webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation Notre approche Nos départements Nos avocats Nos distinctions Nous contacter Equipe numerique Agenda / évènements Nos événements Autres événements Lexique Newsletters Rechercher Nos sites internet Data / Données personnelles Propriété intellectuelle Services numériques E-commerce Contenus illicites / E-réputation International Startup et Legaltechs / Tendances Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre du numérique
L'actualité juridique et économique des acteurs du numérique par Simon Associés
simon associés simon associés
Accueil >Data / Données personnelles
 

La CNIL cible les compteurs communicants Linky et met en demeure les sociétés EDF et ENGIE

Délibération n°2019-035 du 31 décembre 2019 mettant en demeure la société ÉLECTRICITÉ DE FRANCE (EDF) ; Délibération n°2019-036 du 31 décembre 2019 mettant en demeure la société ENGIE

Les mises en demeure de la CNIL concernant les compteurs communicants Linky constituent un opportun rappel aux règles entourant le consentement comme base légale d’un traitement de données à caractère personnel mais également un rappel à la nécessité de déterminer des durées de conservation des données proportionnées aux finalités poursuivies.



Par deux délibérations en date du 31 décembre 2019 et rendues publiques le 11 février 2020, la Commission Nationale de l’Informatique et des Libertés (CNIL) met en demeure les sociétés ENGIE et ELECTRICITE DE FRANCE (EDF) pour deux manquements constatés au règlement (UE) 2016/679 du Parlement et du Conseil du 27 avril 2016 (RGPD) et relatifs aux compteurs communicants LINKY.

Ces compteurs électriques permettent le relevé à distance d’informations de consommation d’électricité plus précises que les compteurs électriques traditionnels, telles que les données de consommation quotidiennes et à l’heure ou à la demi-heure.

Ayant vocation à permettre aux consommateurs d’acquérir une meilleure maîtrise de leur consommation d’électricité, ces compteurs sont déployés depuis 2015 et la société ENEDIS prévoit d’ici 2021 de procéder à l’installation de 35 millions de compteurs communicants.

Alors qu’une action collective visant à réclamer le droit de refuser leur installation a été déposée le 24 février 2020 et qu’une pétition en ce sens regroupe plus de 13.000 signataires, la CNIL met en exergue et rend publiques les défaillances des sociétés ENGIE et EDF.

Aux termes de ces délibérations, l’autorité de contrôle relève en effet des manquements à l’obligation de disposer d’une base légale pour les traitements mis en œuvre et à l’obligation de définir une durée de conservation proportionnée à la finalité des traitements.

La CNIL pointe en effet les nombreuses défaillances entourant le recueil du consentement des consommateurs des compteurs. Il est en effet relevé que l’usager, pour consentir au suivi de sa consommation détaillée d’électricité, se voit proposer une seule case à cocher pour deux (ENGIE) à trois (EDF) opérations de traitement distinctes.

Or, l’autorité de contrôle souligne que « selon la granularité de la donnée (données journalières ou données de consommation fines à l’heure ou à la demi-heure) et le rôle du responsable de traitement dans la chaîne énergétique (gestionnaire de réseau de distribution ou fournisseur), la collecte des données de consommation peut nécessiter de recueillir le consentement du client ».

Il est opportun de souligner que parmi les six bases légales citées par l’article 6 du RGPD, le consentement, première énumérée, apparait comme un fondement naturel mais délicat en ce qu’il s’associe à la fois à de nombreuses conditions de validité mais également à un droit de retrait de la personne concernée.

En premier lieu, rappelons que le consentement, lorsque celui-ci fonde légalement un traitement de données à caractère personnel, doit être libre, spécifique, éclairé et univoque. La CNIL reproche ici aux deux sociétés de recueillir un consentement non spécifique et non suffisamment éclairé s’agissant des données de consommation à l’heure ou à la demi-heure notamment.

D’une part, un consentement spécifique est caractérisé lorsque la personne concernée est en mesure de donner son consentement de façon indépendante pour chaque finalité poursuivie.

