Une nouvelle génération de compteurs d’électricité et de gaz est en cours d’installation sur l’ensemble du territoire et a pour objet de permettre de collecter des données plus détaillées sur la consommation énergétique des clients. Tel est notamment le cas du compteur communiquant d’électricité Linky, installé par le gestionnaire du réseau de distribution ENEDIS.
Bien que les données de consommation collectées soient globales pour l’ensemble du foyer et non détaillées pour chaque appareil utilisé (télévision, four, appareils électroménagers), il existe cependant une différence entre la collecte des données de consommation journalière, laquelle répond aux exigences du Code de l’énergie, et la collecte de données de consommation plus fines, soit horaires, soit à la demi-heure, lesquelles ne peuvent être collectées qu’avec l’accord de l’usager, ou lorsqu’elles sont strictement nécessaires à l’accomplissement des missions de service public auxquelles doit répondre le gestionnaire du réseau.
La CNIL s’avère particulièrement vigilante quant aux conditions de mise en œuvre des traitements liés aux compteurs communicants, puisqu’il s’avère que les données collectées peuvent révéler de nombreuses informations relatives à la vie privée des personnes : heure de levée et de coucher, périodes d’absence, ou nombre d’occupants du logement.
Ce faisant, les gestionnaires de réseau d’énergie doivent respecter la Loi informatique et libertés du 6 janvier 1978 et, demain, le règlement général sur la protection des données du 14 avril 2016.
La Présidente de la CNIL a donc décidé en octobre 2016 et février 2018 de diligenter des contrôles auprès de la société DIRECT ENERGIE afin de s’assurer de la conformité de ce dispositif à la Loi informatique et libertés.
S’agissant des données de consommation à la demi-heure, la délégation observe que la société DIRECT ENERGIE demande à ses clients leur accord simultanément sur les deux points suivants :
– la mise en service du compteur Linky,
– la collecte des données de consommation horaire, présentée comme inséparable de l’activation du compteur et comme permettant aux clients de bénéficier d’une facturation plus précise.
Or, l’installation d’un compteur Linky répond à une obligation légale de modernisation des réseaux et sa mise en service ne dépend pas de la société DIRECT ENERGIE, de sorte que le client a l’impression erronée qu’il choisit d’activer le compteur, alors qu’il ne consent en réalité qu’à la collecte de ses données de consommation.
Surtout, cette collecte ne s’avère aucunement la conséquence nécessaire de l’activation du compteur et la finalité de facturation « au plus juste » n’est pas non plus exacte, puisque la société DIRECT ENERGIE ne propose pas d’offre basée sur la consommation horaire.
Enfin, la cadence précise de la remontée des données de consommation par demi-heure n’est pas indiquée aux clients.
Concernant les données relatives aux consommations quotidiennes, la CNIL observe que s’il existe une information des personnes quant à la collecte de leurs données de consommation quotidienne lorsqu’ils signent avec la société DIRECT ENERGIE, le consentement exprès des futurs clients n’est recueilli, ni lors de la souscription en ligne, ni lors de la conclusion du contrat.
Faute de recueillir le consentement des personnes concernées, encore faudrait-il que le traitement des données litigieux ait une base légale au sens de l’article 7 de la Loi Informatique et libertés. Or, il apparaît que la collecte des données relatives à la consommation quotidienne n’est pas nécessaire à l’exécution du contrat auquel souscrit le client, à savoir la fourniture d’électricité facturée mensuellement. La société ne peut donc fonder la collecte et le traitement des données de consommation quotidienne sur l’exécution du contrat de fourniture d’électricité.
La CNIL considère donc que la collecte d’office de ces données apparaît particulièrement intrusive et attentatoire à la vie privée des clients, de sorte qu’elle ne répond pas aux prescriptions de la Loi du 6 janvier 1978 dite « informatique et libertés ».
La CNIL a donc décidé de mettre en demeure la société DIRECT ENERGIE, dans un délai de trois mois, de recueillir le consentement préalablement à la collecte des données relatives aux consommations à la demi-heure, et aux consommations quotidiennes des clients, y compris de ceux dont les données sont déjà enregistrées par la société et, à défaut, de supprimer lesdites données collectées.
Compte tenu du nombre de clients concernés par ces traitements (plusieurs centaines de milliers en février 2018), la CNIL a décidé de rendre publique cette mise en demeure afin de sensibiliser les personnes quant à leurs droits et leur capacité de maîtrise sur les données de consommation énergétique.
Virginie PERDRIEUX
Vivaldi-Avocats