Haut de page

Accueil » Tous les dossiers » La gestion des données

Le cadre juridique de la protection et de la sécurité des données issues des Smart grids

L’exploitation des données générées par les Smart grids, ou réseaux intelligents, a notamment pour objectifs d’optimiser la production et l’acheminement d’électricité, de fiabiliser la facturation des abonnés et de faciliter l’intégration de sources décentralisées d’énergie (photovoltaïque et autres énergies renouvelables). À cet effet, des dispositifs de collecte et de traitement des données sont installés tout au long des différents niveaux des réseaux d’énergie, grand transport et interconnexion, répartition et distribution.

Le cadre juridique de cet ensemble considérable de données (ou big data) est en cours de construction. Il porte en particulier sur le respect du droit des données à caractère personnel et la sécurité des données issues des Smart grids. De nombreuses questions restent cependant à trancher.

L’application du droit des données à caractère personnel aux données issues des Smart grids

La loi n° 78-17 du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés modifiée, définit le régime juridique applicable aux données à caractère personnel qui s’applique en conséquence aux données issues des réseaux intelligents.

L’article 2 de cette loi définit les données à caractère personnel comme toute information relative à une personne physique qui peut être identifiée par référence à un ou plusieurs éléments qui lui sont propres.

S’agissant des données techniques générées en amont des compteurs communicants, elles ne devraient pas, en principe, être reliées spécifiquement à une personne physique et ne devraient donc pas être qualifiées de données à caractère personnel.

En revanche, les données collectées par les compteurs communicants sont, pour certaines comme les index de consommation et les courbes de charge, reliées à une personne physique, l’abonné. Il s’agit donc de données à caractère personnel, ainsi que la CNIL l’a relevé. En outre, on peut noter que les compteurs communicants devraient entraîner un accroissement très significatif du volume des données personnelles traitées, la possibilité pour les tiers d’accéder facilement « en temps réel » à ces données et de procéder à un croisement avec d’autres données disponibles (établissement de « profils énergétiques »). Cela constitue autant de sujets qui devront être traités au regard de la loi du 6 janvier 1978.

Afin d’encadrer le traitement de ces données, la CNIL a adopté le 15 novembre 2012 une délibération n° 2012-404 portant recommandation, relative aux traitements des données de consommation détaillées collectées par les compteurs communicants. Cette recommandation porte sur le traitement des courbes de charge qui sont constituées d’un relevé, à intervalles réguliers (le pas de mesure), de la consommation électrique de l’abonné. La CNIL estime que des mesures très rapprochées sur une journée permettraient de déduire des informations relatives à la vie privée des personnes concernées et à leurs habitudes de vie (notamment, le nombre d’occupants, l’identification des heures de lever et de coucher ou encore les heures ou périodes d’absence), ce qui présente un risque significatif et nécessite une attention particulière au regard de la loi du 6 janvier 1978.

En conséquence, la CNIL précise que les traitements de la courbe de charge ne peuvent être mis en œuvre que pour trois finalités : la maintenance et le développement du réseau (par les gestionnaires de réseaux de distribution), la mise en place de tarifs adaptés à la consommation des ménages (par les fournisseurs d’énergie) et la fourniture de services complémentaires (par les sociétés tierces).

De même, elle préconise plusieurs mesures, notamment le recueil du consentement exprès des utilisateurs pour les traitements mis en œuvre par les fournisseurs d’énergie et les sociétés tierces, la mise en œuvre de mesures techniques rendant impossible toute collecte de la courbe de charge à un pas inférieur à 10 minutes (et qui donnerait une connaissance précise de la consommation d’électricité), la fixation d’une durée de conservation maximale des données selon la finalité et la gestion rigoureuse des habilitations d’accès aux données.

En concertation avec la Fédération des industries électriques, électroniques et de communication (FIEEC), la CNIL a également publié en mai dernier un « pack de conformité » qui définit les bonnes pratiques en matière de collecte des données via des appareils installés par les utilisateurs en aval des compteurs communicants, s’inscrivant ainsi dans la tendance de l’Internet des objets.

La prise en compte de la protection et de la sécurité des données dès la conception

En vertu des directives communautaires 2009/72/CE et 2009/73/CE du 13 juillet 2009, la mise en place des systèmes intelligents de mesure relèvent de la compétence des États membres de l’Union européenne (UE). La directive 2012/27/UE du Parlement européen et du Conseil du 25 octobre 2012 relative à l’efficacité énergétique impose aux États membres de l’UE de veiller à la sécurité des compteurs intelligents et de la communication des données ainsi que de garantir la protection de la vie privée des clients finaux.

