Ce jeudi 18 juin, le Conseil Constitutionnel a rendu sa décision, dans laquelle il censure l’article le plus controversé de la proposition de loi contre la haine en ligne dite Loi Avia. 

Cet article 1er, mesure phare de cette loi et très polémique imposait aux hébergeurs et éditeurs de services de communication en ligne de retirer tous contenus « haineux » dans un délai de 24 heures sous peine de sanctions pénales.  

Selon les juges, le texte porte une atteinte inadaptée à la liberté d’expression et de communication, non nécessaire et non proportionné au but poursuivi rejoignant ainsi l’avis des fervents opposants de la loi.  

Les Sages jugent que le délai imposé par le texte inciterait les plateformes à retirer tous les contenus signalés, « qu’ils soient ou non manifestement illicites », afin d’éviter une amende pouvant aller jusqu’à 1,25 millions d’euros.  

Le même constat est fait pour l’obligation imposée aux plateformes de retirer dans un délai d’une (1) heure, tout contenu pédopornographique ou terroristes signalés.  

Alors que la nature du caractère pédopornographique ne peut être établie que de manière judiciaire. Les Sages rejettent le délai imposé d’une (1) heure manifestement irréaliste au regard du délai de saisie du juge. Ainsi cette mesure est sanctionnée par le Conseil car elle contraint mécaniquement les plateformes à retirer tout contenu de manière systématique.  

La proposition de loi Avia subit un lourd revers et perd sans doute ses spécificités au profit de la protection de la liberté d’expression, principe constitutionnel essentiel à notre démocratie.  

En cette période d’état d’urgence sanitaire lié à l’épidémie du Covid-19, l’objectif des pouvoirs publics est de limiter la propagation du virus.   

Le dispositif déployé par le Gouvernement dans cet optique est large, et n’est pas seulement limité à l’application Stop Covid, car elle couvre aussi les fichiers SI-Dep et Contact Covid. 

Le fichier SI-DEP nommé « Système d’Informations de DEPistage » est une base de données enregistrant les résultats des laboratoires des tests effectués par les laboratoires ainsi que les établissements hospitaliers.  

Le fichier Contact Covid est quant à lui, une aide apportée aux professionnels de santé, les permettant de prendre en charge les cas infectés par le virus. 

Ces outils numériques ont donc pour but d’identifier le plus rapidement possible, les personnes contaminées, celles qui sont susceptibles d’avoir contaminé ainsi que les chaînes de contamination. 

La star de ce plan de déconfinement reste Stop Covid qui est une application mobile de traçage de contacts de l’utilisateur, ayant pour objectif d’identifier les chaines de contamination et de les avertir lorsqu’ils ont été en contact avec des personnes ayant été testés positif au virus.  

Il s’agit d’une application sans tracking qui est basé uniquement sur le volontariat. Ainsi seulement les personnes ayant téléchargé puis activé l’application sont aptes à s’échanger des informations.  

Ce dispositif d’alerte utilise la technologie du Bluetooth et n’a donc pas recours à la géolocalisation. 

Cependant, contrairement à ce qui est dit par les fervents défenseurs de l’application, les données ne sont pas anonymes.  

C’est en effet, ce que la CNIL rappelle dans une FAQ qui vient d’être publiée : les informations traitées ne sont pas « anonymisées» au sens du RGPD.  

Il est plus exacte de parler de pseudo : tout au long de l’utilisation de l’application, une liste de pseudonymes temporaires des appareils « croisés » les derniers 14 jours, est stocké dans le smartphone de l’utilisateur. Aucun fichier des contacts personnels, ni de personnes atteintes du virus ne devrait donc être constitué.  

L’utilisateur contaminé aura le choix de faire remonter les données pseudonymisées de ses contacts vers un serveur central et sera invité à consulter un médecin.  

