L’installation des compteurs « Linky » par Enedis fait l’objet de nombreuses critiques depuis son lancement. Ses opposants lui reprochent notamment de violer le RGPD en collectant les données personnelles des usagers, sans obtenir leur consentement préalable.
L’une des dernières décisions en date, rendue en référé par le Tribunal de Grande Instance de Bordeaux le 23 avril 2019, aborde la question du traitement et de la collecte des données personnelles par le compteur.
En l’espèce, les demandeurs soutenaient que le traitement de données mis en œuvre par Enedis était réalisé en violation des dispositions du Règlement Général sur la Protection des Données (RGPD).
En réponse, Enedis indiquait diffuser une notice d’information auprès des usagers s’opposant à l’installation d’un compteur « Linky ». Cette notice comprend des réponses aux interrogations relatives à la vie privée et aux informations transmises par le compteur.
Enedis précisait également que les données fines de consommation, particulièrement sensibles, n’étaient collectées qu’après accord de l’usager. La société soutenait qu’aucun transfert à un tiers n’avait lieu sans accord de l’usager concerné.
Enfin, et concernant la collecte locale des données (c’est-à-dire, les données qui ne sont pas transmises par le réseau), Enedis soutenait que les usagers avaient la possibilité de s’y opposer, de désactiver la conservation et de supprimer le contenu déjà collecté.
S’agissant d’un référé, le tribunal devait analyser si l’installation du compteur « Linky » à leur domicile constituait un trouble manifestement illicite. La violation du RGPD constituait dès lors une des composantes de ce trouble.
Le tribunal a considéré que l’installation du compteur ne constituait pas une violation manifeste du RGPD.
L’ordonnance de référé retient que l’existence de la notice transmise par Enedis aux usagers chez qui est installé un compteur « Linky » permet de rejeter la qualification de trouble manifestement illicite. Cette notice détaille en effet la fréquence des relevés d’informations et leur destination, ainsi que la nature des données enregistrées, leur sécurisation et l’impossibilité de les transmettre à un tiers sans accord explicite de l’usager.
Le tribunal analyse également la conformité au RGPD du compteur « Linky ». Il retient qu’Enedis s’est conformé aux recommandations de la Cnil en la matière et que les demandeurs n’apportaient pas la preuve d’un traitement illicite des données recueillies par Enedis.
Le tribunal conclut son analyse en soulignant qu’Enedis n’est nullement tenu à l’obtention du consentement des usagers dans la mesure où les personnes habitant les logements correspondant au point de livraison ne constituent pas des personnes identifiables au sens de l’article 4, 11) du RGPD. A ce titre, les données collectées ne seraient pas des données personnelles.
Le tribunal indique que : « les compteurs “Linky” assurent une anonymisation des informations pendant leur transmission, d’une part par leur cryptage, et d’autre part par l’absence de toute référence d’identification nominative, ce qui a été confirmé par l’étude effectuée par la CNIL au terme de la période de test. Seule apparaît l’identification du point de livraison, afin de permettre au fournisseur d’électricité d’en établir la facturation.
L’article 4.1 du RGPD, auquel renvoie l’ordonnance de référé, retient pourtant spécifiquement que les « données personnelles » désignent « toute information se rapportant à une personne physique identifiée ou identifiable », c’est-à-dire, toute personne « qui peut « être identifiée (…) notamment par référence à un identifiant ».
Il parait surprenant que le tribunal ne se soit pas interrogé sur la similarité entre l’identification du point de livraison (qui constitue donc un identifiant) et la notion même d’identifiant telle que détaillée à l’article 4.1 du RGPD.
Lorsque le point de livraison se situe dans un logement individuel, il parait difficile de considérer qu’il n’identifie pas les propriétaires du logement. En outre, dans l’habitat collectif, les consommations d’électricité varient en fonction de la composition des foyers. En croisant ses informations, il est sans doute possible d’identifier précisément les usagers.
L’analyse effectuée par le tribunal semble donc discutable. Il sera intéressant dans tous les cas, de voir si cette approche plus restrictive de la notion d’identification et de données personnelles est reprise par d’autres tribunaux.
Sources : TGI Bordeaux, Ordonnance de référé du 23 avril 2019