Décision MED 2019-035 du 31 décembre 2019

Décision n° MED 2019-035 du 31 décembre 2019 mettant en demeure la société X

(N°MDMX)

La Présidente de la Commission nationale de l'informatique et des libertés,

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;

Vu le code pénal ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 20 ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la décision n° 2019-023C du 20 décembre 2018 de la Présidente de la Commission nationale de l’informatique et des libertés de charger le Secrétaire général de procéder ou de faire procéder à une mission de vérification auprès de la société X ;

Vu le procès-verbal de contrôle n° 2019-023/1 du 11 mars 2019 et n° 2019-023/2 du 12 mars 2019 ;

Vu les autres pièces du dossier ;

Les faits constatés

La société anonyme X a pour activité la fourniture d’électricité et de gaz. Elle emploie ‎154 845 personnes et, en 2018, a réalisé un chiffre d’affaires d’environ 69 milliards d’euros. Son siège social est situé X.

En application de la décision n° 2019-023C du 20 décembre 2018 de la Présidente de la Commission nationale de l’informatique et des libertés (ci-après la CNIL ), une délégation de la CNIL a procédé à deux missions de contrôle sur place les 11 et 12 mars 2019.

Cette mission a eu pour objet de procéder à la vérification de la conformité des traitements de données à caractère personnel mis en œuvre par la société aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ( RGPD ).

Sur les compteurs communicants LINKY

Le compteur communicant LINKY permet de relever à distance des données de consommation d’électricité plus fines que les compteurs traditionnels, telles que les consommations quotidiennes et à la demi-heure.

Les compteurs LINKY sont actuellement en cours de déploiement par ENEDIS, le gestionnaire du réseau de distribution. ENEDIS prévoit d’installer 35 millions de compteurs communicants d’ici 2021.

Sur la collecte des données de consommation issues des compteurs communicants LINKY

Lors des contrôles effectués les 11 et 12 mars 2019, la délégation a été informée et a constaté que la société X recueille le consentement des usagers à la collecte de leurs données de consommation fines par le biais d’une case à cocher.

Plus précisément, l’usager se voit proposer d’activer la collecte de ses données quotidiennes et à la demi-heure via une seule case à cocher j’autorise , rédigée ainsi : Ma consommation d’électricité quotidienne (toutes les 30min), mon historique ainsi que ma puissance maximale atteinte . En complément, en cliquant sur un lien plus d’informations , il est précisé Ma conso au jour le jour : la connaître pour mieux comprendre et maîtriser ma consommation avec l’affichage de ma consommation quotidienne (toutes les 30 min), mon historique ainsi que ma puissance maximale atteinte. Enedis transmet mes données de consommation à X qui me fournit des conseils personnalisés sur ma consommation .

Ce consentement est ainsi recueilli pour les finalités suivantes : l’affichage dans l’espace client des consommations quotidiennes, l’affichage dans l’espace client des consommations à la demi-heure et des conseils personnalisés visant à mieux maîtriser les consommations d’électricité.

Sur les durées de conservation

La délégation a été informée que la société X conserve en base active les données de consommation quotidiennes et à la demi-heure pendant la durée de vie du contrat puis pendant cinq ans, sans procéder à un archivage intermédiaire, qu’il soit physique sur un serveur distinct ou logique via une restriction des accès.

La délégation a été informée qu’aucune procédure de purge automatisée n’est mise en place notamment pour des raisons de complexité technique.

Les manquements au regard des dispositions du RGPD

Un manquement à l’obligation de disposer d’une base légale pour les traitements mis en œuvre

Selon la granularité de la donnée (données journalières ou données de consommation fines à l’heure ou à la demi-heure) et le rôle du responsable de traitement dans la chaîne énergétique (gestionnaire du réseau de distribution ou fournisseur), la collecte des données de consommation peut nécessiter de recueillir le consentement du client.

Ainsi, le gestionnaire du réseau de distribution (ENEDIS) collecte par défaut les consommations journalières pour permettre à l’usager de consulter gratuitement l’historique de ses consommations, conformément au code de l’énergie. En revanche, il ne collecte pas les données de consommation fines (horaires et/ou à la demi-heure) de manière automatique. En effet, ces données ne peuvent être collectées par le gestionnaire du réseau de distribution qu’avec l’accord de l’usager ou, de manière ponctuelle, lorsqu’elles sont nécessaires à l’accomplissement des missions de service public assignées au gestionnaire du réseau par le code de l’énergie (par exemple, pour l’entretien et la maintenance du réseau ou l’intégration des énergies renouvelables).