Ce qu’en pense la CNIL 

Saisie en amont de la mise en place, la CNIL a rendu 2 avis favorables les 24 avril 2020 et 25 mai 2020 sur :  

• la mise en oeuvre de l’application « Stop Covid » ; et  

• l’encadrement juridique des fichiers SI-Dep et Contact Covid.  

Dans ses avis la CNIL, constate que « ses principales recommandations ont été prises en compte et estime ainsi que ce dispositif temporaire, basé sur le volontariat, peut légalement être mis en œuvre ».  

Quelques réserves sont maintenues par la Commission :  

• sur la nécessité d’offrir de meilleures garanties aux utilisateurs s’agissant des conditions d’utilisation et des modalités d’effacement des données personnelles ainsi qu’établir un fondement législatif beaucoup plus explicite ;  

• sur l’importance du suivi des données des personnes vulnérables que sont les mineurs ;  

• ainsi que de confirmer le droit d’opposition et le droit d’effacement des données pseudonymisées enregistrées, dans le décret à venir.  

Enfin, la CNIL souligne que la durée de vie de l’application ne doit pas excéder les 6 mois suivant la date de fin de l’état urgence sanitaire (en principe arrêté au 10 juillet 2020). Elle réclame aussi au Gouvernement, le libre accès et dans son intégralité au code source.  

Ce que contrôle la CNIL  

Deux jours seulement après la sortie de l’application StopCovid et avec le cap du million d’utilisateurs franchi quelques jours après, l’Autorité administrative se lance dans un contrôle à posteriori afin de vérifier sur le terrain, le bon fonctionnement des dispositifs mis en place. 

Le but ? Simple, vérifier que ses recommandations concernant les modalités de recueil du consentement et d’information des personnes ont été respectées.  

Le CNIL sera donc très vigilante sur les droits d’accès et d’opposition des personnes, tout comme sur les dispositifs de sécurité mis en place afin de protéger les flux de données. 

Ces contrôles débuteront dès le mois de juin et continueront pendant toute la période d’utilisation des fichiers, jusqu’à la fin de leur utilisation et de la suppression des données collectées. 

Ils seront effectués sur le terrain, c’est-à-dire dans les locaux de la Caisse Nationale de l’assurance maladie (CNAM) et du ministère des Solidarités et de la Santé. Mais aussi en ligne pour l’app StopCovid, ainsi que par le biais de questionnaires et de demandes de documents. 

La Commission met en garde sur sa volonté le cas échéant d’adopter des mesures correctrices telles que des mises en demeure et/ou des sanctions en cas de non-respect de ces points de façon grave ou répété. 

La réalisation de ces contrôles sera utile afin d’alimenter le rapport communiqué par le Gouvernement au Parlement effectué tous les trois mois concernant la mise en œuvre des systèmes d’information développés pour lutter contre la propagation de l’épidémie (article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire). 

Il s’agit là du premier chapitre d’une longue saga sur la gestion de crise mêlant à la fois les questions de vie privée et de sécurité.  

Sources  

CNIL, L’application mobile StopCovid en questions, 5 juin 2020 

CNIL, SI-DEP, Contact Covid et StopCovid : la CNIL lance sa campagne de contrôles, 4 juin 2020 

Le Brief, La CNIL rappelle que StopCovid n'est pas anonyme, Cédric O évoque « 1 million » d'utilisateurs (ou d'activations), 8 Juin 2020, Next Inpact

En cette période de fêtes, les cadeaux ne sont pas les seuls à arriver dans nos boîtes aux lettres. Les courriers électroniques nous informant des mises à jour de politiques de confidentialité ou de conditions d’utilisation se multiplient, un phénomène qui n’est pas sans rappeler la frénésie qui a précédé l’entrée en application du RGPD.

Et pour cause. Le California Consumer Privacy Act (« CCPA »), promulgué le 28 juin 2018, entre en application le 1er janvier 2020. De l’autre côté de l’Atlantique, le RGPD a ainsi fait des émules.

