A un mois de l’entrée en vigueur des règles européennes (ou RGDP), les contrôles de la CNIL ne cessent de s’amplifier, notamment sur la collecte par les compteurs Linky.
Le compteur Linky constitue une nouvelle génération de compteurs d’électricité collectant des données de manière plus efficace que les compteurs traditionnels sur la consommation énergétique. A ce titre, la société Direct Energie a demandé à la société Enedis, gestionnaire du réseau de distribution, de lui transmettre les données de consommation de ses clients.
Pour rappel, tout traitement de données personnelles doit faire l’objet d’un consentement, de la part des consommateurs, « libre, éclairé et spécifique » ou à défaut viser une base légale, telle que l’intérêt légitime du responsable de traitement ou l’exécution d’un contrat.
Or, à la suite de contrôles, la Présidente de la CNIL a relevé plusieurs manquements à la réglementation française existante, à savoir :
– Sur les données de consommation par trente minutes :
- La collecte des données de consommation par trente minutes n’est pas justifiée par l’intérêt légitime de Direct Energie ni pour l’exécution d’un contrat. Alors qu’elle prétend qu’il s’agit de lui permettre une facturation « au plus juste », elle ne propose en réalité aucune offre basée sur la consommation horaire.
- En conséquence, le consentement de la personne concernée doit être recueilli avant la collecte. Toutefois, il n’est pas suffisamment éclairé, ni libre ni spécifique : en sollicitant le consentement d’une part à l’activation du compteur connecté et d’autre part à la collecte des données de consommation par trente minutes, le consommateur est trompé dans la mesure où le compteur sera en tout état de cause activé par Enedis, même en cas de réponse négative. Le consommateur est donc mal informé puisque l’accord sollicité ne concerne en réalité que la collecte des données de consommation.
- L’autorisation délivrée au téléphone par un tiers (le propriétaire du logement) ne peut valoir consentement des locataires à un tel traitement de leurs données.
– Sur les données relatives aux consommations quotidiennes :
- La collecte de ces données n’est pas nécessaire à l’exécution du contrat, et l’intérêt légitime de la société n’est pas fondé, dans la mesure où la collecte méconnaît les droits et intérêts des consommateurs et qu’il n’existe aucune offre tarifaire basée sur leur consommation quotidienne.
- Une information est donnée aux consommateurs sur la collecte de leurs données, mais leur consentement exprès n’est pas recueilli.
Direct Energie est ainsi mise en demeure de recueillir le consentement préalablement à la collecte des données de consommation et de celles déjà enregistrées, ou à défaut de les supprimer.
A défaut de se conformer dans un délai de trois mois, la société pourrait se voir infliger une amende d’un montant maximal de 3 millions d’euros conformément à l’article 47 de la Loi informatique et Libertés de 1978.
Pour rappel, les règles européennes en matière de données personnelles (RGPD) applicables à compter du 25 mai 2018 prévoient que l’amende pourra s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires.
Le projet de loi français intégrant ces règles européennes, augmente ainsi les amendes administratives pour les plafonner d’une part à 10 millions d’euros ou 2% du chiffre d’affaires et d’autre part, en cas de violation d’obligations découlant du droit européen, à 20 millions d’euros ou 4 % du chiffre d’affaires.
Pour éviter tout risque de mise en demeure par la CNIL, et, bien sûr, de sanctions très élevées, à l’instar de Direct Energie, toutes les entreprises, y compris de taille moindre, doivent réaliser des audits sur les données personnelles qu’elles collectent afin de se mettre en conformité avec la réglementation.
—
Marseille, le 3 mai 2018