En ce qui concerne les fournisseurs d’énergie tels que la société X, ces derniers ne peuvent collecter les consommations quotidiennes et horaires et/ou à la demi-heure qu’avec le consentement de l’abonné.

Pour être valable, le consentement doit être libre, spécifique, éclairé et univoque , en application de l’article 4, paragraphe 11, du RGPD. Lorsqu’un de ces critères fait défaut, le consentement ne peut être retenu comme base légale du traitement au sens de l’article 6, paragraphe 1, a) du RGPD.

S’agissant du caractère spécifique du consentement, il résulte du RGPD que la personne concernée doit être en mesure de donner son consentement de façon indépendante et distincte pour chaque finalité poursuivie. Ainsi, le considérant 43 prévoit que le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d’espèce (…) .

De même, les lignes directrices sur le consentement, adoptées par le G29, le 28 novembre 2017, précisent que (…) les personnes concernées devraient être libres de choisir quelles finalités elles acceptent, plutôt que de devoir consentir à un ensemble de finalités de traitement. En vertu du RGPD, plusieurs consentements pourraient être nécessaires avant de pouvoir fournir un service dans un cas donné. Le considérant 43 précise que le consentement est présumé ne pas avoir été donné librement si le processus / la procédure d’obtention du consentement ne permet pas aux personnes concernées de donner un consentement distinct à différentes opérations de traitement des données à caractère personnel (par ex. uniquement pour certaines opérations de traitement et pas pour d’autres) bien que cela soit approprié dans le cas d’espèce. […] Afin de se conformer aux conditions d’obtention d’un consentement valable lorsque le traitement des données est effectué pour différentes finalités, il convient de détailler le consentement, c’est-à-dire de différencier ses différentes finalités et d’obtenir un consentement pour chacune d’entre elles (p. 11).

S’agissant du caractère éclairé du consentement, il ressort des lignes directrices du G 29 sur le consentement que pour que le consentement soit éclairé, il est nécessaire d’informer la personne concernée de certains éléments cruciaux pour opérer un choix, [tels que] (…) (ii) la finalité de chacune des opérations de traitement pour lesquelles le consentement est sollicité, (iii) les (types de) données collectées et utilisées (p. 15).

En l’espèce, la délégation a été informée et a constaté que la société X recueille le consentement des usagers à la collecte de leurs données de consommation quotidienne et à la demi-heure par le biais d’une seule case à cocher, et ce pour trois finalités distinctes, à savoir l’affichage dans l’espace client des consommations quotidiennes, l’affichage dans l’espace client des consommations à la demi-heure et des conseils personnalisés visant à mieux maitriser leur consommation d’électricité.

Ainsi, le consentement pour le traitement des données quotidiennes emporte automatiquement consentement pour le traitement des données à la demi-heure s’agissant aussi bien de l’affichage des consommations dans l’espace client que de la fourniture de conseils personnalisés. Pourtant, ces opérations de traitement sont distinctes et indépendantes les unes des autres : ainsi, un usager peut souhaiter consulter l’historique de ses consommations à la journée, sans nécessairement vouloir bénéficier d’un affichage à la demi-heure ou souhaiter recevoir des conseils personnalisés de la part de son fournisseur.

À cet égard, la Commission relève que la rédaction de la mention accompagnant la case à cocher j’accepte fait référence à la consommation d’électricité quotidienne (toutes les 30 min) ce qui est particulièrement susceptible d’induire l’abonné en erreur sur la portée de son engagement. En effet, les données quotidiennes et à la demi-heure sont présentées comme étant équivalentes, alors que les données à la demi-heure sont plus révélatrices des habitudes de vie des personnes que les données quotidiennes.

