Privacy by design & by default : l’exemple d’Enedis à l’épreuve du juge
En avril dernier, plus de 200 personnes ont assigné Enedis pour s’opposer à l’installation d’un compteur électrique Linky ou en demander le retrait. Elles estimaient que l’installation de ce compteur à leur domicile constituait un trouble manifestement illicite notamment basé sur la violation de l’article article 5, 1, a du RGPD qui impose un traitement licite, loyal et transparent des données à caractère personnel collectées. Les demandeurs invoquaient l’absence de recueil du consentement et le manque de transparence d’Enedis (responsable de traitement).
Le juge a rejeté leur demande. Selon lui, « la société Enedis établit qu’elle s’est soumise au contrôle de la CNIL, tant au stade de la conception du compteur “Linky” qu’au cours de son test, puis de son déploiement ».
Dans ses recommandations, la CNIL avait notamment sollicité que : les dispositifs de comptage soient conformes à des référentiels de sécurité approuvés par le ministre chargé de l'énergie, que la courbe de charge ne puisse être collectée que lorsque des problèmes d'alimentation ont effectivement été détectés ; que les paramètres de réglage des compteurs soient, par défaut, les plus protecteurs possible pour les usagers ou encore que les compteurs doivent pouvoir être mis à jour afin de rester en permanence à l'état de l'art.
Pour le magistrat, la société semble avoir suivi ces recommandations puisqu’il constate que « les compteurs “Linky” assurent une anonymisation des informations pendant leur transmission, d’une part par leur cryptage, et d’autre part par l’absence de toute référence d’identification nominative, ce qui a été confirmé par l’étude effectuée par la CNIL au terme de la période de test ».
Le juge s’est ainsi basé sur l’étroite collaboration de la société Enedis avec la CNIL aussi bien en amont du projet qu’au moment de sa réalisation pour relever la conformité du dispositif.
Il faut sans doute retenir que les démarches proactives qui visent à prendre en compte la protection des données personnelles dès la conception du projet sont essentielles. Elles favorisent la bonne réussite du projet et sa conformité à la réglementation (privacy by design & by default).
Une fois la conformité établie et documentée en amont le responsable de traitement pourra implémenter un projet de manière sécurisée en limitant les risques d’engagement de sa responsabilité. En outre, pouvoir documenter sa conformité aussi bien envers ses clients, ses prestataires ou encore la CNIL est vecteur de compétitivité, de confiance et renforce ainsi l’image professionnelle de votre entité.
