ANALYSE DES NOUVEAUX CONTRATS D'ENEDIS : INFRACTIONS

Monsieur Daniel MATHIEU

La Boria Del Cheyrou

24580 PLAZAC

Monsieur Jean-Marie Lelièvre

Président de la Section de Sarlat

Ligue des Droits de l’Homme

Mercredi 30 novembre 2016

OBJET : Position de la LDH sur les compteurs Linky d’Enedis et la protection des données et vie privée

Suite à ma lettre du 25 novembre lors de l’A.G. de la Section Sarlat, je vous prie de trouver ci-joint, Monsieur le Président, mon « ANALYSE DES QUESTIONS DE DONNÉES ET VIE PRIVÉE – LINKY de ENEDIS » que je viens de compléter. 

Il s’agit d‘une analyse non exhaustive du droit applicable autant auprès de l’Union européenne qu’en France pour vérifier en quoi les nouvelles dispositions contractuelles dans les derniers documents et sites d’Enedis et des fournisseurs d’électricité sont conformes ou non leurs obligations de protection des données personnelles et de consommation des consommateurs du service public d’électricité.

Un sommaire est fourni pour en appréhender plus rapidement le contenu, les conclusions et les recommandations. La Table des matières est également présentée sous forme de sommaire.

L’analyse énonce de nombreux manquements et 14 infractions d’Enedis à l’égard de ses obligations et de ses engagements pris auprès de la CNIL et des autres intervenants, dont la LDH de France.

 À cette fin, la nouvelle position prise par la LDH de France sur l’apparente conformité d’Enedis aux directives de la CNIL et aux dispositions de la Loi du 6 janvier 1978, mais toutefois ne remettant pas en question sa demande de moratoire sur le déploiement généralisé des Linky, n’est plus, avec respect, d’actualité et doit être revue.

Vous remerciant de faire suivre ce dossier auprès de la LDH de France, espérant que cela ouvrira un nouveau dialogue auprès de la LDH de France et de Sarlat sur ce dossier, je demeure, Monsieur le Président, à l’entière disposition de la LDH pour discuter de la présente analyse et de ses conséquences.

Daniel Mathieu

Membre

Courriel : om.dm2@free.fr

Téléphone : 05 53 51 09 73

ANALYSE DES QUESTIONS DE DONNEES ET VIE PRIVEE

DANS LE NOUVEAU CONTRAT 2016

ENTRE ENEDIS ET LES FOURNISSEURS D’ELECTRICITE

PARTIE I : SOMMAIRE

Le traitement des données personnelles et de consommation d’électricité et la protection de la vie privée dans le contexte du système des compteurs évolués d’électricité méritent une analyse spécifique.

Il nous faut considérer trois niveaux de documentation - réglementation concernant le système de comptage de consommation électrique des particuliers :

1° Que prévoient vraiment les dispositions européennes relatives à la protection des données et à la vie privée ?

2° Comment ces dispositions ont-elles été traduites et incorporées dans la législation française ?

3° Comment ENEDIS a-t-elle traduite et insérée ces dispositions dans ses contrats avec les fournisseurs d’électricité et leurs clients ?[1]

Notre analyse de ces prémisses nous permettra de répondre à la question essentielle : Enedis respecte-t-elle, dans ses contrats, la législation en vigueur et ses engagements pris devant les institutions réglementaires ?

Notre réponse est NON.

A : La protection des données en droit européen et français

Les données traitées par le réseau Linky représentent un enjeu économique et concurrentiel considérable car ce sont les données elles-mêmes et la possibilité de les utiliser qui deviennent un levier de valeur ajoutée, susceptibles de créer de la valeur pour les personnes pouvant y avoir accès. Ces données doivent, en effet, avoir une valeur économique, ce qui suppose de savoir les exploiter afin qu’elles deviennent une source de revenu et confèrent à leur détenteur un avantage compétitif.

