ATTENTION !

Si vous installez des panneaux photovoltaïques en Autoconsommation,

le raccordement au réseau se fait avec un compteur LINKY

Plus d'informations ici

Radio transparence

Compteur accessible : seul le barricadage pourra vous protéger d'une pose forcée.
 
Barricader son compteur n'est puni par aucun texte pénal. Une seule personne en France poursuivie à ce jour par Enedis. Vos chances de l'être sont infimes.
 
l'Association Justice et Solidarité Citoyenne a été créée pour soutenir financièrement les personnes qui se verraient inquiétées. Tous les détails ICI

à ce jour 943 Communes

refusent le compteur LINKY !

Retrouvez la liste ici

( en bas de la page )

Le compteur LINKY n'est pas obligatoire

Arrêt de la Cour d'Appel de Bordeaux

17 Novembre 2020

Voir la page

Arrêté du 9 juin 2016 fixant les modalités d'application du titre II

du décret n° 2001-387 du 3 mai 2001 relatif au contrôle

des instruments de mesure

MEDIAS

Article de :

Maître Murielle CAHEN

Avocat au Barreau de PARIS

  • Droit du Travail Salarié

  • Droit Social

La mise en conformité au nouveau grand texte européen en matière de données personnelles doit être assurée.

Par décision du 31 décembre 2019, la Présidente de la Commission a, sur le fondement de l’article 20 de la loi du 6 janvier 1978 modifiée, décidé de mettre en demeure la société EDF de faire cesser, sous un délai de trois mois à compter de la notification de ladite décision, les manquements constatés au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après, le RGPD) relatifs aux données personnelles issues des compteurs communicants LINKY.

En application du dernier alinéa du II de l’article 20 de la loi du 6 janvier 1978 modifiée, la Présidente de la CNIL a régulièrement convoqué le bureau de la Commission aux fins de statuer sur sa demande de rendre publique sa décision.

Après en avoir délibéré, le bureau considère que la publicité de la mise en demeure se justifie par la nature du manquement au RGPD, le nombre de personnes concernées et les caractéristiques du traitement mis en ½uvre.

En effet, faute de recueillir spécifiquement le consentement des personnes pour l’affichage de leurs données à la journée, à la demi-heure et pour la réception de conseils personnalisés, la société ne recueille pas valablement le consentement des personnes concernées.

La publicité de la mise en demeure apparaît également nécessaire afin de rappeler à l’organisme ses obligations et sensibiliser les clients quant aux droits dont ils disposent, notamment celui de choisir la manière dont les données issues de leur compteur seront traitées.

Le bureau estime qu’il est essentiel que les clients puissent garder la maîtrise de telles données, qui peuvent révéler des informations sur leur vie privée (heures de lever et de coucher, périodes d’absence, éventuellement le nombre de personnes présentes dans le logement).

En outre, la quantité de clients concernés est particulièrement élevée puisque le gestionnaire du réseau de distribution envisage d’installer 35 millions de compteurs communicants LINKY d’ici 2021.

À cet égard, le bureau considère qu’en raison du nombre de personnes concernées, la publicité de la mise en demeure permettrait d’informer l’ensemble des clients mais également des prospects potentiels de la société EDF de l’existence de ces manquements et des mesures qu’il est demandé à la société de prendre pour y remédier.

En conséquence, le bureau de la Commission nationale de l’informatique et des libertés décide de rendre publique la décision n°MED-2019-035 de la Présidente de la CNIL mettant en demeure la société EDF.

Le bureau rappelle que cette mise en demeure ne revêt pas le caractère d’une sanction. À ce titre, aucune suite ne sera donnée à la procédure si l’organisme concerné se conforme en tout point aux exigences de la mise en demeure dans le délai imparti. Si tel est le cas, celle-ci fera l’objet d’une clôture qui sera également rendue publique.

 

Rappel des observations de la CNIL

 

I. Un manquement à l’obligation de disposer d’une base légale pour les traitements mis en ½uvre

 

A) En ce qui concerne les fournisseurs d’énergie tels que la société EDF, ces derniers ne peuvent collecter les consommations quotidiennes et horaires et/ou à la demi-heure qu’avec le consentement de l’abonné.

Pour être valable, le consentement doit être libre, spécifique, éclairé et univoque, en application de l’article 4, paragraphe 11, du RGPD. Lorsqu’un de ces critères fait défaut, le consentement ne peut être retenu comme base légale du traitement au sens de l’article 6, paragraphe 1, a) du RGPD.

