Privacy by design & by default : l’exemple d’Enedis à l’épreuve du juge

Article
Écrit par Oriana Labruyère

En avril dernier, plus de 200 personnes ont assigné Enedis pour s’opposer à l’installation du compteur électrique Linky ou demander son retrait. Elles soutenaient que ce dispositif constituait un trouble manifestement illicite, fondé notamment sur la violation de l’article 5, 1, a du RGPD du RGPD, qui impose un traitement licite, loyal et transparent des données personnelles. Les demandeurs invoquaient l’absence de consentement ainsi qu’un manque de transparence du responsable de traitement.

Le juge a toutefois rejeté ces demandes. Selon lui, « la société Enedis établit qu’elle s’est soumise au contrôle de la CNIL, tant au stade de la conception du compteur Linky qu’au cours de son test, puis de son déploiement ».

Dans ses recommandations, la CNIL avait notamment demandé que :

  • les dispositifs de comptage soient conformes à des référentiels de sécurité approuvés par le ministère de l’Énergie ;

  • la courbe de charge ne soit collectée que lorsqu’un problème d’alimentation est détecté ;

  • les paramètres des compteurs soient configurés par défaut de manière à protéger au mieux les usagers ;

  • les compteurs puissent être mis à jour afin de rester à jour de l’état de l’art.

Pour le magistrat, Enedis a correctement mis en œuvre ces recommandations. Il relève que « les compteurs Linky assurent une anonymisation des informations pendant leur transmission, par leur cryptage et par l’absence d’identification nominative, confirmée par les tests réalisés par la CNIL ».

La décision juge ainsi que la collaboration proactive d’Enedis avec la CNIL, dès la conception du projet puis tout au long de son déploiement, démontre la conformité du dispositif.

🎯 Ce qu’il faut retenir sur le privacy by design & by default

Cette affaire illustre parfaitement l’importance d’intégrer la protection des données dès la conception d’un projet et de prévoir des réglages protecteurs par défaut. Ces démarches favorisent à la fois :

  • la conformité au RGPD,

  • la réussite opérationnelle du projet,

  • la limitation des risques pour le responsable de traitement,

  • et le renforcement de la confiance des clients, partenaires et autorités.

Documenter la conformité et adopter une stratégie de privacy by design et by default constitue désormais un véritable levier de compétitivité pour les organisations.

Oriana Labruyère
Précédent

Les cookies c’est pas de la tarte