En vertu des dispositions du droit européen et français en vigueur, ces données peuvent être classées en quatre catégories, dont deux « protégées » et deux « non protégées » :

• 1° les données personnelles nominatives qui sont requises pour la facturation : elles sont protégées et obligatoires (le client doit les fournir au distributeur et à son fournisseur d’électricité sur sa signature du contrat d’abonnement) ; mais celles non requises à la facturation sont sujettes au consentement préalable du client pour être accessibles à son fournisseur ;
• 2° les données (index) de consommation d’électricité : elles sont protégées mais, avec le consentement du client, peuvent faire l’objet d’autres utilisations et diffusées à des tiers ;
• 3° les données de courbe de charge individuelle : elles sont protégées et sujettes au consentement libre, éclairé, spécifique et préalable du client (son droit d’opposition) ; mais avec le consentement du client, elles peuvent faire l’objet d’autres utilisations et être diffusées à des tiers ; 
• 4° les données de courbe de charge agrégées et anonymes : non nominatives et cumulées en agrégats, elles ne sont pas protégées ni sujettes au consentement du client.

Les autres protections des données :

-       Elles ne peuvent être utilisées qu’aux fins pour lesquelles elles ont été collectées ;

-       Elles ne peuvent être utilisées que par les personnes autorisées à les collecter et non par des tiers ;

-       Le traitement des données donnant lieu à la création de la courbe de charge est sujet au consentement du client et uniquement pour que la courbe de charge soit stockée dans le compteur ; le consentement du client est requis pour son transfert vers le distributeur (Enedis) ou vers des tiers (fournisseurs et sociétés tierces) ; et son consentement peut être retiré, annulant le stockage et purgeant la mémoire du compteur (notamment en cas de déménagement) ; à savoir que la création de la courbe de charge est utile uniquement lorsque des problèmes d’alimentation sont effectivement détectés et est donc facultative et disproportionnée par rapport à toute autre finalité poursuivie par Enedis.[2]

.../...

Ainsi, en vertu des principales mesures applicables du droit européen et français, le client final, dans le cas du déploiement de compteurs intelligents a le droit à la protection de ses données, le droit de consentir (préalable, éclairé, spécifique), le droit de s’opposer à la collecte, au traitement ou à la transmission vers des tiers, le droit d’être informé, le droit à la correction, au retrait ou purge de ses données. Le non respect de la plupart de ces droits par le gestionnaire de réseau constitue une infraction en vertu du Code pénal ; notamment la pose d'un compteur recueillant des données à caractère personnel à l'insu d'une personne physique fait obstacle à l'exercice de son droit d'opposition, ce qui constitue le délit de collecte déloyale prévu et réprimé par l'article 226-18 du Code pénal. En plus, un recours indemnitaire pour tout préjudice subi pourrait être exercé à l’encontre d’un SDE par les usagers, en cas de carence de l'autorité concédante dans l'exercice de ses prérogatives, notamment du contrôle par le gestionnaire et ses installateurs ou sous-traitants.

Il faut savoir qu’une fois le système de réseau Linky mis en place, les données ainsi collectées pourront être accessibles à diverses institutions publiques dans le cadre de leurs missions, notamment la Police, la Gendarmerie et les collectivités territoriales[3].

  

B : Ce que les nouveaux contrats d’Enedis prévoient pour appliquer ces doits

Si l’on regarde à l’ensemble des droits du client, à la protection de ses données et de sa vie privée en vertu de la législation européenne et de leur transposition en droit français, et qu’on les compare aux mesures prises par Enedis, telles que formulées dans ses documents contractuels les plus récents (1^er octobre 2016), on s’aperçoit qu’Enedis est en flagrante violation de ses obligations légales et de ses engagements pris auprès des institutions réglementaires françaises (CNIL, etc.).

