Texte de la question
M. Fabien Gouttefarde interroge M. le secrétaire d'État auprès du ministre de l'économie et des finances et du ministre de l'action et des comptes publics, chargé du numérique, sur le respect des obligations résultant du règlement n° 2016/679, dit règlement général sur la protection des données (RGPD), particulièrement quant aux exigences relatives au recueil du consentement par les fournisseurs d'énergie dans le cadre de l'utilisation des compteurs communicants Linky. En effet, ces compteurs communicants Linky permettent aux fournisseurs d'énergie d'enregistrer, stocker et utiliser, notamment à des fins de diffusion commerciale à des tiers, les données personnelles de consommations d'énergie des particuliers. Or, le 11 février 2020, la commission nationale de l'informatique et des libertés (CNIL) a mis en demeure EDF et Engie en raison de deux manquements : d'une part, les conditions de recueil du consentement des abonnées concernant les données de consommation à l'heure ou à la demi-heure ne permettaient pas le recueil d'un consentement spécifique ni suffisamment éclairé ; et d'autre part, les durées de conservation prévues par les deux fournisseurs sont injustifiées car trop longues au regard des finalités pour lesquelles les données sont traitées (pour EDF, les consommations quotidiennes et à la demi-heure cinq ans après la résiliation du contrat, et pour Engie trois ans en base active, puis pendant une durée de huit ans en archivage intermédiaire). Malgré la précision par la CNIL que les deux fournisseurs d'énergie sont dans une trajectoire globale de mise en conformité, le respect du droit à la vie privée dans le cadre de la mise en œuvre des obligations résultants du RGPD demeure incertain. Aussi, il lui demande si des exigences renforcées de mises en conformité au RGPD dans le cadre du déploiement des compteurs communicants Linky seront mises en place.
Texte de la réponse
La commission nationale de l'informatique et des libertés (CNIL) a mis en demeure les sociétés EDF et ENGIE de se conformer au droit en vigueur par deux délibérations du 30 décembre 2019, rendues publiques le 11 février 2020 principalement pour deux raisons : l'obligation de disposer d'une base légale (le consentement) et l'obligation de définir une durée de conservation de ces données proportionnée à la finalité du traitement. Pour corriger ces manquements, la CNIL enjoint aux sociétés de mettre en place de nouvelles procédures de recueil du consentement, par exemple sous forme d'une case à cocher par opération de traitement. Les modifications devront s'appliquer aux clients dont les données de consommation ont déjà été enregistrées. À défaut, il conviendra de supprimer ces dernières. La CNIL exige aussi des sociétés qu'elles revoient leurs politiques de durée de conservation et qu'elles purgent, au besoin, les données non conformes aux nouvelles règles. Conformément aux dispositions du code de l'énergie (article L. 341-4 et suivants), certaines données du compteur Linky sont collectées par défaut, autrement dit sans consentement de l'utilisateur, par le gestionnaire de réseau de distribution afin notamment de lui permettre de consulter gratuitement l'historique de ses consommations. Ces données, qui permettent de déterminer la consommation globale journalière du foyer, sont nécessaires au calcul de la consommation d'électricité et à la facturation des clients. Les autres données de consommation, plus fines (horaires et/ou à la demi-heure, appelées « courbe de charge »), qui permettent de déduire des informations précises sur les habitudes du foyer, ne sont en revanche pas collectées automatiquement par le gestionnaire de réseau de distribution. Elles ne sont collectées qu'avec l'accord de l'usager ou, de manière ponctuelle, lorsqu'elles sont nécessaires à l'accomplissement des missions de service public confiées au gestionnaire du réseau (par exemple, pour l'entretien et la maintenance du réseau). Le traitement de ces données est encadré par le Règlement Général sur la Protection des Données (RGPD) applicable depuis le 25 mai 2018, ainsi que par la loi informatique et libertés du 6 janvier 1978. En amont du traitement, le consentement explicite et écrit de l'utilisateur est imposé pour la transmission des données de consommations fines à des sociétés tierces notamment à des fins commerciales. La délivrance d'une information claire et précise est exigée sur les données collectées et les finalités poursuivies, conformément aux dispositions des articles 12 et suivants du RGPD. La CNIL a défini des règles strictes relatives à la gestion des compteurs intelligents dans sa délibération du 15 novembre 2012 (n° 2012-404) où elle préconise notamment que la courbe de charge ne puisse être collectée qu'avec le consentement exprès des personnes concernées, celui-ci devant être libre, éclairé et spécifique. Les recommandations en matière de protection des données collectées par les compteurs communicants adoptées par la Commission nationale informatique et des libertés le 20 avril 2017 ont en particulier été prises en compte, notamment dans le décret du 10 mai 2017 qui précise les modalités de mise à disposition des données de comptage à des tiers avec l'accord de l'usager concerné. La protection du système de gestion de ces informations personnelles respecte le référentiel de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) établi pour les compteurs communicants. Par ailleurs, la jurisprudence administrative a régulièrement considéré que les compteurs communicants respectent les règles relatives à la protection des données personnelles et la vie privée des consommateurs, à l'appui notamment des recommandations de la Commission nationale des libertés informatiques (CNIL). En aval, l'utilisateur, à travers son espace sécurisé, dispose de la possibilité de désactiver la relève des données de consommation fines et de demander leur suppression, conformément à l'article D. 224-27 du code de la consommation.