S’agissant du caractère spécifique du consentement, il résulte du RGPD que la personne concernée doit être en mesure de donner son consentement de façon indépendante et distincte pour chaque finalité poursuivie. Ainsi, le considérant 43 prévoit que le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d’espèce (…) .

De même, les lignes directrices sur le consentement, adoptées par le G29, le 28 novembre 2017, précisent que (…) les personnes concernées devraient être libres de choisir quelles finalités elles acceptent, plutôt que de devoir consentir à un ensemble de finalités de traitement. En vertu du RGPD, plusieurs consentements pourraient être nécessaires avant de pouvoir fournir un service dans un cas donné.

Le considérant 43 précise que le consentement est présumé ne pas avoir été donné librement si le processus / la procédure d’obtention du consentement ne permet pas aux personnes concernées de donner un consentement distinct à différentes opérations de traitement des données à caractère personnel (par ex. uniquement pour certaines opérations de traitement et pas pour d’autres) bien que cela soit approprié dans le cas d’espèce. […] Afin de se conformer aux conditions d’obtention d’un consentement valable lorsque le traitement des données est effectué pour différentes finalités, il convient de détailler le consentement, c’est-à-dire de différencier ses différentes finalités et d’obtenir un consentement pour chacune d’entre elles (p. 11).

B) S’agissant du caractère éclairé du consentement

Il ressort des lignes directrices du G 29 sur le consentement que pour que le consentement soit éclairé, il est nécessaire d’informer la personne concernée de certains éléments cruciaux pour opérer un choix, [tels que] (…) (ii) la finalité de chacune des opérations de traitement pour lesquelles le consentement est sollicité, (iii) les (types de) données collectées et utilisées (p. 15).

En l’espèce, la délégation a été informée et a constaté que la société EDF recueille le consentement des usagers à la collecte de leurs données de consommation quotidienne et à la demi-heure par le biais d’une seule case à cocher, et ce pour trois finalités distinctes, à savoir l’affichage dans l’espace client des consommations quotidiennes, l’affichage dans l’espace client des consommations à la demi-heure et des conseils personnalisés visant à mieux maitriser leur consommation d’électricité.

Ainsi, le consentement pour le traitement des données quotidiennes emporte automatiquement consentement pour le traitement des données à la demi-heure s’agissant aussi bien de l’affichage des consommations dans l’espace client que de la fourniture de conseils personnalisés. Pourtant, ces opérations de traitement sont distinctes et indépendantes les unes des autres : ainsi, un usager peut souhaiter consulter l’historique de ses consommations à la journée, sans nécessairement vouloir bénéficier d’un affichage à la demi-heure ou souhaiter recevoir des conseils personnalisés de la part de son fournisseur.

À cet égard, la Commission relève que la rédaction de la mention accompagnant la case à cocher j’accepte fait référence à la consommation d’électricité quotidienne (toutes les 30 min) ce qui est particulièrement susceptible d’induire l’abonné en erreur sur la portée de son engagement. En effet, les données quotidiennes et à la demi-heure sont présentées comme étant équivalentes, alors que les données à la demi-heure sont plus révélatrices des habitudes de vie des personnes que les données quotidiennes.

En conséquence, le traitement des données à des fins d’affichage des index journaliers, celui plus complet et détaillé des données à la demi-heure, ainsi que celui visant à offrir des conseils personnalisés poursuivent des finalités distinctes, de sorte que l’usager devrait pouvoir donner un consentement par finalité et activer la collecte des index journaliers, sans nécessairement devoir accepter d’activer de manière corrélée celle de la courbe de charge.

Il résulte de l’ensemble de ces éléments que le consentement des utilisateurs n’est ni spécifique ni suffisamment éclairé, de sorte que les modalités de son recueil ne sont pas conformes aux dispositions de l’article 4, paragraphe 11 du RGPD, ce qui entraîne un manquement aux dispositions de l’article 6, paragraphe 1, a) du RGPD.

II. Des durées de conservation excessives

A) Application de l’article 5, paragraphe 1, e) du RGPD

Les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.

En l’espèce, la délégation a été informée que la société EDF conserve en base active les consommations quotidiennes et à la demi-heure cinq ans après la résiliation du contrat, sans procéder à un archivage intermédiaire, qu’il soit physique sur un serveur distinct ou logique via une restriction des accès.