Si l’on résume les droits du client à la protection de ses données et de sa vie privée en catégories simplifiées et que l’on indique pour chaque catégorie le respect ou non respect par Enedis de ses obligations, le bilan correspondrait approximativement à ceci :

1° Le droit à l’information préalable claire : NON RESPECTÉ

a)     lors de l’acceptation de l’offre d’abonnement ý

b)    lors de la signature du contrat ý

c)     lors de l’installation du compteur Linky ý

2° Le droit au consentement préalable à la collecte des données : NON RESPECTÉ

3° Le droit à la protection des données : NON RESPECTÉ

a)     la propriété des données du client þ

b)    les données à caractère personnel protégées ý

c)     les données requises à la facturation et identification du client obligatoires mais protégées ý

d)    les données de comptage protégées :

a.     les données de consommation (index personnel) ý

b.     les données cumulées en courbe de charge individuelle sur consentement préalable du client  ayant droit d’opposition ý

e)     les autres données anonymes non protégées (courbe de charge agrégées) þ

f)     les données transmises à des tiers :

a.     à des fins de prospection commerciale, sur consentement préalable du client ayant droit d’opposition ý

b.     à des fins contractuelles ou législatives permises, non protégées, avec droit d’information mais pas d’opposition þ

g)    le stockage des données, sur consentement du client ayant droit d’opposition ý

h)    la protection anti-piratage des données collectées ☐

En opposition à ces droits que détient le client, nous constatons de nombreux manquements de la part d’Enedis dans ses documents et nous énonçons 14 infractions à ses obligations et engagements. On peut les résumer ainsi :

1° Enedis s’autoproclame illégalement propriétaire des compteurs, certainement dans le but d’éviter toute contestation quant à son utilisation des données collectées.

2° Enedis délègue, aux divers fournisseurs, sa responsabilité d’informer le client, « au préalable » à sa signature d’un contrat de fourniture d’électricité. Le contrat type prévoit que le client, qui est présumé en avoir connaissance, donne un consentement « présumé » ou « obligatoire ». Il n’existe donc aucune uniformité ni aucune garantie que l’information pertinente effectivement fournie au client par les divers fournisseurs lui permette de formuler un consentement éclairé. Il en résulte que le client est dans l’impossibilité de donner un véritable consentement « préalable » à la collecte et au traitement de ses données. Ceci constitue une flagrante violation des engagements pris par Enedis auprès de la CNIL.

3° Enedis, dans ses contrats avec les fournisseurs d’électricité, commet les manquements suivants à ses obligations :

-       elle ne clarifie ni ne définit ce que constituent les « données » et leurs différentes catégories (données personnelles ou de consommation) ;

-       elle ne spécifie pas le moment de leur collecte (instantanée à partir de l’installation et activation d’un compteur Linky) ;

-       elle ne spécifie pas leur traitement (en courbe de charge soit individuelle soit agrégée) ;

-       elle ne stipule aucunement, ni ne le prévoit, que le consentement du client est requis a) pour la collecte, b) pour le stockage et c) pour la remontée de la courbe de charge individuelle ;

-       elle ne spécifie pas leur diffusion à des tiers ni ne les identifie (Etat et ses institutions, autres fournisseurs d’électricité et leurs sous-traitants, tiers à des fins commerciales, municipalités, autres Etats, etc.) ;

-       elle ne prévoit ni ne stipule les options futures relatives aux « objets connectés » au compteur Linky, que le fournisseur sera en mesure de proposer au client en fonction des évolutions technologiques, ni leurs conséquences, ni le droit d’opposition du client ;

-       en cas de problèmes techniques avec la domotique intérieure au foyer du client suite au raccordement et à la signature du contrat, Enedis se décharge d’abord de toute responsabilité pour ensuite accepter de traiter des réclamations avec demande d’indemnisation qui découleraient de sa responsabilité reçues par écrit par lettre R A/R dans les 20 jours du sinistre ou de sa découverte par le client. Comme actuellement, Enedis seule détermine si le sinistre découle ou non de sa responsabilité ;

