Monsieur Daniel MATHIEU
La Boria Del Cheyrou
24580 PLAZAC
Monsieur Jean-Marie
Lelièvre
Président de la Section
de Sarlat
Ligue des Droits de
l’Homme
Mercredi 30 novembre
2016
OBJET :
Position de la LDH sur les compteurs Linky d’Enedis et la protection des
données et vie privée
Suite à ma lettre du 25 novembre lors de l’A.G. de la
Section Sarlat, je vous prie de trouver ci-joint, Monsieur le Président, mon
« ANALYSE DES QUESTIONS DE DONNÉES ET VIE PRIVÉE – LINKY de ENEDIS »
que je viens de compléter.
Il s’agit d‘une analyse non exhaustive du droit applicable
autant auprès de l’Union européenne qu’en France pour vérifier en quoi les
nouvelles dispositions contractuelles dans les derniers documents et sites
d’Enedis et des fournisseurs d’électricité sont conformes ou non leurs
obligations de protection des données personnelles et de consommation des
consommateurs du service public d’électricité.
Un sommaire est fourni pour en appréhender plus rapidement
le contenu, les conclusions et les recommandations. La Table des matières est
également présentée sous forme de sommaire.
L’analyse énonce de nombreux manquements et 14
infractions d’Enedis à l’égard de ses obligations et de ses engagements pris
auprès de la CNIL et des autres intervenants, dont la LDH de France.
À cette fin, la nouvelle position prise par la LDH de France sur
l’apparente conformité d’Enedis aux directives de la CNIL et aux dispositions
de la Loi du 6 janvier 1978, mais toutefois ne remettant pas en question sa
demande de moratoire sur le déploiement généralisé des Linky, n’est plus, avec
respect, d’actualité et doit être revue.
Vous remerciant de faire suivre ce dossier auprès de la LDH
de France, espérant que cela ouvrira un nouveau dialogue auprès de la LDH de
France et de Sarlat sur ce dossier, je demeure, Monsieur le Président, à l’entière
disposition de la LDH pour discuter de la présente analyse et de ses
conséquences.
Daniel Mathieu
Membre
Téléphone : 05 53 51 09 73
ANALYSE DES QUESTIONS DE DONNEES ET VIE PRIVEE
DANS LE NOUVEAU CONTRAT 2016
ENTRE ENEDIS ET LES FOURNISSEURS D’ELECTRICITE
PARTIE I : SOMMAIRE
Le traitement
des données personnelles et de consommation d’électricité et la protection de
la vie privée dans le contexte du système des compteurs évolués d’électricité
méritent une analyse spécifique.
Il nous faut
considérer trois niveaux de documentation - réglementation concernant
le système de comptage de consommation électrique des particuliers :
1° Que prévoient
vraiment les dispositions européennes relatives à la protection des données et
à la vie privée ?
2° Comment ces
dispositions ont-elles été traduites et incorporées dans la législation
française ?
3° Comment
ENEDIS a-t-elle traduite et insérée ces dispositions dans ses contrats avec les
fournisseurs d’électricité et leurs clients ?
Notre analyse
de ces prémisses nous permettra de répondre à la question essentielle : Enedis respecte-t-elle, dans ses contrats,
la législation en vigueur et ses engagements pris devant les institutions
réglementaires ?
Notre réponse est NON.
A : La protection des données en droit européen et français
Les données traitées par
le réseau Linky représentent un enjeu économique et concurrentiel considérable
car ce sont les données elles-mêmes et la possibilité de les utiliser qui
deviennent un levier de valeur ajoutée, susceptibles
de créer de la valeur pour les personnes pouvant y avoir accès. Ces données doivent, en effet, avoir
une valeur économique, ce qui suppose de savoir les exploiter afin qu’elles
deviennent une source de revenu et confèrent à leur détenteur un avantage
compétitif.
En vertu des dispositions
du droit européen et français en vigueur, ces données peuvent être classées en
quatre catégories, dont deux « protégées » et deux « non
protégées » :
- 1° les données personnelles
nominatives qui sont requises pour la facturation : elles sont protégées
et obligatoires (le client doit les fournir au distributeur et à
son fournisseur d’électricité sur sa signature du contrat d’abonnement) ;
mais celles non requises à la facturation sont sujettes au consentement
préalable du client pour être accessibles à son fournisseur ;
- 2° les données (index) de
consommation d’électricité : elles sont protégées mais, avec
le consentement du client, peuvent faire l’objet d’autres utilisations
et diffusées à des tiers ;
- 3° les données de courbe de
charge individuelle : elles sont protégées et sujettes au
consentement libre, éclairé, spécifique et préalable du client (son
droit d’opposition) ; mais avec le consentement du client,
elles peuvent faire l’objet d’autres utilisations et être diffusées à des
tiers ;
- 4° les données de courbe de
charge agrégées et anonymes : non nominatives et cumulées en
agrégats, elles ne sont pas protégées ni sujettes au consentement du
client.