La délégation a également été informée qu’aucune procédure automatisée de purge n’est mise en place notamment pour des raisons de complexité technique.

De telles durées de conservation sont excessives au regard des finalités pour lesquelles ces données sont traitées.

En effet, la conservation des données de consommation à la demi-heure n’est pas nécessaire à la facturation de l’électricité consommée, qui est mensuelle.

Il en est de même s’agissant des données de consommation quotidienne, qui ne sont pas non plus nécessaires à la facturation, sauf dans le cadre de l’offre Vert Électrique Week-end, laquelle nécessite de connaître les consommations effectuées le samedi, le dimanche et les jours fériés pour leur appliquer des prix avantageux.

Cependant, même dans le cadre de l’offre Vert Électrique Week-end, une durée de conservation de cinq ans après la résiliation du contrat est excessive dans la mesure où il ressort de l’article L. 224-11 du code de la consommation qu’un fournisseur d’électricité n’a, sauf exception, pas le droit facturer une consommation d'électricité (…) antérieure de plus de quatorze mois au dernier relevé ou autorelevé.

En outre, pour les données quotidiennes, l’historique téléchargeable depuis l’espace client est limité à trois ans, durée augmentée de l’année en cours à partir de la date de recueil du consentement, tandis que les données à la demi-heure ne sont pas téléchargeables. Dans ces conditions, la mise à disposition des données de consommation fines ne saurait justifier leur conservation pendant la durée de vie du contrat puis cinq ans en base active.

Eu égard à ce qui précède, une durée de conservation des données quotidiennes et à la demi-heure en base active pendant la durée de vie du contrat puis pendant cinq ans, pour tous les types de contrats, sans archivage intermédiaire, est excessive au sens de l’article 5, paragraphe 1, e) du RGPD. En conséquence, la société EDF, sise 22-30 avenue de Wagram à Paris (75008), est mise en demeure sous un délai de trois (3) mois à compter de la notification de la présente décision et sous réserve des mesures qu’elle aurait déjà pu adopter, de :

Recueillir un consentement libre, spécifique, éclairé et univoque préalablement à la collecte des données de consommation quotidiennes et à la demi-heure de ses clients, y compris de ceux dont les données sont déjà enregistrées, par exemple, en mettant en place une case à cocher pour chaque opération de traitement et, à défaut, supprimer lesdites données collectées, conformément aux articles 4, paragraphe 11, et 6, paragraphe 1, a) du RGPD ;

Définir et mettre en ½uvre une politique de durée de conservation des données qui n’excède pas la durée nécessaire aux finalités pour lesquelles ces données sont collectées et, au besoin, purger les données non conformes à cette politique de durée de conservation, conformément aux dispositions de l’article 5, paragraphe 1, e) du RGPD ; Justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti.


B) La mise en demeure

Pour corriger ces manquements, l’autorité enjoint aux sociétés de mettre en place de nouvelles procédures de recueil du consentement, par exemple sous forme d’une case à cocher par opération de traitement.

Les modifications devront s’appliquer aux clients dont les données de consommation ont déjà été enregistrées. À défaut, il conviendra de supprimer ces dernières. La CNIL exige aussi des sociétés qu’elles revoient leurs politiques de durée de conservation et qu’elles purgent, au besoin, les données non conformes aux nouvelles règles.

Les sociétés Engie et EDF ont trois mois pour se mettre en conformité à compter de la notification de la mise en demeure et éviter ainsi le prononcé de l’une des sanctions prévues par l’article 20 de la loi du 6 janvier 1978 modifiée. Nul doute qu’elles le feront, car, dans le cas contraire, elles risquent de se voir infliger une amende administrative pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent.

 

Source de l'article : Juritravail

Liens à Consulter :

Europe 1

https://www.europe1.fr/economie/compteurs-linky-edf-et-engie-mis-en-demeure-par-la-cnil-pour-leur-collecte-de-donnees-3948929

Site de Stéphane LHOMME ;

http://refus.linky.gazpar.free.fr/linky-cnil-directe-energie.htm

Lien à consulter : le Big Data

https://www.larevuedudigital.com/edf-prepare-des-services-vocaux-reliant-le-compteur-linky-et-alexa-damazon

 

SOURCES :

· https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000026958542

· https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1

· https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article6

· https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article5

· https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006069565&idArticle=LEGIARTI000032226713

· https://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000034731377&cidTexte=LEGITEXT000006069565&dateTexte=20170701