-       comme par le passé, le contrat peut être modifié unilatéralement par Enedis et les modifications seront « portées à la connaissance du client par l’intermédiaire du fournisseur » ;

-       les droits de recours en cas de désaccord, avec ou sans demande d’indemnisation, concernant le tarif, la facturation, le comptage, les services de dépannage, d’information, l’interprétation du contrat donnent droit à diverses options auprès d’Enedis, du fournisseur, du Médiateur de l’énergie et des tribunaux, auquel se rajoute un recours en réclamation, la première année du contrat, auprès de la Fédération UFC-Que Choisir ou sa filiale SASU QUE CHOISIR ;

-       cela impose à tous les abonnés utilisant ou non le droit de réclamation à Que Choisir, une sur-facturation obligatoire entre 5 à 14 € intitulée « Frais de participation à l’opération ‘Energie moins chère ensemble’, le prix dépendant si le client est abonné-membre de Que Choisir ou non ; les sommes sont prélevées sur la facture du client par le fournisseur qui les verse « intégralement à la SASU QUE CHOISIR » ;

-       sur le site internet d’Enedis, la procédure de « Créer mon espace personnel » pour permettre au client d’avoir accès à ses données de consommation, oblige en fait le client à fournir ses données personnelles, les mêmes pour lesquelles il souhaiterait faire opposition à leur collecte, utilisation et diffusion et ce, avant même d’obtenir une quelconque information concernant ses droits sur ses données ;

-       Rien n’est spécifiquement prévu pour les clients qui n’ont pas accès à internet ou qui n’utilisent pas ce média ; un document résumant leurs droits s’avère nécessaire afin de leur permettre d’être avisé de leurs droits au consentement et à l’opposition concernant la collecte et l’utilisation de leurs données ;

-       Les documents pertinents faisant partie du contrat ne sont que difficilement accessibles et sont éparpillés (sauf chez Enercoop) sur les sites internet d’Enedis ou des fournisseurs sans sommaire ni simplification. Les obtenir sur demande par courriel prend 15 à 20 jours. Rien n’est prévu pour les clients n’ayant pas accès à internet.

Il en résulte que le client est dans l’impossibilité de donner un consentement clair, libre et spécifique par rapport au traitement de ses données ni de savoir à quelles fins elles sont utilisées ni quels en sont les destinataires, en infraction aux directives de la CNIL et aux protections législatives dont bénéficient ces données appartenant au client.

4° Ces manquements constituent une violation des droits au consentement et à l’opposition du client à la collecte, traitement et diffusion de ses données conformément aux dispositions relatives à la protection des données et de la vie privée ainsi qu’aux dispositions du Code pénal et du Code de la consommation. Cela ouvre droit, pour le client, à des recours autant en droit contractuel, administratif et pénal, autant auprès du fournisseur d’électricité qu’auprès d’Enedis et ses installateurs sous-traitants et même des collectivités territoriales par le biais de la responsabilité de contrôle du Syndicat départemental d’énergie.

C : En conclusion

L’absence de protection dans le traitement des données et du consentement du client sont les points majeurs d’opposition à la formulation actuelle de ce contrat. Suivent le droit d’information préalable à la signature du contrat, la complexité du régime tarifaire et des clauses de règlement des conflits ainsi que l’accès difficile aux documents annexes pertinents. Dans ce contexte, nous proposons diverses recommandations pour corriger cette situation.