Si son entrée en vigueur commence à dater, la question de son application est, elle, toujours d’actualité pour bien des entreprises, aussi bien françaises qu’européennes ou internationales. Dès lors, l’apparition de ce nouveau texte pose beaucoup d’interrogations : quel est son but ? quelles sont ses implications pour les entreprises ? comment le concilier avec le RGPD ? etc.

Une loi née d’une initiative citoyenne

L’originalité de cette loi est qu’elle est le résultat d’une prise de conscience et d’une initiative citoyenne. L’association Californians for Consumer Privacy a porté ce texte par un référendum signé par plus de 600 000 Californiens. Le texte a ensuite été repris par le Parlement d’état. Cette loi est donc le produit d’une prise de conscience citoyenne.

Cette loi vise principalement à permettre aux résidents californiens de savoir quelles données personnelles sont collectées à leur sujet, de refuser la vente de leurs informations et de bénéficier de garanties concernant le traitement de leurs données personnelles. Tout comme pour le RGPD, l’objectif -louable- est de permettre aux personnes de reprendre le contrôle de leurs informations personnelles.

Les entreprises sont dorénavant tenues de communiquer aux particuliers les informations qu’elles détiennent sur eux ou encore de recueillir le consentement explicite de la personne avant la vente de ces données.

Si les deux textes présentent des similitudes, ils ne sont cependant pas sans différences.

Les différences entre le RGPD et le CCPA

1.   Le champ d’application territorial

Alors que le RGPD s’applique à toutes les organisations qui traitent les données de personnes physiques présentes sur le territoire européen, le CCPA ne s’applique que si trois critères se trouvent réunis :

1. Être une entreprise ;

2. Basée en Californie ;

3. Dont le chiffre d’affaires brut annuel dépasse les 25 millions de dollars OU dont plus de 50% de l’activité trouve sa source dans la vente de données personnelles OU qui détient les données personnelles de plus de 50 000 personnes, ménages ou appareils.

Concrètement, seules sont visées les grandes entreprises californiennes et celles qui se spécialisent dans la marchandisation de la donnée, comme les régies publicitaires. Le choix de ces critères alternatifs rappellent ainsi ont peut-être été choisis car ne sont pas sans rappeler le scandale Cambridge Analytica.

2. La définition d’une donnée personnelle

Le RGPD définit la donnée personnelle de manière très large. Il s’agit de toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement. Le texte s’arrête à cette définition, après avoir donné plusieurs exemples.

La définition donnée par le CCPA est similaire, mais comporte toutefois des exclusions explicites. Ainsi, les informations librement rendues publiques par les gouvernements locaux, d’état et fédéral, ne sont pas considérées comme des données personnelles.

3. Les droits conférés

Les deux législations protègent le droit à l’information ainsi que le droit d’accès aux données personnelles de chaque individu. Le CCPA protège en outre :

• Le droit de demander l’interdiction de la vente de ses informations personnelles. Un tel droit se manifeste par un opt-out spécifique qui doit être visible sur les sites des entreprises concernées.

• Le droit de ne pas subir de discrimination à la suite de l’exercice de ses droits. Autrement dit, chacun doit pouvoir profiter d’un service de même qualité à un même prix.

Il faut noter que ces droits ne concerneront que les résidents californiens, soit environ 40 millions de personnes. Par comparaison, le RGPD concerne non seulement les 513,5 millions de résidents sur le territoire de l’Union Européenne (« UE »), mais aussi toute personne, même non-résidente en UE, dont les données sont traitées par une entreprise située sur ce territoire.

4. Les sanctions

Les sanctions du RGPD qui sont aujourd’hui bien connues, peuvent aller jusqu’à 4% du chiffre d’affaires mondial de l’organisation sanctionnée ou encore 20 millions d’euros. Le CCPA, lui, se distingue de deux manières.

