Les compteurs Linky : éclairage sur la nécessité de recueillir le consentement des consommateurs
Dire que l’installation des nouveaux compteurs Linky a fait couler beaucoup d’encre n’est pas exagéré. La mise en demeure de Direct Energie par la Cnil a été relayée par de nombreux médias et notamment par la presse nationale (décision n°MED-2018-007 du 5 mars 2018). Ces compteurs ont pu être qualifiés de Big Brother, au point que l’objectif poursuivi par la CNIL en rendant publique sa décision afin de sensibiliser les acteurs a été largement atteint, voire dépassé (délibération n°2018-082 du 22 mars 2018).
Présentés comme des outils nécessaires à la modernisation des réseaux et à une facturation plus juste, ces compteurs méritent-ils les reproches dont ils font l’objet ?
Les compteurs Linky sont dits « communicants » car, contrairement à des compteurs classiques, ils intègrent des fonctionnalités issues des technologies de l’information et de la télécommunication, telles que des ondes radio ou des courants porteurs en ligne. Ces technologies permettent l’envoi des données enregistrées par le compteur et un suivi presque en temps réel de la consommation énergétique. Ces compteurs connectés forment un réseau électrique « intelligent » (smart grid). Ils permettent d’établir des factures à partir de la consommation réelle, au lieu d’une estimation, ainsi que des interventions et des diagnostics à distance.
Cependant, ces avancées technologiques comportent un risque d’intrusion dans la vie privée. En effet, les données de consommation relevées sont suffisamment précises pour permettre, notamment, de déterminer les heures de lever et de coucher, ou encore le nombre de personnes présentes dans le domicile.
Les données recueillies sont considérées comme des données à caractère personnel puisqu’elles permettent d’identifier directement ou indirectement des personnes physiques. Cette qualification rend la CNIL compétente pour juger leur conformité à la réglementation Informatique et libertés.
En 2016 et 2018, la CNIL a constaté un manquement de Direct Energie à l’obligation de recueillir le consentement des personnes pour les traitements concernant les données relatives aux consommations au pas de trente minutes (pour lesquelles un relevé de consommation est fait toutes les 30 minutes) et aux consommations quotidiennes. Or, elle avait considéré, dans sa recommandation relative aux traitements des données de consommation collectées par les compteurs communicants, que la courbe de charge ne pouvait être collectée qu’avec le consentement exprès des personnes concernées (délibération n°2012-404 du 15 novembre 2012), reprise par l’article D.224-27 du Code de la consommation. Ces textes disposent que l’espace sécurisé mis à la disposition du consommateur doit lui permettre de demander au fournisseur qu’il transmette au gestionnaire de réseau de distribution son choix d’accepter ou de refuser que sa courbe de charge d’électricité soit collectée.
Dans les faits, le consentement aurait dû être collecté pour deux traitements réalisés.
En effet, pour le traitement des données de consommation à la demi-heure, Direct Energie demandait à ses clients leur accord à la fois pour la mise en service des compteur Linky mais également pour collecter les données de consommation horaire. Selon la CNIL, le consentement des consommateurs n’était donc pas libre et éclairé. En l’occurrence, la collecte de ces données de consommation était présentée comme indispensable à la mise en marche du compteur. Or la finalité de facturation au plus juste n’est pas justifiée puisque Direct Energie ne propose pas d’offre basée sur la consommation horaire. Enfin, la cadence précise des remontées des données de consommation n’était pas indiquée au client.
De même, la CNIL a constaté que, si Direct Energie informait bien ses clients de la collecte de ces données auprès du gestionnaire du réseau de distribution (Enedis), elle ne recueillait pas leur consentement.
Par conséquent, Direct Energie devra revoir son processus de recueil du consentement de ses clients afin d’être en conformité avec les principes de transparence et de licéité des traitements. Si la CNIL a décidé de rendre publique sa décision c’est essentiellement en raison du grand nombre de personnes concernées, et non de la gravité des manquements ou d’une « dangerosité » intrinsèque du compteur pour la vie privée. C’est d’ailleurs cette absence de gravité qui justifie qu’aucune sanction n’ait été prononcée jusqu’à présent.
Auteurs
Eléonore Favéro, avocat, droit de la propriété, droit de l’informatique, des communications électroniques et protection des données personnelles