RECOMMANDATIONS :

1° Référer cette question à la CNIL pour ré-évaluation et contrôle ;

2° Saisir de nouveau la Ligue des Droits de l’Homme de France sur ce sujet ;

3° Sensibiliser les associations de protection des consommateurs et les média ;

4° Demander à l’Association Que Choisir de modifier son entente avec Enedis concernant la facturation de tous les clients, la première année, pour le forfait de frais d’opération de QC, pour la procédure de règlement de plaintes, afin que seuls les clients qui choisissent ce mode de traitement de leur plainte soient facturés du forfait QC ;

5° Demander à Enedis et aux fournisseurs d’électricité de modifier leurs offres unilatérales et conditions générales de vente et leurs annexes afin d’y prévoir :

a)    un document de synthèse des droits du client, en rapport à ces données personnelles et de consommation, remis avec l’offre d’abonnement, en versions électronique et imprimée ;

b)   la distinction entre la courbe de charge individuelle et la courbe de charge agrégée et leurs finalités ;

c)    l’opposition spécifique et non présumée du client à la création et au stockage de la courbe de charge et sa remontée vers Enedis et les tiers ;

d)   la clarification et le respect du droit au consentement « préalable » à l’acceptation du contrat ;

e)    la définition des différentes catégories de « données », ainsi que leurs spécificités (moment de leur collecte, stockage, traitement, diffusion, à qui et pour quelles fins) ;

f)     la définition et le respect des divers « consentements » et « droit d’opposition » ;

g)    le droit du client de refuser certains traitements de ses données, notamment la création de la courbe de charge et la diffusion à des tiers à des fins de sollicitations commerciales ;

h)   d’amender la clause de paiement du forfait Que Choisir pour ne la rendre applicable qu’aux clients choisissant ce type de règlement de réclamation.

N.B. L’analyse détaillée (75  pages) de cette question est traitée dans les parties qui suivent. (non jointes ici mais disponible sur demande par courriel ou accessible sur :http://doc.stoplinkynonmerci.org/index.php?searchField=tags&searchOperator=contains&searchValue=L%C3%A9gislation%20et%20Droit&action=view&id=139&exportFormat= )

CECI NE CONSTITUE PAS UN AVIS JURIDIQUE mais un document d’information relatif aux données visées par le système Linky. Il se veut une compilation et une analyse à partir d’études et d’avis de diverses sources encourageant un débat juridique et spécifique plus avancé sur cette question de la part des experts concernés. Il constitue également un texte de réflexion pour les clients des fournisseurs d’électricité, pour les consommateurs d’électricité et les associations de protection des droits et libertés des consommateurs. Enfin, il tient lieu d’invitation aux fournisseurs d’électricité de revoir les clauses contractuelles de leurs Conditions générales, Synthèse et Annexes, en ce qui concerne la collecte, le traitement et l’utilisation des données personnelles et de consommation de leurs clients et particulièrement à la question de leurs droits au consentement et à l’opposition relatifs à leurs données.

L’auteur remercie tous les acteurs qui directement ou indirectement lui ont transmis des renseignements et documents aux fins de cette compilation et de la conclusion de cette analyse.

Daniel MATHIEU, juriste retraité, pour le Collectif Anti-Linky de Dordogne (CCC24) et membre de la LDH – Section Sarlat, Novembre 2016

---

[1] Pour les Conditions générales de vente Offre électricité fixe pour les particuliers, voir : http://www.enedis.fr/contrat-unique-et-contrat-card

qui vous renvoie aux fournisseurs ; un modèle antérieur (juin 2016) est disponible sur le site du fournisseur, par ex. pour Enercoop : http://aquitaine.enercoop.fr/sites/default/files/enedis-for-cf_02e_annexe_2bis_1.pdf ; pour EDF : http://entreprises.edf.com/fichiers/fckeditor/Commun/Entreprises/pdf/CGV%20Contrat%20Unique%20sup%2036%20version%2001%20janvier%202012.pdf ; pour Lampiris : https://www.lampiris.fr/sites/website/files/offers/CGV%20Elec%20fixe%20%28juin%202016%29_1.pdf  ; pour Direct Energie : http://groupe.direct-energie.com/fileadmin/Metiers/Particuliers/Documents_contractuels/cgv_electricite_gaz_particuliers.pdf , etc.

[2] CNIL, 30 novembre 2015, voir Notes 25 et 27, pages 33 et 34

[3] En vertu de dispositions législatives déjà en vigueur notées dans l’analyse détaillée.