JORF n°0122 du 27 mai 2014

Délibération n° 2014-173 du 6 mai 2014

La Commission nationale de l'informatique et des libertés,

Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 25-I (5°) et 25-II ;

Vu la loi n° 2013-312 du 15 avril 2013 visant à préparer la transition vers un système énergétique sobre et portant diverses dispositions sur la tarification de l'eau et sur les éoliennes ;

Vu le décret n° 2004-325 du 8 avril 2004 modifié relatif à la tarification spéciale de l'électricité comme produit de première nécessité ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Après avoir entendu M. Eric PERES, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,

Formule les observations suivantes :

La tarification spéciale de l'électricité comme produit de première nécessité (TPN) est une aide financière au paiement des factures d'électricité que doivent fournir tous les fournisseurs d'électricité aux personnes qui y sont éligibles.

Conformément aux dispositions du décret du 8 avril 2004 modifié, peuvent bénéficier de cette aide les personnes physiques titulaires d'un contrat de fourniture d'électricité qui sont éligibles à la couverture maladie universelle complémentaire (CMU-C), à l'aide pour une complémentaire santé (ACS) ou dont le revenu fiscal de référence annuel par part est inférieur ou égal à un montant fixé par ledit décret.

L'application de la TPN implique la mise en œuvre de traitements de données personnelles, et notamment l'interconnexion de différents fichiers, permettant d'identifier les personnes éligibles à ce tarif social.

Le décret du 8 avril 2004 modifié prévoit que l'identification des clients de chaque fournisseur éligibles à la TPN se fait de la façon suivante :

― les organismes d'assurance maladie et l'administration fiscale transmettent au fournisseur d'électricité ou à son prestataire la liste des personnes éligibles à la TPN ;

― le cas échéant, les gestionnaires de réseaux de distribution d'électricité communiquent à ce prestataire les données permettant d'identifier le fournisseur de chaque personne éligible ;

― le fournisseur d'électricité ou son prestataire envoie à chaque client éligible à la TPN un courrier et une attestation préremplie avec les références de son contrat de fourniture d'électricité l'informant qu'il va bénéficier de la TPN, sauf refus exprès de sa part dans un délai de quinze jours ;

― pour les personnes éligibles dont le fournisseur d'électricité n'a pu être identifié, grâce à l'interconnexion de ces fichiers, le fournisseur d'électricité ou son prestataire envoie une attestation que les personnes doivent remplir et renvoyer si elles souhaitent bénéficier de la TPN.

Dans la mesure où les interconnexions de fichiers sont mises en œuvre par ou pour le compte des fournisseurs d'électricité, ces derniers doivent être considérés comme les responsables de ces traitements et doivent, à ce titre, procéder aux formalités préalables appropriées auprès de la commission. Le prestataire est quant à lui le sous-traitant de chaque fournisseur d'électricité et doit, par conséquent, assurer la sécurité et la confidentialité des données, conformément à l'article 35 de la loi du 6 janvier 1978 modifiée.

La commission estime qu'il y a lieu de faire application des dispositions de l'article 25-I (5°) de la loi du 6 janvier 1978 modifiée, qui soumet à autorisation les traitements automatisés ayant pour objet l'interconnexion de fichiers ayant des finalités principales différentes.

En application de l'article 25-II de la même loi, la commission peut autoriser par une décision unique une catégorie de traitements répondant aux mêmes finalités, portant sur des catégories de données identiques et ayant les mêmes catégories de destinataires. Les traitements de données à caractère personnel mis en œuvre par les fournisseurs d'électricité aux fins d'application de la TPN sont de ceux qui peuvent, sous certaines conditions, relever de cette définition.

Les fournisseurs d'électricité qui adressent à la commission une déclaration comportant un engagement de conformité pour les traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisés à les mettre en œuvre.

Tout traitement de données à caractère personnel qui excède le cadre ou les exigences définis par la présente autorisation unique doit en revanche faire l'objet d'une demande d'autorisation spécifique.

Article 1er
Sur la finalité et les caractéristiques du traitement

Seuls peuvent faire l'objet d'un engagement de conformité en référence à la présente autorisation unique les traitements mis en œuvre par les fournisseurs d'électricité (entreprises locales de distribution et fournisseurs alternatifs), aux fins d'application de la TPN, et répondant aux conditions de mise en œuvre suivantes :
Cas n° 1 : le fournisseur d'électricité recourt aux services d'un prestataire pour procéder à l'interconnexion des données transmises par les organismes d'assurance maladie, par l'administration fiscale et par les gestionnaires de réseaux de distribution afin d'identifier ceux de ses clients qui sont éligibles à la TPN.
Dans ce cas, le fournisseur est destinataire des seules données relatives à ceux de ses clients qui sont éligibles à la TPN.
Cas n° 2 : le fournisseur d'électricité recourt aux services d'un prestataire pour procéder à l'interconnexion des données transmises par les organismes d'assurance maladie et par l'administration fiscale, d'une part, et pour identifier les personnes éligibles à la TPN qui résident dans la zone géographique que couvre ce fournisseur, d'autre part.
Dans ce cas, le fournisseur est destinataire des seules données relatives aux personnes éligibles à la TPN résidant dans la zone géographique qu'il couvre. A réception de ces données, le fournisseur peut alors les interconnecter avec les données issues de son fichier clients afin d'identifier ceux de ses clients qui sont éligibles à la TPN.
Cependant, la présente décision d'autorisation unique ne couvre pas le traitement correspondant au cas n° 2 lorsqu'il est mis en place par le prestataire d'un fournisseur d'électricité qui exerce son activité sur l'ensemble du territoire (fournisseur alternatif).
La commission précise que les traitements correspondant aux cas n°s 1 et 2 peuvent être menés en parallèle par les fournisseurs d'électricité le temps que le croisement du cas n° 1 soit opérationnel (phase transitoire de paramétrage). A l'issue de cette phase, seul le traitement correspondant au cas n° 1 doit être maintenu.
De même, la présente décision d'autorisation unique ne couvre pas les traitements mis en place par les fournisseurs d'électricité qui ne recourent pas aux services d'un prestataire et qui souhaitent donc recevoir directement les données des organismes d'assurance maladie et de l'administration fiscale.

Article 2
Sur la nature des données traitées

Conformément aux dispositions du décret du 8 avril 2004 modifié, seules les données suivantes peuvent être collectées et traitées par les fournisseurs d'électricité dans le cadre des finalités visées à l'article 1er de la présente autorisation unique :
― données transmises par les organismes sociaux et l'administration fiscale : civilité, prénom, nom, date de naissance, adresse des personnes éligibles à la TPN et nombre de personnes du foyer ;
― données transmises par les gestionnaires de réseaux de distribution pour chaque point de livraison : civilité, prénom et nom des titulaires du contrat, numéro et adresse du point de livraison, nom du fournisseur et code postal, nom et code INSEE de la commune ;
― données transmises par les personnes éligibles à la TPN qui ont rempli et renvoyé l'attestation : nom, prénom, fournisseur d'électricité, références du contrat de fourniture d'électricité, point de livraison, puissance, numéro de téléphone (facultatif).
En outre, les fournisseurs d'électricité peuvent collecter et traiter les données d'identification des personnes ayant refusé le bénéfice de la TPN ainsi que les données d'identification des gestionnaires de résidence sociale qui demandent à bénéficier de la TPN.

Article 3
Sur les durées de conservation des données

Conformément aux dispositions du décret du 8 avril 2004 modifié, les données ne peuvent être conservées au-delà des durées suivantes :
― dix-neuf mois à compter de la date d'attribution de la TPN pour les données transmises par les organismes d'assurance maladie et l'administration fiscale ;
― neuf semaines à compter de la date d'attribution de la TPN pour les données transmises par les gestionnaires de réseaux de distribution ;
― dix-neuf mois à compter de la date d'attribution de la TPN pour les données relatives aux attestations remplies et renvoyées par les personnes éligibles.
Les données transmises par les organismes d'assurance maladie, l'administration fiscale et par les personnes éligibles ne peuvent être conservées que pendant treize mois lorsque la TPN n'est finalement pas attribuée (pour cause de non-identification ou de refus des personnes).
Les données d'identification des gestionnaires de résidence sociale peuvent être conservées jusqu'à la fin de la période d'attribution de la TPN, augmentée de six mois pour permettre au gestionnaire de procéder à une éventuelle demande de renouvellement. Lorsque la demande du gestionnaire de résidence sociale n'aboutit pas dans un délai de douze mois, les données doivent être supprimées.

Article 4
Sur les destinataires des données

Dans la limite de leurs attributions respectives et pour l'exercice des finalités précitées, les personnels dûment habilités du prestataire et du fournisseur d'électricité peuvent accéder aux données mentionnées à l'article 2 de la présente autorisation unique.
En particulier, seuls les personnels habilités du prestataire peuvent accéder aux données transmises par les gestionnaires de réseaux de distribution, conformément à l'article 4-II ter du décret du 8 avril 2004 modifié.

Article 5
Sur l'information des personnes

Conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée, le fournisseur d'électricité procède à l'information préalable des personnes quant à l'identité du responsable de traitement, à la finalité poursuivie par le traitement, aux destinataires des données et à l'existence et aux modalités d'exercice des droits des personnes. Cette information peut, par exemple, être intégrée aux conditions générales de vente du fournisseur d'électricité à l'occasion d'une modification de ces dernières.
Conformément aux articles 4-II et 4-III du décret du 8 avril 2004 modifié, les personnes sont également informées de la mise en œuvre du traitement par une mention d'information sur les courriers et attestations adressées aux personnes concernées.

Article 6
Sur les droits d'accès, de rectification et d'opposition des personnes

Les personnes concernées peuvent exercer leurs droits d'accès, de rectification et d'opposition auprès du ou des services que le fournisseur d'électricité doit impérativement désigner.
Conformément à l'article 38 de la loi du 6 janvier 1978 modifiée, la commission rappelle que toute personne a le droit de s'opposer, pour des motifs légitimes, à ce que ses données personnelles fassent l'objet d'un traitement.

Article 7
Sur la sécurité des données et la traçabilité des actions

Le responsable de traitement doit prendre toutes les précautions utiles au regard des risques présentés par le traitement pour préserver la sécurité des données à caractère personnel. Il doit, notamment au moment de leur collecte, durant leur transmission et leur conservation, empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès.
A ce titre, les fournisseurs d'électricité doivent notamment accéder aux données issues de l'interconnexion par le seul intermédiaire d'un portail web sécurisé. La connexion à ce portail doit se faire par l'intermédiaire d'un identifiant et d'un mot de passe dont la complexité et le renouvellement sont à l'état de l'art et conformes aux recommandations de la commission.
Les communications entre les fournisseurs d'électricité et le prestataire en charge de l'interconnexion doivent être réalisées via un canal chiffré et sécurisé garantissant l'identité du serveur et la confidentialité des communications.

Article 8
Publication

La présente délibération sera publiée au Journal officiel de la République française.

1 version

La présidente,

I. Falque-Pierrotin