webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation Notre approche Nos départements Nos avocats Nos distinctions Nous contacter Equipe numerique Agenda / évènements Nos événements Autres événements Lexique Newsletters Rechercher Nos sites internet Data / Données personnelles Propriété intellectuelle Services numériques E-commerce Contenus illicites / E-réputation International Startup et Legaltechs / Tendances Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre du numérique
L'actualité juridique et économique des acteurs du numérique par Simon Associés
simon associés simon associés
Accueil >Data / Données personnelles
 

La CNIL cible les compteurs communicants Linky et met en demeure les sociétés EDF et ENGIE

Délibération n°2019-035 du 31 décembre 2019 mettant en demeure la société ÉLECTRICITÉ DE FRANCE (EDF) ; Délibération n°2019-036 du 31 décembre 2019 mettant en demeure la société ENGIE

Les mises en demeure de la CNIL concernant les compteurs communicants Linky constituent un opportun rappel aux règles entourant le consentement comme base légale d’un traitement de données à caractère personnel mais également un rappel à la nécessité de déterminer des durées de conservation des données proportionnées aux finalités poursuivies.



Par deux délibérations en date du 31 décembre 2019 et rendues publiques le 11 février 2020, la Commission Nationale de l’Informatique et des Libertés (CNIL) met en demeure les sociétés ENGIE et ELECTRICITE DE FRANCE (EDF) pour deux manquements constatés au règlement (UE) 2016/679 du Parlement et du Conseil du 27 avril 2016 (RGPD) et relatifs aux compteurs communicants LINKY.

Ces compteurs électriques permettent le relevé à distance d’informations de consommation d’électricité plus précises que les compteurs électriques traditionnels, telles que les données de consommation quotidiennes et à l’heure ou à la demi-heure.

Ayant vocation à permettre aux consommateurs d’acquérir une meilleure maîtrise de leur consommation d’électricité, ces compteurs sont déployés depuis 2015 et la société ENEDIS prévoit d’ici 2021 de procéder à l’installation de 35 millions de compteurs communicants.

Alors qu’une action collective visant à réclamer le droit de refuser leur installation a été déposée le 24 février 2020 et qu’une pétition en ce sens regroupe plus de 13.000 signataires, la CNIL met en exergue et rend publiques les défaillances des sociétés ENGIE et EDF.

Aux termes de ces délibérations, l’autorité de contrôle relève en effet des manquements à l’obligation de disposer d’une base légale pour les traitements mis en œuvre et à l’obligation de définir une durée de conservation proportionnée à la finalité des traitements.

La CNIL pointe en effet les nombreuses défaillances entourant le recueil du consentement des consommateurs des compteurs. Il est en effet relevé que l’usager, pour consentir au suivi de sa consommation détaillée d’électricité, se voit proposer une seule case à cocher pour deux (ENGIE) à trois (EDF) opérations de traitement distinctes.

Or, l’autorité de contrôle souligne que « selon la granularité de la donnée (données journalières ou données de consommation fines à l’heure ou à la demi-heure) et le rôle du responsable de traitement dans la chaîne énergétique (gestionnaire de réseau de distribution ou fournisseur), la collecte des données de consommation peut nécessiter de recueillir le consentement du client ».

Il est opportun de souligner que parmi les six bases légales citées par l’article 6 du RGPD, le consentement, première énumérée, apparait comme un fondement naturel mais délicat en ce qu’il s’associe à la fois à de nombreuses conditions de validité mais également à un droit de retrait de la personne concernée.

En premier lieu, rappelons que le consentement, lorsque celui-ci fonde légalement un traitement de données à caractère personnel, doit être libre, spécifique, éclairé et univoque. La CNIL reproche ici aux deux sociétés de recueillir un consentement non spécifique et non suffisamment éclairé s’agissant des données de consommation à l’heure ou à la demi-heure notamment.

D’une part, un consentement spécifique est caractérisé lorsque la personne concernée est en mesure de donner son consentement de façon indépendante pour chaque finalité poursuivie.

D’autre part, un consentement éclairé est caractérisé lorsque la personne concernée est informée de la portée du traitement et notamment des finalités poursuivies ou encore des catégories de données collectées et utilisées. En effet, le recueil du consentement des personnes concernées doit aller de pair avec leur information sur l’étendue du traitement opéré, car ladite information conditionne le caractère libre et éclairé du consentement.

