Délibération MEDP-2020-001 du 20 janvier 2020

Délibération du bureau de la Commission nationale de l’informatique et des libertés n° MEDP-2020-001 du 20 janvier 2020 décidant de rendre publique la mise en demeure n° MED 2019-035 du 31 décembre 2019 prise à l’encontre de la société X

(N° MDMx)

Le bureau de la Commission nationale de l’informatique et des libertés, réuni le 20 janvier 2020 sous la présidence de Mme Marie-Laure DENIS ;

Siégeait, outre la Présidente de la Commission, Monsieur Éric PERES, Vice-président ;

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;

Vu le code pénal ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 20 ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la décision n° 2019-023C du 20 décembre 2018 de la Présidente de la Commission nationale de l’informatique et des libertés de charger le Secrétaire général de procéder ou de faire procéder à une mission de vérification auprès de la société X ;

Vu le procès-verbal de contrôle n° 2019-023/1 du 11 mars 2019 et n° 2019-023/2 du 12 mars 2019 ;

Vu la décision n° MED 2019-035 du 31 décembre 2019 prise par la Présidente de la Commission mettant en demeure la société X ;

A adopté la délibération suivante :

Par décision du 31 décembre 2019, la Présidente de la Commission a, sur le fondement de l’article 20 de la loi du 6 janvier 1978 modifiée, décidé de mettre en demeure la société X de faire cesser, sous un délai de trois mois à compter de la notification de ladite décision, les manquements constatés au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après, le RGPD ) relatifs aux données personnelles issues des compteurs communicants LINKY.

En application du dernier alinéa du II de l’article 20 de la loi du 6 janvier 1978 modifiée, la Présidente de la CNIL a régulièrement convoqué le bureau de la Commission aux fins de statuer sur sa demande de rendre publique sa décision.

Le bureau a été réuni à cette fin le 20 janvier 2020.

Après en avoir délibéré, le bureau considère que la publicité de la mise en demeure se justifie par la nature du manquement au RGPD, le nombre de personnes concernées et les caractéristiques du traitement mis en œuvre.

En effet, faute de recueillir spécifiquement le consentement des personnes pour l’affichage de leurs données à la journée, à la demi-heure et pour la réception de conseils personnalisés, la société ne recueille pas valablement le consentement des personnes concernées.

La publicité de la mise en demeure apparaît également nécessaire afin de rappeler à l’organisme ses obligations et sensibiliser les clients quant aux droits dont ils disposent, notamment celui de choisir la manière dont les données issues de leur compteur seront traitées.

Le bureau estime qu’il est essentiel que les clients puissent garder la maîtrise de telles données, qui peuvent révéler des informations sur leur vie privée (heures de lever et de coucher, périodes d’absence, éventuellement le nombre de personnes présentes dans le logement).

En outre, la quantité de clients concernés est particulièrement élevée puisque le gestionnaire du réseau de distribution envisage d’installer 35 millions de compteurs communicants LINKY d’ici 2021.

À cet égard, le bureau considère qu’en raison du nombre de personnes concernées, la publicité de la mise en demeure permettrait d’informer l’ensemble des clients mais également des prospects potentiels de la société X de l’existence de ces manquements et des mesures qu’il est demandé à la société de prendre pour y remédier.

En conséquence, le bureau de la Commission nationale de l’informatique et des libertés décide de rendre publique la décision n°MED-2019-035 de la Présidente de la CNIL mettant en demeure la société X.

Le bureau rappelle que cette mise en demeure ne revêt pas le caractère d’une sanction. À ce titre, aucune suite ne sera donnée à la procédure si l’organisme concerné se conforme en tout point aux exigences de la mise en demeure dans le délai imparti. Si tel est le cas, celle-ci fera l’objet d’une clôture qui sera également rendue publique.

La Présidente

Marie-Laure DENIS

Retourner en haut de la page