Décision 2018-007 du 5 mars 2018

Commission Nationale de l'Informatique et des Libertés
Décision n°2018-007 du 5 mars 2018
Décision MED n° 2018- 007 du 5 mars 2018 mettant en demeure la société DIRECT ENERGIE
Etat: VIGUEUR

La Présidente de la Commission nationale de l'informatique et des libertés,

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu le code pénal ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 45 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi
n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la décision n° 2016-277C du 4 octobre 2016 de la Présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification après de la société DIRECT ENERGIE;

Vu les procès-verbaux de contrôle sur place n° 2016-277/1 du 19 octobre 2016 et n°2016-277/2 du 1er février 2018 ;

Vu les autres pièces du dossier ;

  • Constate les faits suivants

La société anonyme DIRECT ENERGIE (ci-après la société ) a pour activité la fourniture et la production d’énergie. Elle emploie 650 salariés et a réalisé un chiffre d’affaires d’environ 1,7 milliard d’euros en 2016. Son siège social est situé 2bis, rue Louis Armand, à Paris (75015).

En application de la décision n°2016-277C du 4 octobre 2016 de la Présidente de la Commission Nationale et Libertés (ci-après CNIL), une délégation de la CNIL a procédé à deux missions de contrôle sur place les 19 octobre 2016 et 1er février 2018.

Cette mission a eu pour objet de procéder à la vérification de la conformité aux dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après la loi Informatique et Libertés ou loi du 6 janvier 1978 modifiée ) des traitements de données à caractère personnel mis en œuvre par la société.

Sur les données de consommations issues des compteurs communicants LINKY

Développé et déployé par la société ENEDIS, gestionnaire du réseau de distribution d’électricité, le compteur communicant LINKY a notamment pour objet de permettre aux consommateurs une meilleure maitrise de leurs consommations d’électricité (ex : suivi et comparaison des consommations, via un espace sécurisé sur le site du gestionnaire de réseau, facturation basée sur les consommations réelles et non plus sur des estimations) et d’offrir de nouveaux services (ex : bilan énergétique).

Doté de plusieurs fonctionnalités techniques, ce compteur communicant permet de relever à distance des données de consommations d’électricité plus fines que les compteurs traditionnels telles que les données de consommations quotidiennes ainsi que celles relatives à la consommation horaire ou au pas de trente minutes.

La société ENEDIS prévoit, d’ici 2021, d’installer 35 millions de compteurs communicants.

Sur les faits

Lors du contrôle du 19 octobre 2016, la délégation a été informée que, depuis l’été 2016, la société DIRECT ENERGIE demande à la société ENEDIS de lui transmettre :

-les consommations horaires au pas de trente minutes de ses clients (appelées aussi courbes de charge ) ; et

-leurs consommations quotidiennes d’électricité (appelées aussi index quotidiens ).

Elle a également été informée qu’avant le remplacement d’un compteur électrique par un compteur communicant, les clients de la société sont informés, par courrier postal ou électronique, du changement à venir.

S’agissant des données de consommations au pas de trente minutes , la délégation a été informée que le consentement des clients ou futurs clients, pour la collecte de ces données par la société ENEDIS et leur transmission pour traitement à DIRECT ENERGIE, est recueilli par internet, par coupon papier ou par appel téléphonique.

Elle a également été informée et a constaté que le consentement des clients, pour le traitement et la collecte de ces données par la société DIRECT ENERGIE, est recueilli selon différents modes:

-en cochant une case spécifique lors de la souscription du contrat par internet ;

-en validant dans l’espace client ou dans un courrier électronique envoyé par DIRECT ENERGIE la case J’active mon compteur Linky ;

-en répondant positivement à une demande orale lors de la souscription du contrat par téléphone ;

-en renvoyant un coupon joint au courrier papier envoyé par DIRECT ENERGIE concernant le remplacement du compteur électrique.