D’une part, il distingue entre les violations de données, pour lesquelles le consommateur peut poursuivre l’entreprise concernée, et la non-conformité en général, pour laquelle seul le Procureur Général peut poursuivre en justice.

D’autre part, les sanctions financières peuvent aller jusqu’à 7 500$ par violation. Ce nombre paraît minime, comparé aux sanctions prévues par le RGPD. Néanmoins, les violations peuvent aisément s’accumuler et seul l’avenir dira comment ces sanctions seront appliquées.

Aucune autorité de contrôle n’existant en Californie, le Procureur Général s’en rapproche le plus. En effet, les entreprises peuvent lui demander conseil sur leur mise en conformité. Ce surplus d’activités devra être géré par ses services et il est raisonnable de penser qu’un temps d’adaptation et des moyens supplémentaires devront être déployés avant le prononcé de sanctions effectives. De l’aveu même du Procureur Général en exercice, Xavier Becerra, seuls trois poursuites pourraient être menées en 2020.

Conclusion

Si le CCPA semble s’inspirer du RGPD, ces deux textes ne revêtent pas la même portée.

Le CCPA représente une étape incontestable vers une prise de conscience à l’échelle du continent américain.

Toutefois, ce texte pose de véritables questions, non seulement en termes d’application en parallèle au RGPD, mais aussi parce qu’il autorise de manière explicite la vente de données personnelles. Cette étape n’a à ce jour pas été franchie en Europe et fait l’objet d’un sérieux débat sur la marchandisation des données d’un individu.

Ainsi, la question de la possibilité et de l’opportunité d’harmoniser les législations à l’échelle mondiale est une fois de plus posée.

Sources et documents sur les sujets abordés dans cet article

https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5.

https://www.caprivacy.org/about

https://www.kqed.org/news/11792899/the-california-consumer-privacy-act-mandates-what-again-exactly

https://www.nextinpact.com/news/106349-retour-sur-scandale-cambridge-analytica-et-molle-reponse-facebook.htm

https://www.nextinpact.com/news/106454-affaire-cambridge-analytica-pressions-europeennes-saccentuent-sur-facebook.htm

Le démarchage abusif est une inconvenance pour la plupart des Français à laquelle la liste d’opposition Bloctel ne répond que partiellement. Par une décision du 26 novembre, la CNIL entend contribuer à la solution en infligeant ainsi une amende de 500 000 euros à une entreprise qui se livrait à cette pratique.

Retour sur cette décision et ses retombées pratiques pour les entreprises qui utilisent ce mode de démarchage.

Les faits

La société en cause est spécialisée dans l’isolation thermique des domiciles des particuliers. C’est dans le cadre de son activité qu’elle effectuait, au travers de plusieurs centres d’appels, des campagnes de prospection téléphonique.

L’affaire commence par une plainte auprès de la CNIL. Une personne disait être démarchée très régulièrement par cette société, même après avoir indiqué oralement ne plus vouloir être appelée et qu’elle avait également exercé son droit d’opposition par courrier.

Un contrôle dans les locaux de l’entreprise a révélé que non seulement d’autres particuliers étaient dans la même situation, mais aussi divers manquements allant de commentaires injurieux sur les clients dans des zones de commentaires à l’encadrement insuffisant des transferts de données personnelles vers l’étrangers.

L’entreprise ne s’étant pas mise en conformité après une mise en demeure d’octobre 2018, restait seule la voie de la sanction.

La décision

La formation restreinte de la CNIL a pu constater 5 manquements au RGPD :

• L’absence de prise en compte du droit d’opposition des personnes. En effet, aucune procédure ne permettait de s’assurer efficacement que les personnes s’étant opposées au démarchage téléphonique ne soient plus appelées (arts 12 et 21 du RGPD) ;

• La présence de données non pertinentes consistant en des commentaires injurieux ou en lien avec la santé des personnes dans le fichier client de la société (art. 5-1-c) du RGPD) ;

• L’information insuffisante des personnes démarchées sur le traitement de leurs données personnelles et les droits dont elles bénéficient (art. 13 du RGPD);

• Le défaut de coopération avec la CNIL (art. 31 du RGPD) ; et

• L’encadrement insuffisant des transferts de données personnelles vers des prestataires situés hors de l’Union européenne, les centres d’appel étant pour beaucoup situés en Afrique du Nord (art. 44 du RGPD).

