La Présidente de la CNIL met en demeure la société française DIRECT ENERGIE qui n’a pas obtenu le consentement de ses clients pour traiter leurs données de consommation d’électricité, quotidiennes et à la demi-heure, issues du compteur communicant LINKY. Elle lui demande de se conformer à la loi dans un délai de trois mois.
La société DIRECT ENERGIE est un fournisseur d’électricité. Afin de facturer ses clients, elle traite les données recueillies par un compteur d’électricité, appelé LINKY installé dans les foyers français par le gestionnaire du réseau de distribution ENEDIS (ex ERDF).
Ce compteur dit communicant relève à distance des données de consommation quotidiennes, horaires, et même à la demi-heure. Il s’agit des données de consommation globales du foyer, sans le détail des consommations de chaque appareil.
La généralisation des compteurs résulte d’une obligation légale de modernisation des réseaux qui répond à des directives européennes. Il n’est ainsi pas possible de s’opposer au changement du compteur d’énergie, cependant, les traitements effectués sur ces données sont encadrés par le code de l’énergie.
De plus, le gestionnaire du réseau de distribution ne collecte pas par défaut les données de consommation dites fines à l’heure et/ou à la demi-heure.
En effet, en ce qui concerne les données de consommation fines, l’accord exprès de l’usager est nécessaire pour 1) leur collecte et 2) leur transmission à des sociétés tierces comme à un fournisseur d’électricité tel que DIRECT ENERGIE à des fins commerciales.
En l’espèce, les contrôles diligentés par la CNIL ont révélé que le consentement des clients au traitement de leurs données personnelles n’est ni libre ni éclairé ni spécifique en violation avec les dispositions de l’article 7 de la loi Informatique et libertés du 6 janvier 1978.
Ce manquement a d’abord été constaté pour les données de consommation à la demi-heure.
Le consentement du client est vicié en ce qu’on lui laisse croire que la collecte de ses données est la conséquence nécessaire de l’activation du compteur. En outre, la finalité de « facturation au plus juste », affichée lors du recueil du consentement, n’est pas exacte puisque DIRECT ENERGIE ne propose pas d’offres basées sur la consommation horaire. Enfin, la cadence précise de la remontée des données de consommation, par demi-heure, n’est pas indiquée au client.
Les contrôles ont également conduit à constater que la société se contente d’informer ses clients de la collecte de leurs données de consommation quotidiennes sans leur demander au préalable leur consentement.
Compte tenu des plusieurs centaines de milliers de clients concernés par ces traitements le bureau de la CNIL, composé de la Présidente et des vice-Présidents, a décidé de rendre publique cette mise en demeure afin de sensibiliser les personnes quant à leurs droits et leur capacité de maîtrise sur leurs données de consommation énergétique.
Ces données peuvent en effet révéler de nombreuses informations relatives à leur vie privée qu’il s’agisse par exemple des heures de lever et de coucher, des périodes d’absence ou encore du nombre d’occupants du logement.
La Commission rappelle que cette mise en demeure n’est pas une sanction. Si la société se conforme à la loi dans le délai imparti, la clôture de la procédure fera également l’objet d’une publicité.
En revanche, si la société ne se conforme pas à cette mise en demeure dans trois mois, la Présidente pourra saisir la formation restreinte de la CNIL, chargée de réprimer les manquements à la loi, afin que soit le cas échéant prononcée une sanction.