En l’absence de tels éléments, la personne concernée risque immanquablement d’être trompée sur la portée de son engagement.

Enfin, rappelons que le responsable de traitement doit mettre en œuvre des mesures permettant le retrait du consentement par la personne concernée dans les mêmes conditions que son octroi.

La Commission pointe également les défaillances des sociétés dans la détermination de durées de conservations proportionnées aux finalités poursuivies. En l’espèce, les deux sociétés se voient reprocher la fixation de durées de conservation excessives et non nécessaires aux finalités poursuivies.

En effet, conformément à l’article 5 du RGPD, les données à caractère personnel doivent être conservées « pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».

Les durées de conservation des données sont sujettes à de nombreuses interrogations des responsables de traitement à qui revient l’obligation de les déterminer lorsqu’elles ne sont pas fixées dans un texte légal.

C’est dans ce contexte que les délibérations de la CNIL constituent un juste et utile indice à la détermination de ces durées de conservation.

Aux termes de la mise en demeure de la société EDF, la CNIL précise que la conservation des données de consommations quotidiennes et à la demi-heure en base active pendant la durée de vie du contrat puis pendant cinq ans sans archivage intermédiaire était excessive.

De la même façon, la conservation par ENGIE des données des coordonnées du client et des données nécessaires à l’exécution du contrat pendant trois ans en base active puis pendant huit ans en archivage intermédiaire présente un sort similaire.

Les sociétés EDF et ENGIE disposent d’un délai de trois mois pour mettre en œuvre des mesures rectificatives aux manquements constatés et en justifier auprès de la CNIL.

A rapprocher : Décision n°MED 2019-035 du 31 décembre 2019 mettant en demeure la société ÉLECTRICITÉ DE FRANCE (EDF) ; Décision n°MED 2019-036 du 31 décembre 2019 mettant en demeure la société ENGIE ; EDF et ENGIE : mises en demeure pour non-respect de certaines conditions de recueil du consentement concernant les données des compteurs communicants, CNIL, 11 février 2020

VOIR AUSSI

La CNIL et la protection des données à caractère personnel face à la crise sanitaire du Covid-19 – Partie 2

Décret n°2020-1454 du 27 novembre 2020 ; Décret n°2020-1690 du 25 décembre 2020 ; Délibération n°2020-126 du 10 décembre 2020

- Vu : 1987

Dans le contexte particulier de la crise sanitaire, la CNIL, autorité de contrôle française, est un acteur clé pour l’orientation tant des autorités publiques, que des professionnels et particuliers sur les enjeux relatifs à la protection des données à caractère personnel.

> Lire la suite

Loi informatique et libertés III : articulation avec le RGPD

Modification de la Loi informatique et Libertés n°78-17 du 6 janvier 1978

- Vu : 9021

La loi du 20 juin 2018 n°2018-493, prise en application du Règlement (UE) 2016/679 sur la Protection des données du 27 avril 2016, vient désormais modifier la Loi informatique et Libertés n°78-17 du 6 janvier 1978.

> Lire la suite


Les plus vus...
Loi informatique et libertés III : articulation avec le RGPD
6 juillet 2018 - Vu : 9021
La loi du 20 juin 2018 n°2018-493, prise en application du Règlement (UE) 2016/679 sur la Protection des ...
> Lire la suite
Phishing : le seul fait de répondre à un email d’hameçonnage constituerait-il une négligence grave ?
16 novembre 2018 - Vu : 8045
La Cour de cassation, dans cet arrêt du 3 octobre 2018, a censuré les juges du fond qui ...
> Lire la suite
Action en contrefaçon de droit d’auteur et preuve de la qualité d’auteur
16 novembre 2018 - Vu : 6581
La recevabilité de l’action en contrefaçon de droit d’auteur est subordonnée à la preuve de la qualité d’auteur ...
> Lire la suite
La mise en conformité avec le RGPD des PME
22 mai 2018 - Vu : 5856
Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée ...
> Lire la suite
Copyright ©2017 La lettre du Numérique | Création et réalisation Webcd©