S’agissant des données de consommations quotidiennes, la délégation a été informée que le consentement des clients de la société n’est pas requis pour la collecte et la transmission de ces données de la société ENEDIS à la société DIRECT ENERGIE. Lors du contrôle du 1er février 2018, il lui a été indiqué que l’information concernant la collecte de ces données figurait dans le contrat.

Elle a également constaté que la base de données de la société contenait :

-les données de consommations au pas de trente minutes de […] foyers ayant un compteur communicant ;

-les données relatives aux consommations quotidiennes de […] foyers ayant un compteur communicant.

A la suite du contrôle et des demandes formulées par la délégation, la société a apporté des éléments additionnels par courriers électroniques en date des 19, 20, 26, 27 octobre 2016 ainsi que les 21 mars 2017 et 9 février 2018.

II- Sur les manquements constatés au regard des dispositions de la loi du 6 janvier 1978 modifiée

Un manquement à l’obligation de recueillir le consentement des personnes pour les traitements concernant les données relatives aux consommations au pas de trente minutes et aux consommations quotidiennes

Aux termes de l’article 7 de la loi n° 78-17 du 6 janvier 1978 modifiée : un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l'une des conditions suivantes :

1° Le respect d'une obligation légale incombant au responsable du traitement ;

2° La sauvegarde de la vie de la personne concernée ;

3° L'exécution d'une mission de service public dont est investi le responsable ou le destinataire du traitement ;

4° L'exécution, soit d'un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;

5° La réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux de la personne concernée .

Concernant les données relatives aux consommations au pas de trente minutes

La délégation a été informée, lors du contrôle du 1er février 2018, que la société envoie une communication (courrier papier ou électronique) à ses clients 45 jours avant l’installation du compteur communicant afin de leur demander leur accord à la collecte de ces données.

La société a précisé que l’accord des clients à la collecte de ces données se formalise via l’espace client du consommateur ou via le coupon joint au courrier papier envoyé précédemment.

La délégation a constaté que le courrier type adressé aux clients par voie postale, afin de leur annoncer le remplacement de leur compteur électrique, contient un paragraphe intitulé Que devez-vous faire ? qui indique : Deux choses très simples :

- Permettre à l’entreprise […] de réaliser la pose du compteur selon les modalités décrites ci-dessus ;

- Nous permettre d’accéder aux données de consommation détaillées de votre futur compteur Linky afin de vous assurer une facturation au plus juste et de vous adresser régulièrement votre bilan de consommation. Pour cela, il vous suffit de nous retourner le coupon ci-dessous, daté et signé, au moyen de l’enveloppe T jointe. .

Le coupon susmentionné dénommé Mise en service du compteur communicant Linky- Télétransmission des données de consommation concerne l’autorisation donnée par le client pour permettre d’une part, l’enregistrement, par la société ENEDIS, des données relatives à sa courbe de charge et d’autre part, leur transmission et utilisation par la société DIRECT ENERGIE.

Il a également été constaté que l’espace client comprend l’information suivante :

J’active mon compteur Linky pour bénéficier d’un suivi de consommation réelle et d’un pilotage personnalisé de ma consommation .

Puis, un encart précise :

J’autorise Direct Energie à demander, en mon nom et pour mon compte, au gestionnaire du réseau de distribution (Enedis) d’enregistrer ma consommation par courbe de charge pour la transmettre à Direct Energie.

J’autorise Direct Energie à utiliser ma consommation par courbe de charge pour me donner accès au suivi et à l’analyse de ma consommation.

Un bouton jaune intitulé J’active mon compteur Linky se trouve à la suite de ces deux informations.

En outre, le courrier électronique envoyé aux clients intitulé Remplacement de votre compteur électrique indique la mention d’information suivante :

Permettre au technicien mandaté par Enedis de réaliser l’intervention [….].

Permettre dès aujourd’hui à Direct Energie d’accéder aux données de consommation de votre futur compteur, afin de vous assurer une facturation au plus juste et de vous adresser régulièrement votre bilan de consommation en cliquant ici [..]

Le lien cliquable renvoie à un bouton intitulé J’active mon compteur Linky .

De plus, il ressort d’enregistrements d’appels téléphoniques transmis lors du contrôle du 1er février 2018, que la personne qui accepte la collecte de la consommation par courbe de charge par la société est parfois le propriétaire du logement et non son occupant, alors que ce dernier est la personne concernée par les données de consommations.

Aussi, et au regard de ces éléments, le consentement donné par le client à la transmission des données de consommations au pas de trente minutes à la société DIRECT ENERGIE ne peut être considéré comme libre, éclairé et spécifique, pour plusieurs raisons.

En premier lieu, il résulte des éléments mentionnés ci-dessus que le client reçoit une information selon laquelle son compteur doit être remplacé dans le cadre d’une campagne menée par ENEDIS. A cette occasion et à la question Que devez-vous faire , il lui est expliqué qu’il doit permettre au technicien d’accéder à son compteur et permettre à DIRECT ENERGIE d’accéder à ses données de consommations. L’objet des communications reçues par le client se rapporte au remplacement du compteur électrique, à l’activation du nouveau compteur communicant et à la collecte des données de consommation (objet du courrier postal ou électronique, présentation de la campagne de remplacement des compteurs, bouton J’active mon compteur Linky et coupon intitulé Mise en service du compteur communicant Linky- Télétransmission des données de consommation ).

Le client pense donc consentir simultanément au changement de compteur électrique et à la collecte des données relatives à sa consommation. Or, la société n’est pas en charge du déploiement et de l’activation des compteurs Linky. Si le client ne répond pas positivement à la demande d’ activation du compteur Linky , celui-ci sera néanmoins activé par la société ENEDIS et opérationnel. L’accord sollicité par la société DIRECT ENERGIE ne saurait donc porter sur l’activation du compteur, seule la collecte des données de consommation étant en réalité susceptible de faire l’objet d’un accord de la personne auprès de cette société.

Ainsi, le client donne son accord à la collecte des données dans un contexte où il pense également donner son accord à l’activation du compteur Linky, alors que le consentement à la collecte de la courbe de charge est en fait décorrélé de l’activation du compteur.

En deuxième lieu, la finalité affichée de la collecte des données de consommations ( vous assurer une facturation au plus juste ) ne correspond pas à la réalité puisqu’aux jours des contrôles, la société ne proposait pas à ses clients d’offre basée sur la consommation au pas de trente minutes.

Le caractère éclairé du consentement fait également défaut pour cette raison.

En troisième lieu, le consentement est recueilli de manière générale sur la collecte de données relatives à la courbe de charge, sans aucune précision sur la cadence effective de cette collecte – à savoir le pas de trente minutes.

Enfin, l’autorisation délivrée au téléphone par un tiers (le propriétaire du logement) ne saurait valoir consentement des locataires au traitement de leurs données. Dans cette hypothèse, le consentement de la personne concernée fait entièrement défaut.

Or la Commission a considéré dans sa recommandation relative aux traitements des données de consommation collectées par les compteurs communicants du 15 novembre 2012, que la courbe de charge ne pouvait être collectée qu’avec le consentement exprès des personnes concernées.

A toutes fins utiles, l’article D. 224-27 du code de la consommation concernant l’espace sécurisé mis à la disposition du consommateur par le fournisseur d’énergie confirme désormais l’exigence d’un tel consentement. Cet article dispose que Cet espace sécurisé […] comporte des fonctionnalités permettant au consommateur de demander au fournisseur qu'il transmette au gestionnaire de réseau de distribution ses demandes […]: 1° S'agissant de la courbe de charge d'électricité : […] c) De la collecter ou de cesser de la collecter .

En l'espèce, faute de recueillir le consentement éclairé, libre et spécifique des personnes concernées, le traitement mis en œuvre par la société ne pourrait avoir pour base légale que l'une des bases, alternatives au consentement, énumérées aux 1° à 5° de l'article 7 précité.

Compte-tenu de la nature des traitements en cause, les 1°, 2° et 3° de l'article 7 de la loi du 6 janvier 1978 modifiée ne peuvent constituer la base légale de mise en œuvre du traitement par la société, lequel ne peut donc être examiné qu’au regard du 4° et du 5° de l’article 7 précité.

S’agissant du 4° de l’article 7, il apparait que la collecte des données relatives à la consommation au pas de trente minutes n’est pas nécessaire à l’exécution du contrat auquel souscrit le client, à savoir la fourniture d’électricité facturée mensuellement.

En ce qui concerne l’intérêt légitime poursuivi par le responsable de traitement visé au 5° de l’article 7 précité, la collecte par défaut des données de consommations au pas de trente minutes des foyers équipés du compteur Linky apparaît particulièrement intrusive en ce qu’elles sont susceptibles de révéler des informations sur la vie privée des personnes concernées, telles que les heures de lever et de coucher ou le nombre de personnes présentes dans le logement. En outre, il n’existe pas d’offres basées sur la consommation au pas de trente minutes des clients et seule une partie des clients de la société pourrait souhaiter en bénéficier. La société ne dispose, dès lors, pas d’un intérêt légitime à collecter et traiter les données de consommations au pas de trente minutes compte-tenu de l’atteinte aux intérêts et aux droits des personnes.

Il en résulte que le traitement précité est dépourvu de base légale faute de recueillir valablement le consentement des clients ou de pouvoir se prévaloir de l’une des bases légales alternatives mentionnées aux 4° et 5° de l’article 7.

Ces faits constituent donc un manquement aux dispositions de l’article 7 de la loi du 6 janvier 1978 modifiée.

Concernant les données relatives aux consommations quotidiennes

La délégation a été informée, lors du contrôle du 16 octobre 2016, que la société collecte ces données, pour les clients disposant d’un compteur communicant, auprès de la société ENEDIS, sans recueil de leur consentement. Il lui a également été indiqué, lors du contrôle du 1er février 2018, que les informations concernant cette collecte étaient indiquées dans le contrat.

Dans les éléments qu’elle a transmis à la CNIL le 9 février 2018, la société précise que ces données lui permettent d’obtenir des informations générales sur le niveau de consommation quotidienne des clients et sont utiles à l’accomplissement de ses obligations légales et contractuelles. Sur ce point, la société fait référence aux dispositions du décret n°2017-976 du 10 mai 2017 insérées dans le code de la consommation concernant l’espace sécurisé mis à la disposition du consommateur par le fournisseur d’énergie.

Durant le contrôle du 1er février 2018, il a été constaté que lors de la souscription d’un contrat par internet, les nouveaux clients qui renseignent leur numéro de point de livraison disposent de l’information suivante :

J’autorise expressément Direct Energie à récupérer auprès du Gestionnaire du Réseau de Distribution ma puissance souscrite et mon option tarifaire nécessaires à l’exécution de mon contrat ainsi que mes données de consommation quotidiennes (si je suis équipé d’un compteur Linky) me permettant de bénéficier d’un meilleur suivi de ma consommation .

Cette information, qui n’est assortie d’aucune case à cocher, est suivie du bouton cliquable continuer qui permet d’accéder à l’étape suivante du parcours client.

Puis, sur la page intitulée Identification du compteur , l’information suivante est disponible : Je suis informé(e) que Direct Energie récupère auprès du Gestionnaire du Réseau de Distribution ma puissance souscrite et mon option tarifaire ainsi que mes données de consommation quotidienne (si je suis équipé d’un compteur Linky) me permettant de bénéficier d’un meilleur suivi de ma consommation .

Les anciens clients qui bénéficient d’un compteur communicant ont reçu l’information suivante par voie postale ou électronique : Direct Energie collecte auprès d’ENEDIS vos index quotidiens de consommation afin de permettre une facturation au plus juste et de vous fournir le suivi de consommation .

