La CNIL et les compteurs Linky
Ceci n’est pas un compteur Linky…
L’installation quasi-forcée, à partir du 1er décembre 2015, par Enedis, de 35 million de compteurs intelligents Linky, en application de l’article L. 341-4 du code de l’énergie, lui même adopté pour transposer l’annexe I de la directive n°2009/72/CE du 13 juillet 2009 concernant des règles communes pour le marché intérieur de l’électricité, a, c’est le moins que l’on puisse dire, suscité des réactions contrastées…
La vague d’opposition rencontrée contre ces appareils, accusés de répandre des ondes néfastes, d’être dangereux pour la santé, les habitations ou bien encore l’environnement, laquelle s’est traduite par un certain foisonnement contentieux, n’a ainsi pas manqué d’intéresser le droit. A la question de l’existence éventuelle d’un droit d’opposition — qui n’est pas encore définitivement tranchée, notamment dans le cas des électrosensibles — s’est rapidement superposée une problématique de droit administratif, les maires se joignant parfois au mouvement anti-Linky. Ainsi, dans une décision du 28 juin 2019, le Conseil d’Etat a pu considérer qu’une commune ne pouvait s’opposer à l’installation de tels compteurs sur son territoire, dans la mesure où elle avait procédé au transfert de cette compétence à un EPCI — la question se posant d’ailleurs de nouveau a contrario, en cas de non-transfert de ces compétences, ou bien en cas d’opposition dudit EPCI. De même, dans une autre décision du 11 juillet 2019, le Conseil d’Etat a encore été amené à précisé que le maire ne disposait pas d’un pouvoir de police l’autorisant à demander un moratoire contre le déploiement desdits compteurs sur sa commune.
L’installation des compteurs Linky a également soulvé un questionnement du point de vue de la protection des données personnelles. Témoin du climat de méfiance, une un canular, — plutôt bien renseigné — avait d’ailleurs circulé en 2016, sur internet, faisant croire à la présence d’une caméra (infrarouge !) dans le compteur de l’appareil… C’eût tout de même été aller un peu loin!
Si, heureusement, il n’en est rien, le compteur Linky n’a néanmoins pas manqué de susciter l’intérêt de la CNIL, qui n’a pas hésité à adresser des mises en demeures successives à trois fournisseurs d’énergie: d’abord, par une décision du 5 mars 2018, à Direct Energie, puis par deux décisions du 31 décembre 2019, EDF et ENGIE.
C’est à ces décisions que l’on va ici s’intéresser.
Des compteurs au service du Bigdata
Des compteurs intelligents offrant une information plus fine à l’utilisateur sur sa consommation…
En effet si comme tout compteur électrique, le dispositif Linky permet de relever la consommation d’électricité mensuelle et annuelle d’un foyer, il permet aussi — et c’est là précisément son objet — d’en avoir une appréhension beaucoup plus fine, avec une granularité pouvant aller jusqu’à 30 minutes.
Il s’agit notamment — l’idée n’est pas en soi mauvaise — de permettre aux ménages qui le souhaitent d’avoir une idée beaucoup plus fine de leur consommation, afin, le cas échéant de pouvoir faire des économies sur leur consommation. Le compteur Linky se veut la contrepartie du droit dont dispose le consommateur, en application de l’article L. 124-5 du code de l’énergie, de disposer d’une vue de sa consommation en temps réel.
… mais pas seulement
La CNIL considère néanmoins, avec justesse, que de ces données, il est possible de déduire, un champ beaucoup plus large d’informations sur la vie privée des usagers: habitudes de consommation d’abord, mais aussi heures du lever et du coucher, présence au domicile ou absence de celui-ci, nombre de personnes résidant à une même adresse, habitudes diverses… Comme c’est généralement le cas en cette matière, l’information que l’on peut déduire d’un tel traçage est encore démultipliée si l’on croise celle-ci avec d’autres jeux de données.
Cela n’a échappé à personne: il n’est pas simplement question d’aider le consommateur à mieux maîtriser sa consommation. S’inscrivant en cela dans le sillage du Bigdata, l’initiative Linky vise aussi à extraire un actif data pouvant le cas échéant être mobilisé et valorisé, notamment auprès d’une multitude de tiers, en vue de finalités toutes aussi multiples : profilage publicitaire, démarchage commercial ciblé adressé par les comparateurs du prix de l’énergie, des entreprises d’isolation, de conseil en énergie etc…
Une belle petite mine d’information — et d’argent — pour Enedis…
Consentement lié et méconnaissance du principe de minimisation
La sanction, par la CNIL d’un défaut majeur de granularité du consentement : le consentement lié
Comme le rappelle la CNIL, la collecte de l’information sur la consommation à granularité fine (à la journée ou à la demie-heure près) par le fournisseur d’énergie est toujours subordonnée au consentement de l’utilisateur, en application des dispositions des articles L. 341-4 et R. 341-4 du code de l’énergie ainsi que du décret du 31 août 2010 — à la différence des gestionnaires du réseau de distribution qui peuvent, quant à eux, traiter sans le consentement de l’utilisateur, les données journalières, ainsi que les données à la demie-heure lorsque cela est nécessaire à leurs missions de service public (entretien, maintenance du réseau par exemple).
L’article R. 341-4 du code de l’énergie exige également que le consentement de l’utilisateur soit systématiquement sollicité pour transmettre les données de consommations collectées via les compteurs Linky à des tiers.
