Direct Énergie a poussé Linky trop loin selon la CNIL

Direct Énergie est-il allé trop loin avec Linky ?

La CNIL estime que oui. Elle a mis en demeure le fournisseur d’électricité pour avoir contrevenu aux dispositions de la loi informatique et libertés.

Il lui est notamment reproché de ne pas avoir obtenu le consentement « libre, éclairé et spécifique » de ses clients pour la collecte des données de consommation issues de ce compteur communicant.

Les irrégularités pointées du doigt ont été constatées lors de contrôles réalisés en présentiel les 19 octobre 2016 et 1^er février 2018. Elles concernent pour l’essentiel la collecte des courbes de charge ; c’est-à-dire des données de consommation au pas de 30 minutes.

Actions décorrélées

La CNIL ne s’arrête pas tant sur le consentement relatif à la collecte de données par ENEDIS (qui développe et installe les compteurs, avec l’objectif d’en déployer 35 millions d’ici à 2021), mais sur celui dont Direct Énergie se prévaut pour réaliser ses traitements.

Le fournisseur affirme réaliser la démarche auprès de ses clients – par courrier ou par mail – 45 jours avant l’installation du compteur.

Problème, d’après la CNIL : la procédure est réalisée de telle sorte que le client pense consentir simultanément au changement de compteur électrique et à la collecte des données en question.

Or, c’est ENEDIS qui assure la mise en place et l’activation de Linky. En d’autres termes, seule la collecte de données est susceptible de faire l’objet d’un accord auprès de Direct Énergie. Les deux éléments devraient donc être décorrélés.

Direct intrusif

Autre constat de la commission : la finalité affichée de la collecte est de « vous assurer une facturation au plus juste », Sauf qu’aucune offre n’était proposée sur la base des courbes de charge, tout du moins aux jours des contrôles.

Le consentement des clients a par ailleurs été recueilli sans préciser la cadence de la collecte et l’accord a parfois été sollicité non auprès de l’occupant du logement, mais du propriétaire (ce qui va à l’encontre d’une recommandation émise par la CNIL en novembre 2012).

Excluant, au vu du caractère « particulièrement [intrusif] » d’une telle collecte, tout intérêt légitime pour Direct Énergie, la commission juge le traitement dépourvu de base légale.

Elle fait le même constat eu égard aux données de consommation quotidienne : le client en est informé à plusieurs reprises lors de la souscription en ligne, mais son consentement exprès « n’est recueilli à aucun stade ». Or, le code de la consommation l’exige.

Direct Énergie a trois mois à compter de la date de la mise en demeure – le 5 mars 2018 – pour corriger le tir, sous peine d’une amende pouvant atteindre 3 millions d’euros.

Crédit photo : ENEDIS