Gérard Leseul
Question N° 3001 au Ministère de la justice
Question soumise le 8 novembre 2022
M. Gérard Leseul interroge Mme la ministre de la transition énergétique sur la protection des données relatives aux contrats passés avec EDF. Suite à une condamnation pour abus de position dominante par l'Autorité de la concurrence (Décision 22-D-06 du 22 février 2022), EDF a pris l'engagement de mettre à disposition son fichier clients au TRV « Bleu » aux fournisseurs alternatifs d'électricité. Les personnes ayant signé ces contrats ont reçu des mails leur demandant s'ils acceptaient que leurs données soient transmises selon cette modalité. Une partie de ces données n'exigeaient pas le consentement des contractants pour être transmises, en particulier « l'adresse de consommation, le numéro de point de livraison, la puissance souscrite en kVa, le volume annuel de consommation sur les deux dernières années, la dénomination commerciale de l'option tarifaire souscrite et le type de compteur (communicant ou non) ». L'absence de réponse valait acceptation. Ainsi, des millions de Français ont vraisemblablement transmis, sans le savoir, ces données. Il lui demande de bien vouloir lui préciser la compatibilité de tels dispositifs avec les normes RGPD en vigueur et la justification d'une telle distinction entre certaines données dont le partage doit être consenti, contrairement à d'autres.
Réponse émise le 28 février 2023
Le Gouvernement est particuliérement attentif au respect de la réglementation sur la protection des données personnelles, qui a pour objectif de protéger les personnes physiques à l'égard du traitement de leurs données personnelles. Cette protection est prévue par le Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) et par la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (loi informatique et libertés). L'Autorité de la concurrence a, par une décision n° 22-D-6 du 22 février 2022, sanctionné la société EDF et ses filiales pour avoir mis en œuvre des pratiques d'abus de position dominante contraires aux dispositions du code de commerce et aux stipulations du Traité sur le fonctionnement de l'Union européenne. Elle a notamment constaté que la société EDF avait utilisé les données issues des fichiers de ses clients éligibles au tarif réglementé de vente (TRV) d'électricité afin de développer la commercialisation de ses offres de marché. Conformément à la procédure de transaction prévue par les dispositions du III de l'article L. 464-2 du code de commerce, l'Autorité de la concurrence a pris acte de l'engagement pris par la société EDF de mettre à la disposition des Fournisseurs d'électricité qui en feraient la demande le fichier clients TRV Bleu. La décision de l'Autorité de la concurrence, et notamment son annexe I, précise que le fichier comporte des données anonymisées (la puissance souscrite en kVa, le volume annuel de consommation sur les deux dernières années, la dénomination commerciale de l'option tarifaire souscrite et le type de compteur c'est-à-dire communicant ou non), ainsi que des données à caractère personnel dont la transmission sera soumise préalablement au consentement du client. L'article 1er de la loi informatique et libertés, issu de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, prévoit le droit à l'autodétermination informationnelle qui affirme et renforce la maîtrise nécessaire de l'individu sur ses données à caractère personnel dont le traitement est encadré par le RGPD et la loi informatique et libertés. Le chapitre III du RGPD et le chapitre II du titre II de la loi informatique et libertés prévoient ainsi un certain nombre de droits que la personne concernée peut exercer lorsque ses données à caractère personnel font l'objet d'un traitement. Sont consacrés le droit à l'information, le droit d'accès, le droit de rectification, le droit à l'effacement, le droit à la limitation du traitement, le droit à la portabilité des données, ainsi que le droit d'opposition. Les personnes concernées par la mise à disposition de leurs données à caractère personnel disposent donc de ces droits, sauf exception. S'agissant de la distinction entre les données qui requièrent, pour leur traitement, le consentement de la personne concernée, et d'autres qui ne le requièrent pas, il convient de se référer aux dispositions du RGPD. Conformément à l'article 6 de ce règlement, pour être licite, un traitement de données à caractère personnel peut reposer sur plusieurs fondements : le consentement de la personne concernée, l'exécution d'un contrat auquel la personne concernée est partie ou l'exécution de mesures précontractuelles prises à la demande de celle-ci, le respect d'une obligation légale, l'exécution d'une mission d'intérêt public à laquelle le responsable de traitement est soumis, la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne, l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable de traitement, et enfin la poursuite d'un intérêt légitime dans le strict respect des droits et intérêts des personnes dont les données sont traitées. Par conséquent, certains traitements ne reposent pas sur le consentement de la personne concernée mais sur d'autres bases de licéité. Toutefois, il est des données pour lesquelles le RGPD et la loi informatique et libertés ne s'appliquent pas. Il s'agit des données qui sont anonymes ou les données personnelles qui sont rendues anonymes. Ces dernières sont exclues du champ d'application de ces textes, dès lors qu'elles ne permettent pas ou plus l'identification de la personne concernée.
Aucun commentaire n'a encore été formulé sur cette question.