M. Guillaume Gouffier-Cha interroge Mme la ministre de la transition écologique et solidaire sur les problématiques relatives à la collecte des données par les compteurs Linky en France. La mise en place des compteurs d'électricité connectés Linky soulève depuis leur lancement craintes et interrogations. L'enregistrement et le stockage de ces données personnelles ainsi que leur utilisation, notamment leur diffusion à des tiers, posent particulièrement question. Le 11 février 2020, la CNIL a envoyé une mise en demeure à EDF et Engie pour la non-conformité du compteur communicant avec le règlement général sur la protection des données (RGPD). L'instance reproche deux points aux fournisseurs d'énergies : un manque de clarté dans le recueil du consentement sur les données de consommation journalières ou à la demi-heure et une durée de conservation des données trop longue après la résiliation du contrat. EDF garde ainsi les consommations quotidiennes à la demi-heure cinq ans après la résiliation tandis qu'Engie garde les données de consommations mensuelles huit ans en archivage intermédiaire. La CNIL juge ces durées « non justifiées ». En outre, ces données fournissent des informations précieuses sur les habitudes des consommateurs (à quelle heure ils sont à leur domicile, combien de personnes s'y trouvent, le type d'appareils utilisés) et sont susceptibles d'être revendues à des acteurs commerciaux. C'est donc la remise en cause du respect de la vie privée qui est en jeu. Pour toutes ces raisons, il lui demande des éclaircissements sur le respect du RGPD dans le cadre du déploiement des compteurs Linky en France.
La Commission nationale de l'informatique et des libertés (CNIL) a mis en demeure les sociétés EDF et ENGIE de se conformer au droit en vigueur par deux délibérations du 30 décembre 2019, rendues publiques le 11 février 2020 principalement pour deux raisons : l'obligation de disposer d'une base légale (le consentement) et l'obligation de définir une durée de conservation de ces données proportionnée à la finalité du traitement. Pour corriger ces manquements, la CNIL enjoint aux sociétés de mettre en place de nouvelles procédures de recueil du consentement, par exemple sous forme d'une case à cocher par opération de traitement. Les modifications devront s'appliquer aux clients dont les données de consommation ont déjà été enregistrées. À défaut, il conviendra de supprimer ces dernières. La CNIL exige aussi des sociétés qu'elles revoient leurs politiques de durée de conservation et qu'elles purgent, au besoin, les données non conformes aux nouvelles règles. Conformément aux dispositions du code de l'énergie (article L. 341-4 et suivants), certaines données du compteur Linky sont collectées par défaut, autrement dit sans consentement de l'utilisateur, par le gestionnaire de réseau de distribution afin notamment de lui permettre de consulter gratuitement l'historique de ses consommations. Ces données, qui permettent de déterminer la consommation globale journalière du foyer, sont nécessaires au calcul de la consommation d'électricité et à la facturation des clients. Les autres données de consommation, plus fines (horaires et/ou à la demi-heure, appelées « courbe de charge »), qui permettent de déduire des informations précises sur les habitudes du foyer, ne sont en revanche pas collectées automatiquement par le gestionnaire de réseau de distribution. Elles ne sont collectées qu'avec l'accord de l'usager ou, de manière ponctuelle, lorsqu'elles sont nécessaires à l'accomplissement des missions de service public confiées au gestionnaire du réseau (par exemple, pour l'entretien et la maintenance du réseau). Le traitement de ces données est encadré par le Règlement général sur la protection des données (RGPD) applicable depuis le 25 mai 2018, ainsi que par la loi informatique et libertés du 6 janvier 1978. En amont du traitement, le consentement explicite et écrit de l'utilisateur est imposé pour la transmission des données de consommations fines à des sociétés tierces notamment à des fins commerciales. La délivrance d'une information claire et précise est exigée sur les données collectées et les finalités poursuivies, conformément aux dispositions des articles 12 et suivants du RGPD. La CNIL a défini des règles strictes relatives à la gestion des compteurs intelligents dans sa délibération du 15 novembre 2012 (n° 2012-404) où elle préconise notamment que la courbe de charge ne puisse être collectée qu'avec le consentement exprès des personnes concernées, celui-ci devant être libre, éclairé et spécifique. Les recommandations en matière de protection des données collectées par les compteurs communicants adoptées par la Commission nationale informatique et des libertés le 20 avril 2017 ont en particulier été prises en compte, notamment dans le décret du 10 mai 2017 qui précise les modalités de mise à disposition des données de comptage à des tiers avec l'accord de l'usager concerné. La protection du système de gestion de ces informations personnelles respecte le référentiel de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) établi pour les compteurs communicants. Par ailleurs la jurisprudence administrative a régulièrement considéré que les compteurs communicants respectent les règles relatives à la protection des données personnelles et la vie privée des consommateurs, à l'appui notamment des recommandations de la CNIL. En aval, l'utilisateur, à travers son espace sécurisé, dispose de la possibilité de désactiver la relève des données de consommation fines et de demander leur suppression, conformément à l'article D. 224-27 du code de la consommation.
Aucun commentaire n'a encore été formulé sur cette question.