Direct Énergie est-il allé trop loin avec Linky ?
La CNIL estime que oui. Elle a mis en demeure le fournisseur d’électricité pour avoir contrevenu aux dispositions de la loi informatique et libertés.
Il lui est notamment reproché de ne pas avoir obtenu le consentement « libre, éclairé et spécifique » de ses clients pour la collecte des données de consommation issues de ce compteur communicant.
Les irrégularités pointées du doigt ont été constatées lors de contrôles réalisés en présentiel les 19 octobre 2016 et 1er février 2018. Elles concernent pour l’essentiel la collecte des courbes de charge ; c’est-à-dire des données de consommation au pas de 30 minutes.
La CNIL ne s’arrête pas tant sur le consentement relatif à la collecte de données par ENEDIS (qui développe et installe les compteurs, avec l’objectif d’en déployer 35 millions d’ici à 2021), mais sur celui dont Direct Énergie se prévaut pour réaliser ses traitements.
Le fournisseur affirme réaliser la démarche auprès de ses clients – par courrier ou par mail – 45 jours avant l’installation du compteur.
Problème, d’après la CNIL : la procédure est réalisée de telle sorte que le client pense consentir simultanément au changement de compteur électrique et à la collecte des données en question.
Or, c’est ENEDIS qui assure la mise en place et l’activation de Linky. En d’autres termes, seule la collecte de données est susceptible de faire l’objet d’un accord auprès de Direct Énergie. Les deux éléments devraient donc être décorrélés.
Autre constat de la commission : la finalité affichée de la collecte est de « vous assurer une facturation au plus juste », Sauf qu’aucune offre n’était proposée sur la base des courbes de charge, tout du moins aux jours des contrôles.
Le consentement des clients a par ailleurs été recueilli sans préciser la cadence de la collecte et l’accord a parfois été sollicité non auprès de l’occupant du logement, mais du propriétaire (ce qui va à l’encontre d’une recommandation émise par la CNIL en novembre 2012).
Excluant, au vu du caractère « particulièrement [intrusif] » d’une telle collecte, tout intérêt légitime pour Direct Énergie, la commission juge le traitement dépourvu de base légale.
Elle fait le même constat eu égard aux données de consommation quotidienne : le client en est informé à plusieurs reprises lors de la souscription en ligne, mais son consentement exprès « n’est recueilli à aucun stade ». Or, le code de la consommation l’exige.
Direct Énergie a trois mois à compter de la date de la mise en demeure – le 5 mars 2018 – pour corriger le tir, sous peine d’une amende pouvant atteindre 3 millions d’euros.
Crédit photo : ENEDIS
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…