Encore faut-il néanmoins qu’un tel consentement soit valide c’est à dire libre, spécifique, éclairé et univoque, comme l’exige maintenant l’article 4, 11) du RGPD, et, avant lui le G 29 dans ses lignes directrices relatives au consentement.
C’est cette régularité du consentement qui était en cause dans les décisions en question EDF et ENGIE. Dans sa mise en demeure adressée à EDF, la CNIL a notamment pointé du doigt le recueil du consentement, qui s’opérait de façon liée par l’intermédiaire d’une seule case à cocher pour trois finalités : l’affichage dans l’espace utilisateur des consommations quotidiennes, l’affichage dans ce même espace des consommations à la demie-heure près, et la dispensation de conseils personnalisés. La CNIL a constaté là une atteinte au caractère libre et éclairé, ainsi qu’à l’exigence de spécificité.
Un tel procédé était en effet de nature à induire l’utilisateur en erreur: s’il voulait simplement connaître sa consommation journalière, il devait également souscrire au recueil des données de consommation à la demie-heure près, ainsi qu’aux conseils personnalisés.
Un manque de granularité comparable a également été dénoncé dans la décision relative à ENGIE, et avait encore été pointé du doigt dans la décision de mise en demeure contre Direct énergie du 5 mars 2018.
Une telle sanction, par la CNIL des procédés tenant à un consentement lié est à rapprocher du raisonnement qu’elle a tenu dans une autre mise en demeure, depuis lors close, concernant la société Vectaury. Dans cette affaire, l’utilisation même d’une application était conditionnée par le consentement préalable à la collecte des données de géolocalisation.
Les mises en demeure concernant les compteurs Linky rappellent ainsi l’importance de la granularité dans le recueil du consentement, lequel doit, autant que possible, être ventilé finement en fonction de chacune des finalités mises en œuvre.
Ignorance du principe de minimisation
Etait également en cause, dans les deux mises en demeure contre EDF et ENGIE la durée de conservation des données. Ainsi, ENGIE s’est vue reprocher de conserver, à des fins de prospection commerciale, les données de consommation mensuelles pendant une durée de tois ans suite à la résiliation du contrat… traitement que la CNIL a considéré, à juste titre, comme non-conforme au principe de minimisation. En effet, s’il peut être utile, en vue de telles finalités, de conserver des informations d’identification des utilisateurs, en revanche, la conservation de leurs consommation détaillée n’est absolument pas justifiée.
Une question en suspens: la transmission des données de consommation à des tiers
Quid de la transmission des données de consommation à des tiers autres que l’opérateur de réseau de distribution et les fournisseurs d’énergie?
De telles décisions de la CNIL mettant en demeure EDF et ENGIE sont ainsi opportunes et ne peuvent qu’être saluées.
Toutefois, une question demeure: quid de la transmission, par ENEDIS des données issues des compteurs Linky à des tiers autres que les fournisseurs d’énergie (par exemple entreprises d’isolation, consultants divers, comparateurs d’énergie, voire plateformes de publicité ciblée), et du consentement y afférent?
En effet, l’article R. 341-4 du code de l’énergie précise bien que l’utilisateur doit avoir consenti au transfert de ses données de consommation Linky — quelles qu’elles soient — à des tiers, autres qu’Enedis et que les distributeurs d’énergie. Ainsi, l’on peut espérer que le consentement de l’utilisateur à l’exploitation de ses données par lesdits tiers soit, lui-aussi, recueilli dans des conditions fines, avec une spécificité au regard de chacun de ces tiers, et des finalités mises en œuvre par eux.
Une transposition souhaitable de l’exigence de spécificité du consentement développée a l’endroit des traceurs et cookies.
L’on sait la très grande exigence qu’a la CNIL en matière de spécificité du consentement aux cookies et traceurs imposé par l’article 6.3 de la directive e-privacy telle que modifiée en 2009. Dans son projet de recommandation du 14 janvier 2020, actuellement à l’étude, la CNIL rappelle en effet que le consentement aux traceurs doit être donné par rapport à chacune des finalités en vue desquelles ceux-ci sont déposés, ces finalités étant totalement indissociables du dépôt pris en en tant qu’opération technique. Ainsi, si l’on veut respecter la règle du consentement aux traceurs imposée par le règlement e-privacy, il n’est pas possible, de recueillir, dans une premier temps, une consentement de l'utilisateur à l’opération technique consistant en le dépôt du traceur sur son terminal, puis, d’en tirer un blanc-seing pour une exploitation des données ainsi collectées en vue de n’importe quelle finalité et par n’importe quel tiers, sur le fondement d’un intérêt légitime.
En cela la CNIL se distingue d’ailleurs de ce qui peut se pratiquer dans d’autres Etats membres, notamment en Allemagne. En effet, l’article 15.3 du Telemediengesetz (TMG), loi fédérale sur la protection des données, permet, à partir des données des traceurs, de dresser des profils d’utilisateurs, sous une forme pseudonymisée, sans recueillir le consentement, à conditions de respecter un droit effectif d’opt out, et de ne pas fusionner ces données avec d’autres données sur le porteur du pseudonyme.
Espérons que la CNIL étende son raisonnement propre aux traceurs aux données collectées via les compteurs Linky…