Linky, utilisation frauduleuse des données

Publié le 30 mars 2018

La loi est précise : « les gestionnaires des réseaux publics de distribution d’électricité sont autorisés à communiquer aux fournisseurs les données de comptage de leurs clients ou de tout consommateur final d’électricité avec son accord exprès » (article L111-75 du code de l’énergie). Il est donc interdit à un fournisseur d’électricité de capter des données de comptage sans l’accord exprès de l’usager ou du client et le GRD devrait se retourner contre tout fournisseur qui lui demanderait des données sans l’accord exprès du client. La principale critique portée contre le compteur Linky est la sécurité des données personnelles de l’usager. C’est pourquoi la métropole a décidé de mettre en place un service public des données énergétiques qui évitera de laisser à des intérêts privés la gestion de ces données. Il faut aussi espérer que la prochaine loi actuellement en discussion renforce la protection de l’ensemble des données personnelles en appliquant le nouveau cadre juridique européen qui impose une protection accrue des données personnelles applicable en France dès le 25 mai 2018.

Le 5 mars 2018, la CNIL a mis en demeure le fournisseur privé « Direct énergie » pour une absence de consentement concernant les données issues du compteur communicant Linky. Elle lui demande de se conformer à la loi dans un délai de trois mois. Mais ceci est très insuffisant, car la CNIL ne poursuivra pas la société si elle se conforme à sa décision, il faut espérer que les pouvoirs publics comme le GRD en cause (Enedis) et les clients de Direct énergie déposent plainte pour cette utilisation contraire à la loi.

Le communiqué de la CNIL du 27 mars précise :

« La société DIRECT ENERGIE est un fournisseur d’électricité. Dans le cadre de cette mission et afin de rendre possible la facturation, la société dispose des données mensuelles de consommation.

A l’occasion de l’installation du compteur communicant LINKY, la société a demandé au gestionnaire du réseau de distribution, la société ENEDIS, de lui transmettre les données de ses clients correspondant à leur consommation journalière d’électricité ainsi que les données de consommation à la demi-heure. Ces données ne peuvent cependant être recueillies qu’après avoir obtenu le consentement des personnes concernées.

La Présidente de la CNIL a décidé en octobre 2016 et février 2018 de diligenter des contrôles afin de s’assurer de la conformité de ce dispositif à la loi Informatique et Libertés.

Ces contrôles ont révélé que le consentement des clients n’était pas recueilli dans des conditions conformes à l’article 7 de la loi Informatique et libertés du 6 janvier 1978, le consentement au traitement de données personnelles n’étant pas libre, éclairé et spécifique.

Ce manquement a d’abord été constaté pour les données de consommation à la demi-heure.

En effet, lors de l’information sur la mise en place du compteur Linky, DIRECT ENERGIE demande à ses clients leur accord simultanément sur deux points :

  • sur la mise en service du compteur Linky ;
  • et sur la collecte des données de consommation horaires, qui est présentée comme le corollaire de l’activation du compteur et comme permettant au client de bénéficier d’une facturation au plus juste.

Or, l’installation d’un compteur LINKY revêt un caractère obligatoire, et sa mise en service ne dépend pas de la société DIRECT ENERGIE : le client a donc l’impression, erronée, qu’il choisit d’activer le compteur alors qu’il ne consent, en réalité, qu’à la collecte de ses données de consommation.

Par ailleurs, contrairement à la présentation qui en est faite, cette collecte n’est aucunement la conséquence nécessaire de l’activation du compteur. En outre, la finalité de « facturation au plus juste », affichée lors du recueil du consentement, n’est pas exacte puisque Direct Energie ne propose pas d’offres basées sur la consommation horaire. Enfin, la cadence précise de la remontée des données de consommation, par demi-heure, n’est pas indiquée au client.

Les contrôles ont également conduit à constater un manquement concernant le consentement à la collecte des données de consommations quotidiennes.

En effet, si la société informe bien ses clients de la collecte de ces données auprès du gestionnaire du réseau de distribution (ENEDIS), elle ne leur demande pas leur accord au préalable.

Compte tenu de ces manquements, la Présidente de la CNIL a décidé de mettre en demeure la société, de se conformer à la loi sous un délai de trois mois.

Compte tenu du nombre de clients concernés par ces traitements (plusieurs centaines de milliers en février 2018), le bureau de la CNIL, composé de la Présidente et des vice-Présidents, a décidé de rendre publique cette mise en demeure afin de sensibiliser les personnes quant à leurs droits et leur capacité de maîtrise sur leurs données de consommation énergétique. Ces données peuvent en effet révéler de nombreuses informations relatives à leur vie privée (heures de lever et de coucher, périodes d’absence ou nombre d’occupants du logement).

La Commission rappelle que cette mise en demeure n’est pas une sanction. Aucune suite ne sera donnée à cette procédure si la société se conforme à la loi dans le délai imparti. Dans ce cas, la clôture de la procédure fera également l’objet d’une publicité.

Si la société ne se conforme pas à cette mise en demeure dans le délai imparti, la Présidente pourra saisir la formation restreinte de la CNIL, chargée de réprimer les manquements à la loi, afin que soit le cas échéant prononcée une sanction. »

Voir le communiqué complet de la CNIL ici et son avis initial .

Mots-clefs : , ,

Le commentaires sont fermés.