COMPTEURS LINKY ET LA CNIL

Pour faire supprimer un contenu qui bafoue vos droits, utilisez le service mis en place par le cabinet Murielle-Isabelle CAHEN.

/Juillet 2020 /

Depuis le 25 mai 2018 tous les acteurs du numérique, mais aussi et plus largement pour toutes les entreprises, doivent être en conformité au nouveau grand texte européen en matière de données personnelles.

Le règlement général sur la protection des données (« RGPD », ou « GDPR » en anglais), à cette échéance, sera applicable dans tous les États membres de l’Union européenne. Et s’il est des notions essentielles au sein du texte, c’est bien celle du consentement.

En effet, le législateur a pu considérer que, compte tenu de l’importance grandissante des interactions numériques entre les personnes, la gestion des données en découlant devait être encadrée précisément, et que la question du consentement constitue effectivement le « cœur névralgique » de ce contrôle : « le consentement fait figure d’élément-clé de la conformité des traitements mis en œuvre puisqu’il s’agit du meilleur moyen pour que les personnes puissent contrôler les activités de traitement portant sur leurs données ».

Besoin de l'aide d'un avocat pour un problème de données personelles  ?

Téléphonez - nous au : 01 43 37 75 63

ou contactez - nous en cliquant sur le lien

Le compteur Linky est un compteur électrique intelligent déployé par Enedis chez les particuliers en France afin de connaître la consommation des usagers en temps réel et de réaliser des économies d’énergie.

Ce compteur suscite craintes et polémiques notamment en ce qui concerne la protection des données personnelles. Plusieurs actions en justice contre Enedis ont été menées par les consommateurs suite à la violation de leurs données à caractère personnel par ce compteur Linky. C’est dans cette optique que la CNIL a mis en demeure EDF et ENGIE.

La Commission nationale de l’informatique et des libertés reproche aux fournisseurs d’énergie d’avoir collecté des données à caractère personnel sans avoir obtenu un consentement spécifique et suffisamment éclairé des abonnés Linky. Engie et EDF sont également épinglés pour avoir appliqué des durées de conservation excessives.

Une délégation de la Commission nationale de l’informatique et des libertés (CNIL) a procédé a des missions de contrôle sur place, aux sièges sociaux des sociétés anonymes Électricité de France (EDF) et Engie pour vérifier la conformité des traitements mis en œuvre aux dispositions du règlement 2016/679 du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données (RGPD).

Deux manquements aux règles du RGPD ont été constatés dans le cadre de l’exploitation des compteurs Linky. Ils concernent l’obligation de disposer d’une base légale (le consentement) et l’obligation de définir une durée de conservation de ces données proportionnée à la finalité du traitement.

La CNIL a mis en demeure les sociétés de se conformer au droit en vigueur par deux délibérations du 30 décembre 2019, rendues publiques le 11 février 2020 principalement pour deux raisons : le nombre d’utilisateurs concernés, 35 millions de compteurs seront installés d’ici 2021, et l’impact des informations communiquées sur la vie privée (révélation des heures de lever et de coucher, des périodes d’absences, du nombre de personnes présentes dans le logement). Véritables cas d’école, ces décisions opèrent une mise au point sur les modalités à respecter pour obtenir le consentement préalable des personnes concernées et sur la notion de durée de conservation.

 

I) Un consentement non spécifique et insuffisamment éclairé

Une des particularités des compteurs communicants est de permettre aux fournisseurs d’énergie de collecter des données de consommation quotidiennes et fines, en l’espèce à la demi-heure, à la condition, rappelle la CNIL, d’avoir obtenu l’accord préalable de l’abonné (1). Aux termes de l’article 4.11 du RGPD, ce consentement est valable lorsqu’il a été donné de manière libre, spécifique, éclairée et univoque (2). À défaut, il ne peut pas servir de base légale au traitement au sens de l’article 6.1, a, du règlement (3).

Le caractère spécifique implique que « la personne concernée doit être en mesure de donner son consentement de façon indépendante et distincte pour chaque finalité poursuivie », précise la Commission (RGPD, consid. 43 ; G29, Lignes directrices WP 259 rev.01, 28 nov. 2017, révisées le 10 avr. 2018, p. 11).

Elle ajoute que le caractère éclairé oblige à informer « la personne concernée de certains éléments cruciaux pour opérer un choix [tels que] […] (ii) la finalité de chacune des opérations de traitement pour lesquelles le consentement est sollicité (iii) les [types de] données collectées et utilisées » (WP 259 préc., p. 15).

Pour la CNIL, le consentement de l’utilisateur du compteur Linky n’est pas spécifique puisqu’il active globalement la collecte de ses données de consommation quotidienne et à la demi-heure par le biais d’une seule case à cocher, et ce pour deux (Engie) ou trois (EDF) finalités différentes, à savoir l’affichage dans l’espace client des consommations quotidiennes, l’affichage dans cet espace des consommations à la demi-heure et l’obtention de conseils personnalisés.

La Commission estime également que le consentement du client n’est pas éclairé. Dans sa délibération MED 2019-35 relative à EDF, elle critique la rédaction de la mention accompagnant la case à cocher qui fait référence à « la consommation d’électricité quotidienne (toutes les 30 minutes) ». Cette formulation risque d’induire l’abonné en erreur sur la portée de son engagement.

Les deux informations « sont présentées comme étant équivalentes, alors que les données à la demi-heure sont plus révélatrices des habitudes de vie des personnes que les données quotidiennes ». Pour Engie, le grief n’est pas explicitement formulé dans la délibération MED 2019-36, on le retrouve dans le communiqué de l’autorité de contrôle. Elle reproche au fournisseur de ne donner aucune « information suffisamment précise […] avant de recueillir le consentement, pour permettre à l’utilisateur de comprendre la différence de portée entre la collecte de “l’index quotidien” (données de consommation journalière) et la collecte de la “courbe de charge” (données de consommation fines à l’heure ou la demi-heure) ».

II) Des durées de conservation excessives

Selon l’article 5.1, e, du RGPD, les données à caractère personnel doivent être conservées pendant une durée qui n’excède pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (4).

En optant pour une conservation de cinq ans après la fin du contrat pour toutes les données de consommation, quotidiennes et à la demi-heure, en base active sans effectuer d’archivage intermédiaire, EDF a méconnu ce principe de proportionnalité. Pour la CNIL, les obligations de facturation (5) et de mise à disposition de l’historique de consommation dans l’espace client (6) excluent la fixation d’une durée de conservation aussi longue.

De même, en choisissant de conserver trois ans à l’issue de la résiliation du contrat les données relatives aux consommations mensuelles avant de les archiver, Engie a méconnu les règles susvisées. Cette durée n’est justifiée ni par un impératif de prospection commerciale ni par la nécessité de mettre à disposition les données dans l’espace client après la résiliation du contrat dans la mesure où le fournisseur a limité cette obligation à un an.

 

III) La mise en demeure

Pour corriger ces manquements, l’autorité enjoint aux sociétés de mettre en place de nouvelles procédures de recueil du consentement, par exemple sous forme d’une case à cocher par opération de traitement.

Les modifications devront s’appliquer aux clients dont les données de consommation ont déjà été enregistrées. À défaut, il conviendra de supprimer ces dernières. La CNIL exige aussi des sociétés qu’elles revoient leurs politiques de durée de conservation et qu’elles purgent, au besoin, les données non conformes aux nouvelles règles.

Les sociétés Engie et EDF ont trois mois pour se mettre en conformité à compter de la notification de la mise en demeure et éviter ainsi le prononcé de l’une des sanctions prévues par l’article 20 de la loi du 6 janvier 1978 modifiée. Nul doute qu’elles le feront, car, dans le cas contraire, elles risquent de se voir infliger une amende administrative pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent.

Pour lire cet article sur linky et la Cnil, en version mobile, cliquez sur le lien

ARTICLES QUI POURRAIENT VOUS INTÉRESSER :

SOURCES :

retour à la rubrique 'Autres articles'

Cet article a été rédigé pour offrir des informations utiles, des conseils juridiques pour une utilisation personnelle, ou professionnelle.

Il est mis à jour régulièrement, dans la mesure du possible, les lois évoluant régulièrement. Le cabinet ne peut donc être responsable de toute péremption ou de toute erreur juridique dans les articles du site.

Mais chaque cas est unique. Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, vous pouvez nous téléphoner au 01 43 37 75 63.
| Conditions d'utilisation du site: IDDN | | Contacts | Plan d'accès | English version |
| C G V | Sommaire | Plan | recherche | Internet | Vie des sociétés | Vie quotidienne | Services en ligne | Votre question? |
Nous joindre - Tel : 0143377563
En poursuivant votre navigation sur notre site, vous acceptez le dépôt de cookies qui nous permettront de vous proposer des contenus intéressants, des fonctions de partage vers les réseaux sociaux et d'effectuer des statistiques. Voir notre politique de gestion données personnelles.
Partager
Suivre: Facebook Avocat Paris Linkedin Avocat Paris Tumblr Avocat Paris Twitter Avocat Paris Google+ Avocat Paris App.net portage salarial RSS Valide!
Retour en haut