Les autres protections des
données :
-
Elles ne peuvent être utilisées qu’aux fins pour lesquelles elles ont
été collectées ;
-
Elles ne peuvent être utilisées que par les personnes autorisées à les
collecter et non par des tiers ;
-
Le traitement des données donnant lieu à la création de la courbe de
charge est sujet au consentement du client et uniquement pour que la courbe de
charge soit stockée dans le compteur ; le consentement du client est
requis pour son transfert vers le distributeur (Enedis) ou vers des tiers
(fournisseurs et sociétés tierces) ; et son consentement peut être
retiré, annulant le stockage et purgeant la mémoire du compteur (notamment
en cas de déménagement) ; à savoir que la création de la courbe de charge est utile uniquement lorsque des problèmes
d’alimentation sont effectivement détectés et est donc facultative et disproportionnée
par rapport à toute autre finalité poursuivie par Enedis.
.../...
Ainsi, en vertu des
principales mesures applicables du droit européen et français, le client final,
dans le cas du déploiement de compteurs intelligents a le droit à la protection
de ses données, le droit de consentir (préalable, éclairé, spécifique), le
droit de s’opposer à la collecte, au traitement ou à la transmission vers des
tiers, le droit d’être informé, le droit à la correction, au retrait ou purge
de ses données. Le non respect de la plupart de ces
droits par le gestionnaire de réseau constitue une infraction en vertu
du Code pénal ; notamment la pose
d'un compteur recueillant des données à caractère personnel à l'insu d'une
personne physique fait obstacle à l'exercice de son droit d'opposition, ce qui
constitue le délit de collecte déloyale prévu et réprimé par l'article 226-18
du Code pénal. En plus, un recours indemnitaire pour tout préjudice subi pourrait être exercé à l’encontre
d’un SDE par les usagers, en cas de carence de l'autorité concédante dans
l'exercice de ses prérogatives, notamment du contrôle par le gestionnaire et
ses installateurs ou sous-traitants.
Il faut savoir qu’une fois
le système de réseau Linky mis en place, les données ainsi collectées pourront
être accessibles à diverses institutions publiques dans le cadre de leurs
missions, notamment la Police, la Gendarmerie et les collectivités territoriales.
B : Ce que les nouveaux contrats d’Enedis prévoient pour
appliquer ces doits
Si l’on regarde à
l’ensemble des droits du client, à la protection de ses données et de sa vie
privée en vertu de la législation européenne et de leur transposition en droit
français, et qu’on les compare aux mesures prises par Enedis, telles que
formulées dans ses documents contractuels les plus récents (1er
octobre 2016), on s’aperçoit qu’Enedis est en flagrante violation de ses
obligations légales et de ses engagements pris auprès des institutions
réglementaires françaises (CNIL, etc.).
Si l’on résume les droits
du client à la protection de ses données et de sa vie privée en catégories
simplifiées et que l’on indique pour chaque catégorie le respect ou non respect
par Enedis de ses obligations, le bilan correspondrait approximativement à
ceci :
1° Le droit à l’information
préalable claire : NON RESPECTÉ
a)
lors de l’acceptation de l’offre d’abonnement ý
b)
lors de la signature du contrat ý
c)
lors de l’installation du compteur Linky ý
2° Le droit au consentement
préalable à la collecte des données : NON RESPECTÉ
3° Le droit à la protection
des données : NON RESPECTÉ
a)
la propriété des données du client þ
b)
les données à caractère personnel protégées ý
c)
les données requises à la facturation et identification du
client obligatoires mais protégées ý
d)
les données de comptage protégées :
a.
les données de consommation (index personnel) ý
b.
les données cumulées en courbe de charge individuelle sur
consentement préalable du client ayant
droit d’opposition ý
e)
les autres données anonymes non protégées (courbe de charge
agrégées) þ
f)
les données transmises à des tiers :
a.
à des fins de prospection commerciale, sur consentement préalable du
client ayant droit d’opposition ý
b.