C’est sur la base de ces manquements, dont elle souligne le nombre, la persistance et la gravité, que la CNIL prononce une injonction de se mettre en conformité avec astreinte de 500 euros par jour de retard, ainsi qu’une amende de 500 000 euros à la société.

Ce qu’il faut en retenir

Dans cette délibération, la CNIL raffermit sa position et envoie 3 messages importants.

1. Les sanctions élevées ne seront pas réservées aux plus grandes entreprises ou aux multinationales. Les entreprises tentées de ne pas se mettre en conformité en se justifiant par leur petite ou moyenne taille sont désormais averties du pouvoir des plaintes venant du public, qui peuvent déclencher un contrôle.

2. Les entreprises spécialisées dans le démarchage, sous toutes ses formes, sont fortement encouragées à se mettre en conformité, car la CNIL entend ouvertement se tourner en priorité vers les sujets qui affectent le plus la vie quotidienne des particuliers.

3. Le comportement des entreprises lors de la procédure sera pris en compte au moment de la sanction. En l’espèce, l’entreprise refusait de coopérer avec la CNIL et avait tenté de se justifier, sans succès, par la mauvaise qualité des conseils qu’elle avait engagés. Raison de plus de montrer patte blanche lors d’un éventuel contrôle.

Sources :

• https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000039419459

• https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679

• https://www.cnil.fr/fr/futura-internationale-sanction-de-500-000-euros-pour-demarchage-telephonique-illegal

Il y a moins d’une semaine, nous vous briefions sur la position récente de la CJUE sur les cookies. A peine cette brève publiée que le Conseil d’Etat dévoile sa décision sur le sujet, en complète opposition avec la Cour de Justice.

Rappel du contexte

Pour rappel, le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018. Ce texte exige des éditeurs de sites internet qu’ils s’assurent que l’internaute consente explicitement à l’installation de cookies et autres traceurs dans son appareil à des fins de publicité ciblée.

Plus d’un an après, bien des entreprises ne se sont pas mises en conformité. La CNIL a choisi de leur accorder un délai supplémentaire d’un an pour se mettre en conformité concernant l’installation de cookies, une faveur que la Quadrature du Net avait attaquée en justice.

La décision

Dans cette décision, le juge administratif se montre plus réservé, surtout par rapport au juge européen. Alors que ce dernier militait en faveur de la vie privée, le Conseil d’Etat se retranche derrière le « large pouvoir d’appréciation » de la CNIL.

Le Conseil d’Etat estime que les tolérances accordées aux entreprises leur permettent de s’approprier les nouvelles règles issues du RGPD et de les respecter d’ici l’été 2020. Ainsi, les pratiques de ces entreprises ne sont ni illégales, ni une violation de la vie privée des personnes physiques. Il serait possible d’y voir un délai de mise en conformité accordé jusqu’en mai 2020.

Toutefois, la décision n’empêchera pas la CNIL de contrôler et de sanctionner les manquements les plus graves, une opportunité des poursuites qu’elle pratique déjà. Mais comment justifiera-t-elle auprès des entreprises sanctionnées le choix des poursuites ?  

De leur côté, les associations, dont la Quadrature du Net, pourront tout de même poursuivre les éditeurs fautifs au civil et au pénal : les lignes directrices de la CNIL n’ont aucun pouvoir contraignant sur ces juridictions.

Entre conformité actuelle et conformité future, que choisir ?

La décision du Conseil d’Etat est compliquée à mettre en œuvre à plusieurs égards.