D’autre part, un consentement éclairé est caractérisé lorsque la personne concernée est informée de la portée du traitement et notamment des finalités poursuivies ou encore des catégories de données collectées et utilisées. En effet, le recueil du consentement des personnes concernées doit aller de pair avec leur information sur l’étendue du traitement opéré, car ladite information conditionne le caractère libre et éclairé du consentement.

En l’absence de tels éléments, la personne concernée risque immanquablement d’être trompée sur la portée de son engagement.

Enfin, rappelons que le responsable de traitement doit mettre en œuvre des mesures permettant le retrait du consentement par la personne concernée dans les mêmes conditions que son octroi.

La Commission pointe également les défaillances des sociétés dans la détermination de durées de conservations proportionnées aux finalités poursuivies. En l’espèce, les deux sociétés se voient reprocher la fixation de durées de conservation excessives et non nécessaires aux finalités poursuivies.

En effet, conformément à l’article 5 du RGPD, les données à caractère personnel doivent être conservées « pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».

Les durées de conservation des données sont sujettes à de nombreuses interrogations des responsables de traitement à qui revient l’obligation de les déterminer lorsqu’elles ne sont pas fixées dans un texte légal.

C’est dans ce contexte que les délibérations de la CNIL constituent un juste et utile indice à la détermination de ces durées de conservation.

Aux termes de la mise en demeure de la société EDF, la CNIL précise que la conservation des données de consommations quotidiennes et à la demi-heure en base active pendant la durée de vie du contrat puis pendant cinq ans sans archivage intermédiaire était excessive.

De la même façon, la conservation par ENGIE des données des coordonnées du client et des données nécessaires à l’exécution du contrat pendant trois ans en base active puis pendant huit ans en archivage intermédiaire présente un sort similaire.

Les sociétés EDF et ENGIE disposent d’un délai de trois mois pour mettre en œuvre des mesures rectificatives aux manquements constatés et en justifier auprès de la CNIL.

A rapprocher : Décision n°MED 2019-035 du 31 décembre 2019 mettant en demeure la société ÉLECTRICITÉ DE FRANCE (EDF) ; Décision n°MED 2019-036 du 31 décembre 2019 mettant en demeure la société ENGIE ; EDF et ENGIE : mises en demeure pour non-respect de certaines conditions de recueil du consentement concernant les données des compteurs communicants, CNIL, 11 février 2020

VOIR AUSSI

Un an après le RGPD, où en sommes-nous ?

- Vu : 1154

La CNIL annonce une explosion du nombre de plaintes. Plus de 1 000 procédures nécessitent la coopération entre les autorités européennes et l’implication de plusieurs CNIL européennes. Près de 20 000 délégués à la protection des données ont été désignés par plus de 53 000 organismes. Un an après l’entrée en application du RGPD, où en sommes-nous vraiment ?

> Lire la suite

Webinar : RGPD et Gouvernance - 2 et 3 juillet 2018 - Live

Comment piloter sa conformité dans le temps ?

- Vu : 1236

SIMON ASSOCIÉS et VISIATIV organisent un webinaire sur la mise en conformité avec le RGPD et vous proposent 2 dates afin de pouvoir correspondre au mieux avec votre agenda.

> Lire la suite


Les plus vus...
Loi informatique et libertés III : articulation avec le RGPD
6 juillet 2018 - Vu : 6232
La loi du 20 juin 2018 n°2018-493, prise en application du Règlement (UE) 2016/679 sur la Protection des ...
> Lire la suite
Phishing : le seul fait de répondre à un email d’hameçonnage constituerait-il une négligence grave ?
16 novembre 2018 - Vu : 5464
La Cour de cassation, dans cet arrêt du 3 octobre 2018, a censuré les juges du fond qui ...
> Lire la suite
La mise en conformité avec le RGPD des PME
22 mai 2018 - Vu : 4546
Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée ...
> Lire la suite
Victime d’hameçonnage : la Cour de cassation impose à l’utilisateur une vigilance de plus en plus accrue
22 mai 2018 - Vu : 3421
La Cour de cassation renforce à nouveau l’obligation de prudence pesant sur l’internaute victime d’hameçonnage, dans la droite ...
> Lire la suite
Copyright ©2017 La lettre du Numérique | Création et réalisation Webcd©