à des fins contractuelles ou législatives permises, non protégées, avec
droit d’information mais pas d’opposition þ
g)
le stockage des données, sur consentement du client ayant droit
d’opposition ý
h)
la protection anti-piratage des données collectées ☐
En opposition à ces droits
que détient le client, nous constatons de nombreux manquements de la part
d’Enedis dans ses documents et nous énonçons 14 infractions à ses
obligations et engagements. On peut les résumer ainsi :
1° Enedis s’autoproclame illégalement
propriétaire des compteurs, certainement dans le but d’éviter toute
contestation quant à son utilisation des données collectées.
2° Enedis délègue, aux divers fournisseurs, sa
responsabilité d’informer le client, « au préalable » à sa signature
d’un contrat de fourniture d’électricité. Le contrat type prévoit que le
client, qui est présumé en avoir connaissance, donne un consentement
« présumé » ou « obligatoire ». Il n’existe donc aucune
uniformité ni aucune garantie que l’information pertinente effectivement
fournie au client par les divers fournisseurs lui permette de formuler un
consentement éclairé. Il en résulte que
le client est dans l’impossibilité de donner un véritable consentement
« préalable » à la collecte et au traitement de ses données. Ceci
constitue une flagrante violation des engagements pris par Enedis auprès de la
CNIL.
3° Enedis,
dans ses contrats avec les fournisseurs d’électricité, commet les manquements suivants à ses
obligations :
-
elle ne clarifie ni ne définit ce que constituent les
« données » et leurs différentes catégories (données personnelles ou
de consommation) ;
-
elle ne spécifie pas le moment de leur collecte (instantanée à partir de
l’installation et activation d’un compteur Linky) ;
-
elle ne spécifie pas leur traitement (en courbe de charge soit
individuelle soit agrégée) ;
-
elle ne stipule aucunement, ni ne le prévoit, que le consentement du
client est requis a) pour la collecte, b) pour le stockage et c) pour la
remontée de la courbe de charge individuelle ;
-
elle ne spécifie pas leur diffusion à des tiers ni ne les identifie
(Etat et ses institutions, autres fournisseurs d’électricité et leurs
sous-traitants, tiers à des fins commerciales, municipalités, autres Etats,
etc.) ;
-
elle ne prévoit ni ne stipule les options futures relatives aux
« objets connectés » au compteur Linky, que le fournisseur sera en
mesure de proposer au client en fonction des évolutions technologiques, ni
leurs conséquences, ni le droit d’opposition du client ;
-
en cas
de problèmes techniques avec la domotique intérieure au foyer du client suite
au raccordement et à la signature du contrat, Enedis se décharge d’abord de
toute responsabilité pour ensuite accepter de traiter des réclamations avec
demande d’indemnisation qui découleraient de sa responsabilité reçues par écrit
par lettre R A/R dans les 20 jours du sinistre ou de sa découverte par le
client. Comme actuellement, Enedis seule détermine si le sinistre découle ou
non de sa responsabilité ;
-
comme par le passé, le
contrat peut être modifié unilatéralement par Enedis et les modifications
seront « portées à la connaissance du client par l’intermédiaire du
fournisseur » ;
-
les
droits de recours en cas de désaccord, avec ou sans demande d’indemnisation,
concernant le tarif, la facturation, le comptage, les services de dépannage,
d’information, l’interprétation du contrat donnent droit à diverses options
auprès d’Enedis, du fournisseur, du Médiateur de l’énergie et des tribunaux,
auquel se rajoute un recours en réclamation, la première année du contrat,
auprès de la Fédération UFC-Que Choisir ou sa filiale SASU QUE CHOISIR ;
-
cela
impose à tous les abonnés utilisant ou non le droit de réclamation à Que
Choisir, une sur-facturation obligatoire entre 5 à 14 € intitulée « Frais
de participation à l’opération ‘Energie moins chère ensemble’, le prix
dépendant si le client est abonné-membre de Que Choisir ou non ; les sommes
sont prélevées sur la facture du client par le fournisseur qui les verse
« intégralement à la SASU QUE CHOISIR » ;
-
sur
le site internet d’Enedis, la procédure de « Créer mon espace
personnel » pour permettre au client d’avoir accès à ses données de
consommation, oblige en fait le client à fournir ses données personnelles, les
mêmes pour lesquelles il souhaiterait faire opposition à leur collecte,
utilisation et diffusion et ce, avant même d’obtenir une quelconque information
concernant ses droits sur ses données ;
-
Rien
n’est spécifiquement prévu pour les clients qui n’ont pas accès à internet ou
qui n’utilisent pas ce média ; un document résumant leurs droits s’avère
nécessaire afin de leur permettre d’être avisé de leurs droits au consentement
et à l’opposition concernant la collecte et l’utilisation de leurs
données ;
-
Les
documents pertinents faisant partie du contrat ne sont que difficilement
accessibles et sont éparpillés (sauf chez Enercoop) sur les sites internet
d’Enedis ou des fournisseurs sans sommaire ni simplification. Les obtenir sur
demande par courriel prend 15 à 20 jours. Rien n’est prévu pour les clients
n’ayant pas accès à internet.
Il en résulte que le client est dans
l’impossibilité de donner un consentement clair, libre et spécifique par
rapport au traitement de ses données ni de savoir à quelles fins elles sont
utilisées ni quels en sont les destinataires, en infraction aux directives de
la CNIL et aux protections législatives dont bénéficient ces données
appartenant au client.
4° Ces
manquements constituent une violation des droits au consentement et à
l’opposition du client à la collecte, traitement et diffusion de ses données
conformément aux dispositions relatives à la protection des données et de la
vie privée ainsi qu’aux dispositions du Code pénal et du Code de la
consommation. Cela ouvre droit, pour le
client, à des recours autant en droit contractuel, administratif et pénal,
autant auprès du fournisseur d’électricité qu’auprès d’Enedis et ses
installateurs sous-traitants et même des collectivités territoriales par le
biais de la responsabilité de contrôle du Syndicat départemental d’énergie.
C :
En conclusion
L’absence de protection dans le
traitement des données et du consentement du client sont les points majeurs
d’opposition à la formulation actuelle de ce contrat. Suivent le droit
d’information préalable à la signature du contrat, la complexité du régime
tarifaire et des clauses de règlement des conflits ainsi que l’accès difficile
aux documents annexes pertinents. Dans ce contexte, nous proposons diverses
recommandations pour corriger cette situation.
RECOMMANDATIONS :
1° Référer cette question à la CNIL pour ré-évaluation et
contrôle ;
2° Saisir de nouveau la Ligue des Droits de l’Homme de France sur ce
sujet ;
3° Sensibiliser les associations de protection des consommateurs et les
média ;
4° Demander à l’Association Que Choisir de modifier son entente avec
Enedis concernant la facturation de tous les clients, la première année, pour
le forfait de frais d’opération de QC, pour la procédure de règlement de
plaintes, afin que seuls les clients qui choisissent ce mode de traitement de
leur plainte soient facturés du forfait QC ;
5° Demander à Enedis et aux fournisseurs d’électricité de modifier
leurs offres unilatérales et conditions générales de vente et leurs annexes
afin d’y prévoir :
a) un document de synthèse des droits du client, en rapport à ces données
personnelles et de consommation, remis avec l’offre d’abonnement, en versions
électronique et imprimée ;
b) la distinction entre la courbe de charge individuelle et la courbe de
charge agrégée et leurs finalités ;
c) l’opposition spécifique et non présumée du client à la création et au
stockage de la courbe de charge et sa remontée vers Enedis et les tiers ;
d) la clarification et le respect du droit au consentement
« préalable » à l’acceptation du contrat ;
e) la définition des différentes catégories de « données », ainsi
que leurs spécificités (moment de leur collecte, stockage, traitement,
diffusion, à qui et pour quelles fins) ;
f) la définition et le respect des divers « consentements » et
« droit d’opposition » ;
g) le droit du client de refuser certains traitements de ses données,
notamment la création de la courbe de charge et la diffusion à des tiers à des
fins de sollicitations commerciales ;
h) d’amender la clause de paiement du forfait Que Choisir pour ne la rendre
applicable qu’aux clients choisissant ce type de règlement de réclamation.
CECI NE
CONSTITUE PAS UN AVIS JURIDIQUE mais un
document d’information relatif aux données visées par le système Linky. Il se
veut une compilation et une analyse à partir d’études et d’avis de diverses
sources encourageant un débat juridique et spécifique plus avancé sur cette
question de la part des experts concernés. Il constitue également un texte de
réflexion pour les clients des fournisseurs d’électricité, pour les
consommateurs d’électricité et les associations de protection des droits et
libertés des consommateurs. Enfin, il tient lieu d’invitation aux fournisseurs
d’électricité de revoir les clauses contractuelles de leurs Conditions
générales, Synthèse et Annexes, en ce qui concerne la collecte, le traitement
et l’utilisation des données personnelles et de consommation de leurs clients
et particulièrement à la question de leurs droits au consentement et à l’opposition
relatifs à leurs données.
L’auteur
remercie tous les acteurs qui directement ou indirectement lui ont transmis des
renseignements et documents aux fins de cette compilation et de la conclusion
de cette analyse.
Daniel MATHIEU, juriste retraité, pour le Collectif
Anti-Linky de Dordogne (CCC24) et membre de la LDH – Section Sarlat, Novembre
2016