Dans le cadre de son activité de fournisseur d’électricité, la société Direct Energie, à l’occasion de l’installation du compteur communicant LINKY, a mis en place un dispositif de collecte des données de consommation à « la demi-heure » et journalière d’électricité de ses clients

La mise en place de ce dispositif de collecte de données nécessitait le consentement des personnes concernées.

Or, la CNIL, à la suite de ses contrôles, relève que le consentement au traitement de données personnelles n’était pas  « libre, éclairé et spécifique »  et met la société en demeure de se conformer à la loi sous un délai de trois mois.

La CNIL, explique que :

- s’agissant des données de consommation à la demi-heure, la CNIL relève que si l’installation du compteur électrique est obligatoire  et ne nécessite pas de consentement, en revanche le dispositif de collecte des données de consommation à la demi-heure mis en place, lui, nécessitait un consentement expresse du client.

La CNIL estime qu’en n’informant pas distinctement les personnes concernées sur le caractère non obligatoire de la collecte des données à la demi-heure, le client ne pouvait effectuer un consentement libre, éclairé et spécifique.

En outre, la CNIL relève par ailleurs que la finalité présentée du traitement, à savoir une « facturation au plus juste », « n’est pas exacte » puisque Direct Energie ne propose pas d’offres basées sur la consommation horaire.

- concernant les données de consommation journalière, Direct Energie informait bien ses clients de la collecte de ces données auprès d’ENEDIS, mais ne leur demandait pas pour autant leur consentement préalable.

Au regard du nombre de clients concernés par ces traitements (plusieurs centaines de milliers en février 2018), la CNIL a décidé de rendre publique cette mise en demeure afin « de sensibiliser les personnes quant à leurs droits et leur maîtrise des données énergétiques », susceptibles en l’espèce « de révéler de nombreuses informations sur leur vie privée : heures de lever et de coucher, périodes d’absence ou nombre d’occupants du logement. »

Si Direct Energie ne se conforme pas à cette mise en demeure dans le délai imparti, la formation restreinte de la CNIL pourra prononcer une sanction.

 

Cette décision est l’occasion de rappeler la distinction entre le devoir d’information des personnes et le recueil du consentement, parfois nécessaire, à certains traitements de données.

La CNIL souligne également l’importance des trois caractéristiques d’un consentement licite au sens de la loi informatique et libertés : il doit être libre, spécifique et éclairé. En l’espèce, la confusion créée dans l’esprit de la personne concernée lors du recueil du consentement ne permettait pas de remplir ces critères

 

Par Claudia WEBER - ITLAW Avocats

Partager: