Interrégulation entre régulation énergétique et protection des données : la CNIL se soucie du détournement de la technique des compteurs Linky

La Régulation énergétique repose sur une décomposition des fonctions et des opérateurs dans une chaîne de valeurs entre la production, le transport et la distribution, mais le consommateur final n'a un souci : bénéficier de ce bien vital qu'est l'électricité ou le gaz, sur lequel la Loi du 10 février 2000 lui a conféré un "droit". Ce droit subjectif d'origine légal, ce "droit à l'électricité" est concrétisé par un système qui est mis en place par un Droit de la Régulation énergétique qui prend in fine la forme d'un "contrat unique", puisque le consommateur a un "interlocuteur".

Celui-ci concrétise son droit à recevoir de l'électricité, c'est-à-dire son droit à bénéficier de sa distribution et à bénéficier de sa vente. Ce contrat "unique", dans laquelle le distributeur Enedis est comme un mandataire du vendeur pour certaines fonctions est plus difficile à mettre en place lorsque le vendeur n'est pas EDF, opérateur qui est par ailleurs la société ayant une influence déterminante sur Enedis, propriétaire et gestionnaire de l’infrastructure essentielle de distribution, notamment des compteurs d'électricité.

La situation juridique se complique encore un peu plus lorsque le vendeur est un autre opérateur en compétiteur, par exemple Direct Energie. C'est alors celui-ci qui, à travers son mandataire Enedis qui est le contractant du consommateur final et au titre de ce rapport contractuel va pouvoir tirer profit de ce lien technique appuyé sur la technique du compteur qui permet la comptabilisation de la consommation servant l'établissement de la facturation.

C'est alors la CNIL qui va intervenir car la technique des "compteurs intelligents" permet la transmission d'informations, dont la conformité juridique a été dans son principe été validée par le Conseil d’État par sa décision de 2013 soulignant que la transmission des données de consommation du cocontractant est un outil de régulation énergétique vers une "transition énergétique" notamment pour permettre au consommateur de mieux gérer sa consommation et de participer à l'objectif d'intérêt général qu'est la lutte contre le gaspillage d'énergie.

Mais les "données de consommation électronique" sont des données personnelles". A ce titre là, la situation est donc une situation d'interrégulation, en tant qu'elle appelle à la fois au Régulateur de l’Énergie mais aussi au Régulateur des données d'intervenir.

La preuve vient d'en être donnée par l'injonction prononcée le 5 mars 2018 par la présidente de la CNIL contre l'opérateur énergétique Direct Energie.

Il convient de rappeler ce qui a justifié le prononcé d'une telle injonction (I), ce en quoi elle consiste (II) et d'en mesurer la portée en formulant à son propos une appréciation (III).

I. LES RAISONS DE L'INJONCTION

Par les compteurs Linky, Enedis obtient des données qui permettent à la fois aux consommateurs de mieux consommer (à travers notamment la technique du bilan énergétique) et servent de base à la facturation opérée par le prestataire.

Il est apparu à l'occasion d'un contrôle opéré par la CNIL que Direct Energie avait demandé à Enedis de lui transmettre les données de consommation de ses clients à la fois sur une base quotidienne et toutes les 30 minutes.

En ce qui concerne les données transmises portant sur les consommations toutes les 1/2 heures, le "consentement" des clients de Direct Energie a été sollicité et obtenu en cochant une case ad hoc lors de la souscription du contrat par interne, en validant la case "j'active mon compteur Linky" dans l'espace numérique, en disant oui au téléphone à l'employé du prestataire, en renvoyant le coupon ad hoc envoyé par Direct Energie concernant le remplacement du compteur traditionnel par un compteur Linky.

En ce qui concerne les données portant sur la consommation quotidienne, le consentement n'a pas été sollicité, l'information comme quoi ces données sont collectées et transférés au prestataire figurant au contrat.

II. LE CONTENU DE L'INJONCTION

Par injonction du 5 mars 2018, la présidente de la CNIL analyse concrètement la façon dont des informations sont portées à la connaissance du consommateur pour les deux types de données.

En ce qui concerne tout d'abord les données collectées toutes les 1/2 et transmises par Enedis à Direct Energie, au terme d'une demande du consommateur qui mandaterait Enedis de le faire, la CNIL constate notamment que le client est informé que son compteur doit être remplacé par un compteur intelligent et qu'il doit permettre au technicien d'Enedis d'accéder à son compte et d'accéder à ses données de consommation. La CNIL estime que le consommateur pense consentir en même temps au changement de compteur et à la collecte de ses données personnelles et ne peut pas comprendre que les deux sont dissociables et qu'il pourrait accepter l'installation du premier (qui dépend d'Enedis) et refuser le second (qui bénéficie à Direct Energie), car en raison de la façon dont les choses lui sont présentées, il pense que Direct Energie est en charge de l'activation des compteurs Linky et que, s'il ne consent pas au transfert de ses données personnelles à Direct Energie, il sera privé de l'installation du compteur Linky, ce qui est faux (parce qu'Enedis le fera).

La CNIL en déduit que le consentement du client dont se prévaut Direct Energie "ne peut être considéré comme libre, éclairé et spécifique", puisque le consommateur ne peut pas comprendre que son consentement au transfert de données est en réalité décorrélé à l'activation du nouveau type de compteur.

L'autorité de Régulation relève d'autres faits d'où il ressort que le consommateur n'a jamais pu donner son consentement, notamment pas au téléphone, quand c'est le propriétaire du local qui répond alors que l'abonné est le locataire de celui-ci.

S’agissant du 4° de l’article 7, il apparait que la collecte des données relatives à la consommation au pas de trente minutes n’est pas nécessaire à l’exécution du contrat auquel souscrit le client, à savoir la fourniture d’électricité facturée mensuellement.

En ce qui concerne l’intérêt légitime poursuivi par le responsable de traitement visé au 5° de l’article 7 précité, la collecte par défaut des données de consommations au pas de trente minutes des foyers équipés du compteur Linky apparaît particulièrement intrusive en ce qu’elles sont susceptibles de révéler des informations sur la vie privée des personnes concernées, telles que les heures de lever et de coucher ou le nombre de personnes présentes dans le logement. En outre, il n’existe pas d’offres basées sur la consommation au pas de trente minutes des clients et seule une partie des clients de la société pourrait souhaiter en bénéficier. La société ne dispose, dès lors, pas d’un intérêt légitime à collecter et traiter les données de consommations au pas de trente minutes compte-tenu de l’atteinte aux intérêts et aux droits des personnes.

Il en résulte que le traitement précité est dépourvu de base légale faute de recueillir valablement le consentement des clients ou de pouvoir se prévaloir de l’une des bases légales alternatives mentionnées aux 4° et 5° de l’article 7.

Ces faits constituent donc un manquement aux dispositions de l’article 7 de la loi du 6 janvier 1978 modifiée.

III. APPRÉCIATION DE L'INJONCTION

Par une délibération du 22 mars 2018, la CNIL décide de rendre publique cette injonction pour le motif suivant : "Compte tenu du nombre de clients concernés par ces traitements (plusieurs centaines de milliers en février 2018), le bureau de la CNIL, composé de la Présidente et des vice-Présidents, a décidé de rendre publique cette mise en demeure  afin de sensibiliser les personnes quant à leurs droits et leur capacité de maîtrise sur leurs données de consommation énergétique. Ces données peuvent en effet révéler de nombreuses informations relatives à leur vie privée (heures de lever et de coucher, périodes d’absence ou nombre d’occupants du logement).".

Tandis que par un communiqué