Mise en demeure de Direct Energie : une décision qui s’inscrit dans la future RGPD

  1. Décryptage de la mise en demeure de Direct Energie par la CNIL

C’était le 27 mars 2018 : la CNIL rendait publique la mise en demeure de Direct Energie. La Commission nationale de l’informatique et des libertés reprochait au fournisseur d’électricité un défaut de consentement concernant la collecte de données personnelles via le compteur Linky. Bien que cette décision s’appuie sur l’actuelle loi informatique et libertés du 6 janvier 1978, elle semble s’inscrire dans la future RGPD (Règlement général sur la protection des données). L’occasion de découvrir les raisons de la mise en demeure de Direct Energie et son lien avec la RGPD.

Linky, un compteur qui pose question

Chargée de protéger la vie privée dans les traitements informatiques, la CNIL a décidé de s’intéresser à la question du compteur Linky. Il s’agit d’un compteur électrique intelligent qui est installé actuellement, et jusqu’en 2021, par ENEDIS, l’organisme qui s’occupe de la gestion du réseau électrique français. L’objectif de cet équipement ? Mesurer les consommations électriques journalières des consommateurs. Concrètement, Linky permet notamment de réaliser des interventions à distance (mise en service, résolution de pannes, etc.), de ne payer que sa consommation réelle ou encore de réduire les délais d’intervention.
Malgré les avantages offerts par ce dispositif, Linky a rapidement fait débat sur un élément en particulier : la protection et la sécurisation des données privées envoyées par le boîtier. Si la CNIL n’a pas remis en cause le fonctionnement de cet équipement, elle a cependant pointé du doigt l’utilisation qui en a été faite. Le problème ? L’utilisation des données de consommation des particuliers par Direct Energie, et ce, sans un consentement suffisant.
L’enjeu est de taille puisque déjà 7 millions de compteurs intelligents ont été installés. Et si déjà 300 communes contestent le bien fondé de Linky, le problème pourrait s’accentuer davantage. En effet, environ 35 millions de compteurs doivent être installés d’ici 2021 afin d’équiper l’ensemble des logements français.

Un consentement qui n’est pas « libre, éclairé et spécifique »

Ce que la CNIL reproche à Direct Energie, c’est d’avoir demandé à ENEDIS de lui fournir les données de consommation d’électricité récoltées grâce à Linky. Or, ces données sont considérées comme sensibles, dans la mesure où elles éclairent sur la vie privée des particuliers (heures de lever, nombre d’habitants, périodes d’absence, etc.).
De plus, la façon de demander le consentement des consommateurs est également remise en cause. En effet, Direct Energie demande aux clients de consentir simultanément à l’activation de Linky et à la collecte de leurs données de consommation. Or, l’activation du compteur connecté dépend d’ENEDIS et non d’Energie Direct. Que les particuliers y consentent ou non, le compteur sera automatiquement activé. Selon la CNIL, le particulier a l’impression qu’il décide de mettre en route Linky alors qu’il consent simplement à la collecte de ses données. De même, Direct Energie prétend que la collecte de données personnelles permettra de facturer les clients au plus juste. Cependant, le fournisseur d’électricité ne propose en aucun cas une formule tarifaire s’appuyant sur la consommation horaire.
Ce sont pour ces différentes raisons que la CNIL estime que le consentement demandé au consommateur n’est pas « libre, éclairé et spécifique » et qu’il n’est pas conforme à l’article 7 de la loi informatique et libertés. Direct Energie dispose désormais d’un délai de trois mois pour se mettre en conformité. Dans le cas contraire, le fournisseur d’électricité pourrait se voir infliger une amende pouvant atteindre trois millions d’euros. Étant donné que ce problème de consentement concerne plusieurs centaines de milliers de clients, la CNIL a fait le choix de rendre publique la mise en demeure adressée à Direct Energie.

Une mise en demeure qui s’inscrit dans la future RGPD

La mise en demeure de Direct Energie par la CNIL semble être préventive, notamment en vue de la future application de la RGPD, aussi appelée GDPR en anglais (General data protection regulation).
Cette décision s’appuie tout d’abord sur le défaut de consentement quant à la collecte et au traitement des données personnelles. Un élément qui est au cœur de la GDPR qui s’appliquera dès le 25 mai 2018 en Europe. Selon l’article 4 du futur règlement européen, le consentement doit être « libre, spécifique, éclairé et univoque ». Dans le cas de Direct Energie et du compteur Linky, il a été jugé que le consentement n’avait pas été formulé correctement et qu’il avait été demandé pour deux objectifs différents (l’activation du compteur et la collecte des données).
De même, la RGPD impose à ce que le traitement des données personnelles soit réalisé sur une base juridique que l’entreprise doit déterminer (nécessité pour exécuter un contrat, pour défendre les intérêts du client, etc.). Or, Direct Energie n’a pas besoin de collecter les données quotidiennes afin d’exécuter le contrat. Et si le fournisseur d’électricité se défend en prétextant que cette collecte est réalisée pour offrir une facturation au plus juste, l’argument ne tient pas pour la CNIL étant donné qu’aucune offre basée sur la consommation horaire n’est prévue. Tout semble donc laisser croire que la décision de la CNIL a notamment été prise dans le but d’être déjà dans les clous de la RGPD.

Une décision qui fait écho à un droit offert par la RGPD

À travers cette mise en demeure, la CNIL met également en lumière un autre élément relatif à la GDPR : la possibilité de s’opposer à l’utilisation de ses données personnelles à des fins de prospection.
À l’heure actuelle, il est possible de refuser d’être démarché par de la prospection directe, notamment par email. L’article 21 de la RGPD permettra aussi aux consommateurs de refuser que leurs données personnelles soient profilées. En d’autres termes, une personne pourra s’opposer à ce que ses informations personnelles soient analysées à des fins de prospection et de démarchage. Dans le cas du compteur Linky, son gestionnaire pourrait se voir contraint de supprimer toutes les informations relatives à la gestion de la relation client de sa base de données, si celles-ci servent à adapter ses offres commerciales.
Pour les autres entreprises, la mise en demeure de Direct Energie doit servir d’exemple. En effet, il est plus que jamais temps de se pencher sur la question de la RGPD et sur la façon de modifier ses process afin de s’y conformer. Malgré les sanctions financières possibles en cas de non respect de la RGPD (20 millions d’euros ou 4% du chiffre d’affaires annuel), 27% des entreprises tricolores ne sont « pas certaines » de savoir où elles stockent les données de leurs clients selon une étude réalisée par Senzing. Pour ces sociétés, c’est le moment de réagir : en moyenne, chaque entreprise recevra 89 demandes liées à la RGPD chaque mois, ce qui représente environ 172 heures de travail supplémentaire (l’équivalent de 8 heures par jour).

Posted in:

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *