Décision MED-2019-036 du 31 décembre 2019

Commission Nationale de l'Informatique et des Libertés
Décision n°MED-2019-036 du 31 décembre 2019
Décision n° MED 2019-036 du 31 décembre 2019 mettant en demeure la société ENGIE
Etat: VIGUEUR

La Présidente de la Commission nationale de l'informatique et des libertés,

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;

Vu le code pénal ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 20 ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la décision n° 2019-024C du 20 décembre 2018 de la Présidente de la Commission nationale de l’informatique et des libertés de charger le Secrétaire général de procéder ou de faire procéder à une mission de vérification auprès de la société ENGIE ;

Vu le procès-verbal de contrôle n° 2019-024/1 du 21 février 2019 et n° 2019-024/2 du 14 mai 2019 ;

Vu les autres pièces du dossier ;

La société anonyme ENGIE (ci-après ENGIE ) a pour activité la fourniture d’électricité et de gaz. Elle emploie ‎160 000 personnes et, en 2018, a réalisé un chiffre d’affaires d’environ 61 milliards d’euros. Son siège social est situé 1 place Samuel de Champlain à Courbevoie (92400).

En application de la décision n° 2019-024C du 20 décembre 2018 de la Présidente de la Commission nationale de l’informatique et des libertés (ci-après la CNIL ), une délégation de la CNIL a procédé à deux missions de contrôle sur place le 21 février 2019 et le 14 mai 2019.

Cette mission a eu pour objet de procéder à la vérification de la conformité des traitements de données à caractère personnel mis en œuvre par la société aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ( RGPD ).

Sur les compteurs communicants LINKY

Le compteur communicant LINKY permet de relever à distance des données de consommation d’électricité plus fines que les compteurs traditionnels, telles que les consommations quotidiennes et à la demi-heure.

Les compteurs LINKY sont actuellement en cours de déploiement par ENEDIS, le gestionnaire du réseau de distribution. ENEDIS prévoit d’installer 35 millions de compteurs communicants d’ici 2021.

Sur la collecte des données de consommation issues des compteurs communicants LINKY

Lors du contrôle effectué le 21 février 2019, la délégation a été informée et a constaté que la société ENGIE recueille le consentement des usagers à la collecte de leurs données de consommation fines par le biais d’une case à cocher.

Plus précisément, l’usager se voit proposer d’activer la collecte de ses données quotidiennes et à la demi-heure via une seule case à cocher autoriser , rédigée ainsi : Afin d’avoir accès au suivi de consommation détaillée, j’autorise le distributeur d’électricité à collecter et à transmettre à ENGIE les informations de mesure de consommation détaillées, notamment la courbe de charge, passées et à venir du point de livraison .

En complément, en cliquant sur un lien en savoir plus sur les données collectées , il est précisé Quelles sont les données collectées ? À quoi servent-elles ?

  • Votre consommation et vos index quotidiens en kWh nous permettent d’afficher votre consommation quotidienne en kWh et en euros
  • La puissance maximale quotidienne nous permettra de vous apporter des conseils tarifaires sur la puissance souscrite
  • La courbe de charge nous permettra de vous présenter une répartition par usage personnalisé .

La délégation a été informée que la société ENGIE recueille ce consentement en vue d’afficher dans l’espace client les consommations quotidiennes et à la demi-heure.

Sur les durées de conservation

La délégation a été informée, qu’à l’issue de la résiliation du contrat, la société ENGIE conserve en base active les coordonnées du client (nom, prénom, adresse), ainsi que les données nécessaires à l’exécution du contrat (pièces comptables, factures, les consommations mensuelles, contrat).

La délégation a été informée que ces données sont conservées pendant trois ans en base active puis sont archivées pendant huit ans en archivage intermédiaire.

II- Les manquements au regard des dispositions du RGPD

Un manquement à l’obligation de disposer d’une base légale pour les traitements mis en œuvre

Selon la granularité de la donnée (données journalières ou données de consommation fines à l’heure ou à la demi-heure) et le rôle du responsable de traitement dans la chaîne énergétique (gestionnaire du réseau de distribution ou fournisseur), la collecte des données de consommation peut nécessiter de recueillir le consentement du client.

Ainsi, le gestionnaire du réseau de distribution (ENEDIS) collecte par défaut les consommations journalières pour permettre à l’usager de consulter gratuitement l’historique de ses consommations, conformément au code de l’énergie. En revanche, il ne collecte pas les données de consommation fines (horaires et/ou à la demi-heure) de manière automatique. En effet, ces données ne peuvent être collectées par le gestionnaire du réseau de distribution qu’avec l’accord de l’usager ou, de manière ponctuelle, lorsqu’elles sont nécessaires à l’accomplissement des missions de service public assignées au gestionnaire du réseau par le code de l’énergie (par exemple, pour l’entretien et la maintenance du réseau ou l’intégration des énergies renouvelables).

En ce qui concerne les fournisseurs d’énergie tels que la société ENGIE, ces derniers ne peuvent collecter les consommations quotidiennes et horaires et/ou à la demi-heure qu’avec le consentement de l’abonné.

Pour être valable, le consentement doit être libre, spécifique, éclairé et univoque , en application de l’article 4, paragraphe 11, du RGPD. Lorsqu’un de ces critères fait défaut, le consentement ne peut être retenu comme base légale du traitement au sens de l’article 6, paragraphe 1, a) du RGPD.

S’agissant du caractère spécifique du consentement, il résulte du RGPD que la personne concernée doit être en mesure de donner son consentement de façon indépendante et distincte pour chaque finalité poursuivie. Ainsi, le considérant 43 prévoit que le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d’espèce (…) .

De même, les lignes directrices sur le consentement, adoptées par le G29, le 28 novembre 2017, précisent que (…) les personnes concernées devraient être libres de choisir quelles finalités elles acceptent, plutôt que de devoir consentir à un ensemble de finalités de traitement. En vertu du RGPD, plusieurs consentements pourraient être nécessaires avant de pouvoir fournir un service dans un cas donné. Le considérant 43 précise que le consentement est présumé ne pas avoir été donné librement si le processus / la procédure d’obtention du consentement ne permet pas aux personnes concernées de donner un consentement distinct à différentes opérations de traitement des données à caractère personnel (par ex. uniquement pour certaines opérations de traitement et pas pour d’autres) bien que cela soit approprié dans le cas d’espèce. […] Afin de se conformer aux conditions d’obtention d’un consentement valable lorsque le traitement des données est effectué pour différentes finalités, il convient de détailler le consentement, c’est-à-dire de différencier ses différentes finalités et d’obtenir un consentement pour chacune d’entre elles (p. 11).

S’agissant du caractère éclairé du consentement, il ressort des lignes directrices du G 29 sur le consentement que pour que le consentement soit éclairé, il est nécessaire d’informer la personne concernée de certains éléments cruciaux pour opérer un choix, [tels que] (…) (ii) la finalité de chacune des opérations de traitement pour lesquelles le consentement est sollicité, (iii) les (types de) données collectées et utilisées (p. 15).

En l’espèce, la délégation a été informée et a constaté que la société ENGIE recueille le consentement des usagers à la collecte de leurs données de consommation quotidiennes et à la demi-heure par le biais d’une seule case à cocher, et ce pour deux opérations de traitement distinctes, à savoir l’affichage dans l’espace client des consommations quotidiennes et l’affichage dans l’espace client des consommations à la demi-heure.

Ainsi, le consentement pour le traitement des données quotidiennes emporte automatiquement consentement pour le traitement des données à la demi-heure. Pourtant, les opérations de traitement évoquées ci-dessus sont distinctes et indépendantes les unes des autres : ainsi, un usager peut souhaiter consulter l’historique de ses consommations journalières, sans nécessairement souhaiter accéder à ses données à la demi-heure.

En conséquence, le traitement des données à des fins d’affichage des index journaliers et celui plus complet et détaillé des données à la demi-heure constituent des opérations de traitement distinctes, de sorte que l’usager devrait pouvoir donner un consentement pour chacune d’entre elles et activer la collecte des index journaliers, sans nécessairement devoir accepter d’activer de manière corrélée celle de la courbe de charge.

Il résulte de l’ensemble de ces éléments que le consentement des utilisateurs n’est ni spécifique ni suffisamment éclairé, de sorte que les modalités de son recueil ne sont pas conformes aux dispositions de l’article 4, paragraphe 11 du RGPD, ce qui entraîne un manquement aux dispositions de l’article 6, paragraphe 1, a) du RGPD.

Un manquement à l’obligation de définir une durée de conservation proportionnée à la finalité du traitement

En application de l’article 5, paragraphe 1, e) du RGPD, les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées .

En l’espèce, la société ENGIE a informé la délégation, qu’à l’issue de la résiliation du contrat, elle conserve en base active les coordonnées du client (nom, prénom, adresse), ainsi que les données nécessaires à l’exécution du contrat (pièces comptables, factures, les consommations mensuelles, contrat). Ces données sont conservées pendant trois ans en base active puis sont placées pendant huit ans en archivage intermédiaire.

Or, si les coordonnées du client peuvent être conservées en base active pendant trois ans à l’issue de la résiliation du contrat à des fins de prospection commerciale, les données de consommation mensuelles ne sont pas nécessaires à cette finalité, de sorte que leur conservation est excessive.

Par ailleurs, la conservation des données de consommation mensuelles à l’issue de la résiliation du contrat n’est pas non plus justifiée par la mise à disposition de ces données dans l’espace client de l’usager dans la mesure où cette mise à disposition n’est effective que pour une durée d’un an à l’issue de la résiliation du contrat.

Dès lors, la conservation en base active des consommations mensuelles pendant trois ans à l’issue de la résiliation du contrat est excessive au sens de l’article 5, paragraphe 1, e) du RGPD.

En conséquence, la société ENGIE, sise 1 place Samuel de Champlain à Courbevoie (92400), est mise en demeure sous un délai de trois (3) mois à compter de la notification de la présente décision et sous réserve des mesures qu’elle aurait déjà pu adopter, de :

  • recueillir un consentement libre, spécifique, éclairé et univoque préalablement à la collecte des données de consommation quotidiennes et à la demi-heure de ses clients, y compris de ceux dont les données sont déjà enregistrées, par exemple, en mettant en place une case à cocher pour chaque opération de traitement et, à défaut, supprimer lesdites données collectées, conformément aux articles 4, paragraphe 11, et 6, paragraphe 1, a) du RGPD ;

  • définir et mettre en œuvre une politique de durée de conservation des données qui n’excède pas la durée nécessaire aux finalités pour lesquelles ces données sont collectées et, au besoin, purger les données non conformes à cette politique de durée de conservation, conformément aux dispositions de l’article 5, paragraphe 1, e) du RGPD ;

  • justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti.

À l’issue de ce délai, si la société ENGIE s’est conformée à la présente mise en demeure, il sera considéré que la présente procédure est close et un courrier lui sera adressé en ce sens.

À l’inverse, si la société ENGIE ne s’est pas conformée à la présente mise en demeure, un rapporteur sera désigné qui pourra demander à la formation restreinte de prononcer l’une des sanctions prévues par l’article 20 de la loi du 6 janvier 1978 modifiée.

La Présidente

Marie-Laure DENIS




Nature de la délibération: DÉCISION UNIQUE
Date de la publication sur legifrance: 11 février 2020