1 - Elle entre en contradiction directe avec la décision de la CJUE dans l’arrêt « Planet49 ». 

Celle-ci affirme sans ambiguïté que les simples bandeaux d’information sont inacceptables. Un geste positif de consentement de la part de l’internaute est indispensable. Si la décision a pour fondement la Directive ePrivacy de 2002 et non pas le RGPD, les deux textes sont étroitement liés. En effet, ils ont vocation à former le « Package européen Vie Privée » une fois la directive révisée. La solution a vocation à s’appliquer tout autant sur la base de RGPD. 

2 - Le Conseil d’Etat ne respecte pas la hiérarchie des normes.

L’arrêt « Planet49 », rendu au titre d’une demande préjudicielle, donne l’interprétation officielle de la CJUE sur les textes concernés. Cette interprétation est, légalement, immédiatement applicable dans tous les Etats membres. En effet, les décisions de la CJUE forment un ordre juridique propre depuis les arrêts Van Gend en Loos du 5 février 1963 et Costa contre ENEL du 15 juillet 1964.

La tolérance accordée par la CNIL et la volonté de contradiction affichée par le juge administratif sont d’autant plus surprenantes que les autres autorités de contrôle européennes n’hésitent pas à sanctionner l’installation de cookies sans véritable consentement.

A titre d’exemple, l’autorité de contrôle espagnole (AEPD) a récemment sanctionné la compagnie aérienne Vueling en raison de la gestion non conforme des cookies sur son site internet. Vueling a accepté sa faute et a payé rapidement ; sa sanction a donc été réduite de 30 000€ à 18 000 €. Ces sommes n’approchent manifestement pas les plafonds de 20 Millions d’euros et 4% du Chiffre d’Affaires mondial annuel, mais la pratique a tout de même été sanctionnée.

3 - Elle crée un important facteur de risque pour les entreprises.

Ces dernières ont maintenant deux choix. Premièrement, elles peuvent suivre la position de la CJUE et se mettre en conformité maintenant. Deuxièmement, elles peuvent compter sur cette « période de tolérance » pour ne pas se mettre en conformité. Dans ce cas, elles ne sont tout de même pas à l’abri :

• D’une sanction de la CNIL, celle-ci se réservant toujours le droit de sanctionner les atteintes qu’elle estime « particulièrement graves ».

• De plaintes des particuliers et/ou associations, qui aura toutes les chances d’aboutir, la tolérance de la CNIL ne valant que pour elle.

En conclusion, cette décision crée plus de questions qu’elle n’en résout. Surtout, prendre la CNIL au mot crée un véritable risque pour les entreprises. En cas de doute, il nous semble plus sûr de suivre la position européenne.

Source

Pour lire la décision, c’est par ici !

Brève actu sur la décision CJUE, 1er oct. 2019, Planet49

Les faits semblent familiers. Un site, en l’espèce, édité par la société Planet49, organise un jeu. Les participants remplissent un formulaire d’inscription. La case autorisant l’exploitation de leurs données personnelles à des fins publicitaires est décochée, mais celle autorisant l’installation de cookies publicitaires au bénéfice des plusieurs dizaines de partenaires de Planet49 sur le matériel des participants, elle, l’est bel et bien. Il était également impossible de participer au jeu sans accepter cette condition. La Fédération allemande des organisations de consommateurs a donc assigné Planet49. Le renvoi préjudiciel devant la CJUE a abouti un rejet formel d’une telle pratique par la Cour des "cookies walls"

L’essentiel à retenir : 3 points pratiques

• Le consentement doit être actif ainsi fini les bandeaux d’information sur les cookies ou les cases cochées par défaut : les juges sont catégoriques sur ce point et jugent intolérable de se contenter de bandeaux informatifs sur les cookies ou de cases cochées par défaut.

