Article 1er
Sur la finalité et les caractéristiques du traitement
Seuls peuvent faire l'objet d'un engagement de conformité en référence à la présente autorisation unique les traitements mis en œuvre par les fournisseurs d'électricité (entreprises locales de distribution et fournisseurs alternatifs), aux fins d'application de la TPN, et répondant aux conditions de mise en œuvre suivantes :
Cas n° 1 : le fournisseur d'électricité recourt aux services d'un prestataire pour procéder à l'interconnexion des données transmises par les organismes d'assurance maladie, par l'administration fiscale et par les gestionnaires de réseaux de distribution afin d'identifier ceux de ses clients qui sont éligibles à la TPN.
Dans ce cas, le fournisseur est destinataire des seules données relatives à ceux de ses clients qui sont éligibles à la TPN.
Cas n° 2 : le fournisseur d'électricité recourt aux services d'un prestataire pour procéder à l'interconnexion des données transmises par les organismes d'assurance maladie et par l'administration fiscale, d'une part, et pour identifier les personnes éligibles à la TPN qui résident dans la zone géographique que couvre ce fournisseur, d'autre part.
Dans ce cas, le fournisseur est destinataire des seules données relatives aux personnes éligibles à la TPN résidant dans la zone géographique qu'il couvre. A réception de ces données, le fournisseur peut alors les interconnecter avec les données issues de son fichier clients afin d'identifier ceux de ses clients qui sont éligibles à la TPN.
Cependant, la présente décision d'autorisation unique ne couvre pas le traitement correspondant au cas n° 2 lorsqu'il est mis en place par le prestataire d'un fournisseur d'électricité qui exerce son activité sur l'ensemble du territoire (fournisseur alternatif).
La commission précise que les traitements correspondant aux cas n°s 1 et 2 peuvent être menés en parallèle par les fournisseurs d'électricité le temps que le croisement du cas n° 1 soit opérationnel (phase transitoire de paramétrage). A l'issue de cette phase, seul le traitement correspondant au cas n° 1 doit être maintenu.
De même, la présente décision d'autorisation unique ne couvre pas les traitements mis en place par les fournisseurs d'électricité qui ne recourent pas aux services d'un prestataire et qui souhaitent donc recevoir directement les données des organismes d'assurance maladie et de l'administration fiscale.
Article 2
Sur la nature des données traitées
Conformément aux dispositions du décret du 8 avril 2004 modifié, seules les données suivantes peuvent être collectées et traitées par les fournisseurs d'électricité dans le cadre des finalités visées à l'article 1er de la présente autorisation unique :
― données transmises par les organismes sociaux et l'administration fiscale : civilité, prénom, nom, date de naissance, adresse des personnes éligibles à la TPN et nombre de personnes du foyer ;
― données transmises par les gestionnaires de réseaux de distribution pour chaque point de livraison : civilité, prénom et nom des titulaires du contrat, numéro et adresse du point de livraison, nom du fournisseur et code postal, nom et code INSEE de la commune ;
― données transmises par les personnes éligibles à la TPN qui ont rempli et renvoyé l'attestation : nom, prénom, fournisseur d'électricité, références du contrat de fourniture d'électricité, point de livraison, puissance, numéro de téléphone (facultatif).
En outre, les fournisseurs d'électricité peuvent collecter et traiter les données d'identification des personnes ayant refusé le bénéfice de la TPN ainsi que les données d'identification des gestionnaires de résidence sociale qui demandent à bénéficier de la TPN.
Article 3
Sur les durées de conservation des données
Conformément aux dispositions du décret du 8 avril 2004 modifié, les données ne peuvent être conservées au-delà des durées suivantes :
― dix-neuf mois à compter de la date d'attribution de la TPN pour les données transmises par les organismes d'assurance maladie et l'administration fiscale ;
― neuf semaines à compter de la date d'attribution de la TPN pour les données transmises par les gestionnaires de réseaux de distribution ;
― dix-neuf mois à compter de la date d'attribution de la TPN pour les données relatives aux attestations remplies et renvoyées par les personnes éligibles.
Les données transmises par les organismes d'assurance maladie, l'administration fiscale et par les personnes éligibles ne peuvent être conservées que pendant treize mois lorsque la TPN n'est finalement pas attribuée (pour cause de non-identification ou de refus des personnes).
Les données d'identification des gestionnaires de résidence sociale peuvent être conservées jusqu'à la fin de la période d'attribution de la TPN, augmentée de six mois pour permettre au gestionnaire de procéder à une éventuelle demande de renouvellement. Lorsque la demande du gestionnaire de résidence sociale n'aboutit pas dans un délai de douze mois, les données doivent être supprimées.
Article 4
Sur les destinataires des données
Dans la limite de leurs attributions respectives et pour l'exercice des finalités précitées, les personnels dûment habilités du prestataire et du fournisseur d'électricité peuvent accéder aux données mentionnées à l'article 2 de la présente autorisation unique.
En particulier, seuls les personnels habilités du prestataire peuvent accéder aux données transmises par les gestionnaires de réseaux de distribution, conformément à l'article 4-II ter du décret du 8 avril 2004 modifié.
Article 5
Sur l'information des personnes
Conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée, le fournisseur d'électricité procède à l'information préalable des personnes quant à l'identité du responsable de traitement, à la finalité poursuivie par le traitement, aux destinataires des données et à l'existence et aux modalités d'exercice des droits des personnes. Cette information peut, par exemple, être intégrée aux conditions générales de vente du fournisseur d'électricité à l'occasion d'une modification de ces dernières.
Conformément aux articles 4-II et 4-III du décret du 8 avril 2004 modifié, les personnes sont également informées de la mise en œuvre du traitement par une mention d'information sur les courriers et attestations adressées aux personnes concernées.
Article 6
Sur les droits d'accès, de rectification et d'opposition des personnes
Les personnes concernées peuvent exercer leurs droits d'accès, de rectification et d'opposition auprès du ou des services que le fournisseur d'électricité doit impérativement désigner.
Conformément à l'article 38 de la loi du 6 janvier 1978 modifiée, la commission rappelle que toute personne a le droit de s'opposer, pour des motifs légitimes, à ce que ses données personnelles fassent l'objet d'un traitement.
Article 7
Sur la sécurité des données et la traçabilité des actions
Le responsable de traitement doit prendre toutes les précautions utiles au regard des risques présentés par le traitement pour préserver la sécurité des données à caractère personnel. Il doit, notamment au moment de leur collecte, durant leur transmission et leur conservation, empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès.
A ce titre, les fournisseurs d'électricité doivent notamment accéder aux données issues de l'interconnexion par le seul intermédiaire d'un portail web sécurisé. La connexion à ce portail doit se faire par l'intermédiaire d'un identifiant et d'un mot de passe dont la complexité et le renouvellement sont à l'état de l'art et conformes aux recommandations de la commission.
Les communications entre les fournisseurs d'électricité et le prestataire en charge de l'interconnexion doivent être réalisées via un canal chiffré et sécurisé garantissant l'identité du serveur et la confidentialité des communications.
Article 8
Publication
La présente délibération sera publiée au Journal officiel de la République française.