de consommation à l’heure ou à la demi-heure. En effet, le Règlement général sur la protection des données (RGPD) impose de recueillir un consentement dit « spécifique », c’est-à-dire distinct pour chaque objectif poursuivi par la collecte des données.

Or, la Cnil a constaté qu’EDF et Engie recueillent le consentement par le biais d’une seule et unique case à cocher pour deux opérations distinctes : l’affichage dans l’espace clients des consommations quotidiennes et l’affichage des consommations à la demi-heure. S’agissant uniquement d’EDF, elle a constaté que le fait de cocher la case entraînait une troisième opération : la fourniture de conseils personnalisés pour réduire la consommation d’énergie du foyer. 

« Un tel consentement global est contraire aux exigences du RGPD« , conclut la Cnil. Concrètement, cela signifie qu’un usager devrait pouvoir activer la collecte des index journaliers par son fournisseurs sans devoir accepter en plus d’activer celle de la courbe de charge ou d’être « démarché pour des conseils personnalisés« .

Par ailleurs, le texte européen exige un consentement « éclairé » c’est-à-dire suffisamment informé. Or, s’agissant d’EDF, la Cnil a constaté que la rédaction de la mention accompagnant la case à cocher « j’accepte » est « particulièrement susceptible d’induire l’abonné en erreur sur la portée de son engagement ». La société fait référence à la « consommation d’électricité quotidienne (toutes les 30 minutes » et présente donc les données quotidiennes et à la demi-heure comme étant équivalentes. La Cnil note que ces dernières sont plus « révélatrices des habitudes de vie des personnes » que les données quotidiennes. Du côté d’Engie, la Cnil a remarqué qu’aucune information « suffisamment précise » n’était donné avant de recueillir le consentement de l’utilisation pour lui permettre de comprendre la différence entre « la collecte de l’index quotidien » et « la collecte de la courbe de change« . 

La Cnil exige que ces mises en demeure soient rendues publiques compte tenu de « la nature des manquements et du nombre de personnes concernées et des caractéristiques des traitements en cause« . EDF et Engie ont désormais trois mois pour se conformer aux prescriptions du RGDP sous peine d’être sanctionné par une amende.