Enfin, l’encart intitulé Acceptation du contrat présent dans le contrat de fourniture d’électricité passé avec le client indique : Je suis informé(e) que Direct Energie récupère auprès du Gestionnaire du Réseau de Distribution les éléments nécessaires à ma souscription ainsi que mes données de consommations quotidiennes permettant de bénéficier d’un meilleur suivi de ma consommation .

S’il existe une information des personnes quant à la collecte des données de consommations quotidiennes, il ressort de l’ensemble de ces éléments que le consentement exprès des clients et futurs clients n’est recueilli à aucun stade (souscription en ligne ou conclusion du contrat).

A toutes fins utiles, l’article D. 224-27 du code de la consommation concernant l’espace sécurisé mis à la disposition du consommateur par le fournisseur d’énergie confirme l’exigence d’un tel consentement. Cet article dispose que Cet espace sécurisé […] comporte des fonctionnalités permettant au consommateur de demander au fournisseur qu'il transmette au gestionnaire de réseau de distribution ses demandes […] De transmettre ou cesser de transmettre au fournisseur, les données suivantes a) Les index quotidiens relevés à distance et la consommation quotidienne mesurée, s'agissant de l'électricité, en kilowattheures et, s'agissant du gaz naturel, à la fois en m3 et en kilowattheures avec mention du coefficient de conversion appliqué .

En l'espèce, faute de recueillir le consentement des personnes concernées et compte tenu de la nature des traitements en cause, le traitement mis en œuvre par la société ne peut avoir pour base légale que l'une des conditions énumérées au 4° et au 5° de l’article 7 précité.

S’agissant du 4° de l’article 7, il apparait que la collecte des données relatives à la consommation quotidienne n’est pas nécessaire à l’exécution du contrat auquel souscrit le client, à savoir la fourniture d’électricité facturée mensuellement.

En conséquence, la société ne peut fonder la collecte et le traitement des données de consommations quotidiennes sur l’exécution du contrat de fourniture d’électricité, de sorte que le 4° de l’article 7 précité ne peut trouver à s’appliquer en l’espèce.

En ce qui concerne l’intérêt légitime poursuivi par le responsable de traitement et visé au 5° de l’article 7, il résulte des éléments transmis le 9 février 2018 par la société que la collecte des données relatives à la consommation quotidienne lui permettra d’avoir une meilleure compréhension de la consommation des clients et de leur proposer des offres plus adaptées à leurs besoins .

Toutefois, s’il apparait légitime que la société optimise son système en proposant des offres personnalisées à ses clients, il apparaît que la collecte d’office de ces données – qui est particulièrement intrusive et attentatoire à leur vie privée - méconnait leurs intérêts et droits, d’autant qu’il n’existe pas non plus d’offres tarifaires basées sur leur consommation quotidienne.

Dans ces conditions, un tel traitement est dépourvu de base légale faute de recueillir le consentement des clients ou de pouvoir se prévaloir de l’une des exceptions prévues aux 4° et 5° de l’article 7.

Ces faits constituent donc un manquement aux dispositions de l’article 7 de la loi du 6 janvier 1978 modifiée.

En conséquence, la société DIRECT ENERGIE sise 2bis, rue Louis Armand, à Paris (75015) est mise en demeure, sous un délai de trois (3) mois à compter de la notification de la présente décision et sous réserve des mesures qu’elles auraient déjà pu adopter, de :

  • recueillir le consentement préalablement à la collecte des données relatives aux consommations au pas de trente minutes et aux consommations quotidiennes des clients, y compris de ceux dont les données sont déjà enregistrées par la société et à défaut, supprimer lesdites données collectées ;

  • justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti.

À l’issue de ce délai, si la société DIRECT ENERGIE s’est conformée à la présente mise en demeure, il sera considéré que la présente procédure est close et un courrier lui sera adressé en ce sens.

À l’inverse, si la société DIRECT ENERGIE ne s’est pas conformée à la présente mise en demeure, un rapporteur sera désigné qui pourra demander à la formation restreinte de prononcer l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée.

La Présidente

Isabelle FALQUE-PIERROTIN

Date de la publication sur legifrance: 27 mars 2018