En conséquence, le traitement des données à des fins d’affichage des index journaliers, celui plus complet et détaillé des données à la demi-heure, ainsi que celui visant à offrir des conseils personnalisés poursuivent des finalités distinctes, de sorte que l’usager devrait pouvoir donner un consentement par finalité et activer la collecte des index journaliers, sans nécessairement devoir accepter d’activer de manière corrélée celle de la courbe de charge.

Il résulte de l’ensemble de ces éléments que le consentement des utilisateurs n’est ni spécifique ni suffisamment éclairé, de sorte que les modalités de son recueil ne sont pas conformes aux dispositions de l’article 4, paragraphe 11 du RGPD, ce qui entraîne un manquement aux dispositions de l’article 6, paragraphe 1, a) du RGPD.

Un manquement à l’obligation de définir une durée de conservation proportionnée à la finalité du traitement

En application de l’article 5, paragraphe 1, e) du RGPD, les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées .

En l’espèce, la délégation a été informée que la société X conserve en base active les consommations quotidiennes et à la demi-heure cinq ans après la résiliation du contrat, sans procéder à un archivage intermédiaire, qu’il soit physique sur un serveur distinct ou logique via une restriction des accès.

La délégation a également été informée qu’aucune procédure automatisée de purge n’est mise en place notamment pour des raisons de complexité technique.

De telles durées de conservation sont excessives au regard des finalités pour lesquelles ces données sont traitées.

En effet, la conservation des données de consommation à la demi-heure n’est pas nécessaire à la facturation de l’électricité consommée, qui est mensuelle.

Il en est de même s’agissant des données de consommation quotidienne, qui ne sont pas non plus nécessaires à la facturation, sauf dans le cadre de l’offre Vert Électrique Week-end , laquelle nécessite de connaître les consommations effectuées le samedi, le dimanche et les jours fériés pour leur appliquer des prix avantageux.

Cependant, même dans le cadre de l’offre Vert Électrique Week-end , une durée de conservation de cinq ans après la résiliation du contrat est excessive dans la mesure où il ressort de l’article L. 224-11 du code de la consommation qu’un fournisseur d’électricité n’a, sauf exception, pas le droit facturer une consommation d'électricité (…) antérieure de plus de quatorze mois au dernier relevé ou autorelevé .

En outre, pour les données quotidiennes, l’historique téléchargeable depuis l’espace client est limité à trois ans, durée augmentée de l’année en cours à partir de la date de recueil du consentement, tandis que les données à la demi-heure ne sont pas téléchargeables. Dans ces conditions, la mise à disposition des données de consommation fines ne saurait justifier leur conservation pendant la durée de vie du contrat puis cinq ans en base active.

Eu égard à ce qui précède, une durée de conservation des données quotidiennes et à la demi-heure en base active pendant la durée de vie du contrat puis pendant cinq ans, pour tous les types de contrats, sans archivage intermédiaire, est excessive au sens de l’article 5, paragraphe 1, e) du RGPD.

En conséquence, la société X, sise X, est mise en demeure sous un délai de trois (3) mois à compter de la notification de la présente décision et sous réserve des mesures qu’elle aurait déjà pu adopter, de :

recueillir un consentement libre, spécifique, éclairé et univoque préalablement à la collecte des données de consommation quotidiennes et à la demi-heure de ses clients, y compris de ceux dont les données sont déjà enregistrées, par exemple, en mettant en place une case à cocher pour chaque opération de traitement et, à défaut, supprimer lesdites données collectées, conformément aux articles 4, paragraphe 11, et 6, paragraphe 1, a) du RGPD ;

définir et mettre en œuvre une politique de durée de conservation des données qui n’excède pas la durée nécessaire aux finalités pour lesquelles ces données sont collectées et, au besoin, purger les données non conformes à cette politique de durée de conservation, conformément aux dispositions de l’article 5, paragraphe 1, e) du RGPD ;

justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti.

À l’issue de ce délai, si la société X s’est conformée à la présente mise en demeure, il sera considéré que la présente procédure est close et un courrier lui sera adressé en ce sens.

À l’inverse, si la société X ne s’est pas conformée à la présente mise en demeure, un rapporteur sera désigné qui pourra demander à la formation restreinte de prononcer l’une des sanctions prévues par l’article 20 de la loi du 6 janvier 1978 modifiée.

La Présidente

Marie-Laure DENIS

Retourner en haut de la page