• Tous les cookies sont concernés y compris les cookies nécessaires au fonctionnement du site : Ce principe de consentement actif s’applique aussi aux cookies qui ne collectent pas de données personnelles. Il s’agit d’un apport important, car beaucoup d’entreprises n’offrant pas de service de e-commerce négligent cet aspect de leur site internet ; après tout, leur site n’utilise que des cookies de fonctionnement et/ou de statistiques

• Les durées de fonctionnement et les tiers qui ont accès doivent être révélés : les responsables de traitement doivent indiquer la durée de fonctionnement des cookies mais aussi la possibilité pour un tiers d’y accéder. Les entreprises devront donc mentionner chacun des partenaires qui ont communication de ces cookies.

Un apport peut-il en cacher un autre ?

Cette décision n’est peut-être pas surprenante car elle confirme des principes de protection des données déjà bien établis, notamment dans le RGPD en matière de consentement et de transparence. Bien que les faits jugés datent de 2013, nous pouvons analyser que cette décision s’applique après l’entrée en vigueur du RGPD.

Selon nous, son véritable apport réside dans la position prise par la Cour de justice de l’Union européenne vis-à-vis des autorités de protection nationales. La Cour donne ainsi le ton. En comparaison, la CNIL avait accordé aux entreprises un délai additionnel d’un an pour se mettre en conformité relativement à l’installation de cookies, une faveur que la Quadrature du Net avait attaquée en justice.

La décision de la CJUE est donc une raison de plus d’attendre le verdict du juge administratif dans cette affaire.

Pour aller plus loin : #CJUE #NextInpact #CNIL

En avril dernier, plus de 200 personnes ont assigné Enedis pour s’opposer à l’installation d’un compteur électrique Linky ou en demander le retrait. Elles estimaient que l’installation de ce compteur à leur domicile constituait un trouble manifestement illicite notamment basé sur la violation de l’article article 5, 1, a du RGPD qui impose un traitement licite, loyal et transparent des données à caractère personnel collectées. Les demandeurs invoquaient l’absence de recueil du consentement et le manque de transparence d’Enedis (responsable de traitement).

Le juge a rejeté leur demande. Selon lui, « la société Enedis établit qu’elle s’est soumise au contrôle de la CNIL, tant au stade de la conception du compteur “Linky” qu’au cours de son test, puis de son déploiement ».

Dans ses recommandations, la CNIL avait notamment sollicité que : les dispositifs de comptage soient conformes à des référentiels de sécurité approuvés par le ministre chargé de l'énergie, que la courbe de charge ne puisse être collectée que lorsque des problèmes d'alimentation ont effectivement été détectés ; que les paramètres de réglage des compteurs soient, par défaut, les plus protecteurs possible pour les usagers ou encore que les compteurs doivent pouvoir être mis à jour afin de rester en permanence à l'état de l'art.

Pour le magistrat, la société semble avoir suivi ces recommandations puisqu’il constate que « les compteurs “Linky” assurent une anonymisation des informations pendant leur transmission, d’une part par leur cryptage, et d’autre part par l’absence de toute référence d’identification nominative, ce qui a été confirmé par l’étude effectuée par la CNIL au terme de la période de test ».

Le juge s’est ainsi basé sur l’étroite collaboration de la société Enedis avec la CNIL aussi bien en amont du projet qu’au moment de sa réalisation pour relever la conformité du dispositif.

Il faut sans doute retenir que les démarches proactives qui visent à prendre en compte la protection des données personnelles dès la conception du projet sont essentielles. Elles favorisent la bonne réussite du projet et sa conformité à la réglementation (privacy by design & by default).

Une fois la conformité établie et documentée en amont le responsable de traitement pourra implémenter un projet de manière sécurisée en limitant les risques d’engagement de sa responsabilité. En outre, pouvoir documenter sa conformité aussi bien envers ses clients, ses prestataires ou encore la CNIL est vecteur de compétitivité, de confiance et renforce ainsi l’image professionnelle de votre entité.