Le développement des réseaux intelligents soulève la question de la sécurité des données collectées (risques de captation illicite de données sensibles) et celle de la sécurisation des infrastructures (risques d’attaques informatiques contre les réseaux intelligents connectés). La priorité est donnée à une prise en compte en amont de ces deux problématiques, dès la phase de conception des équipements. La normalisation, c’est-à-dire l’élaboration sur une base consensuelle de spécifications techniques auxquelles se soumettent volontairement les industriels, joue un rôle clé dans ce processus de prise en compte de la sécurité et de la protection des données dès la conception (privacy and security by design). Les enseignements du secteur des communications électroniques montrent en effet qu’une prise en compte a posteriori de la protection des données personnelles est plus complexe et coûteuse à mettre en œuvre.

Fin 2009, la Commission européenne a créé un groupe de travail sur les réseaux intelligents (Smart Grids Task Force). Ce groupe de travail a formulé des recommandations en matière de normalisation, de protection et de sécurité des données personnelles. Entre 2009 et 2011, la Commission européenne a ainsi confié aux organismes européens de normalisation (CEN, CENELEC et ETSI) plusieurs mandats (dont le mandat M/490 qui contient des exigences essentielles pour la sécurité des informations dans le réseau intelligent) afin d’établir des normes concernant respectivement l’interopérabilité des compteurs évolués, les systèmes de charges pour véhicules électriques et la mise en œuvre de services et de fonctionnalités des réseaux intelligents.

La Commission européenne a également adopté, le 9 mars 2012, une recommandation 2012/148/UE relative à la préparation de l’introduction des systèmes intelligents de mesure. Cette recommandation préconise la réalisation d’études d’impact sur la protection des données avant le déploiement des compteurs communicants, selon un modèle élaboré par la Commission européenne. La recommandation fixe également un ensemble d’exigences fonctionnelles minimales communes applicables aux compteurs évolués concernant notamment, la sécurité et la protection des données et la prévention et détection de fraude. Des travaux sont en cours en ce qui concerne la définition des « meilleures techniques possibles » en matière de cyber-sécurité.

On notera que la Commission européenne a récemment adopté une recommandation (2014/724/UE) fournissant des orientations à l'intention des États membres sur les mesures à prendre pour soutenir la mise en œuvre par les responsables de traitement de données du modèle d'analyse d'impact sur la protection des données des réseaux intelligents et des systèmes intelligents de mesure (ci-après le « modèle d'AIPD »). Plus précisément, la recommandation suggère la mise en place d’une phase d'essai de deux ans durant laquelle, les responsables de traitement de données, avec le concours des autorités nationales compétentes en matière de protection des données, seront encouragés à appliquer le modèle d'AIPD à des cas concrets. Le modèle est publié sur le site internet de la Smart Grids Task Force.
Tout au long de ce processus, les résultats seront diffusés dans le groupe de travail sur les réseaux intelligents et feront l’objet de discussions entre les responsables de traitement de données, les entreprises et les représentants de la société civile, les autorités nationales de protection des données et les autorités de régulation de l'énergie. Sur la base des rapports relatifs à la phase d'essai remis par les États membres, la Commission évaluera alors la nécessité d'une révision du modèle d'AIPD afin d’améliorer son efficacité.

La CNIL et la CRE sont activement associées aux travaux européens mentionnés précédemment. L’arrêté du 4 janvier 2012, relatif aux dispositifs de comptage sur les réseaux publics d’électricité, intègre l’approche de security by design en imposant que ces dispositifs soient conformes à des référentiels de sécurité approuvés par le ministre chargé de l’énergie. La conformité doit faire l’objet d’une procédure d’évaluation et d’une certification contrôlées par l’Agence nationale de la sécurité des systèmes d’information (décret n° 2002-535 du 18 avril 2002). Dans une délibération du 12 juin 2014 portant recommandations sur le développement des réseaux électriques intelligents en basse tension, la CRE a notamment insisté sur l’importance que les porteurs de projets Smart grids réalisent des études d’impact conformes au modèle européen (recommandation n° 6 de la délibération de la CRE du 12 juin 2014).

En définitive, dans son dernier rapport sur le déploiement des compteurs intelligents dans l’UE-27 (COM(2014) 356 final), la Commission européenne constate un traitement hétérogène des questions de protection et de sécurité des données personnelles dans les États membres. Peu d’États membres ont ainsi explicitement fait référence aux règles de protection de la vie privée en vigueur dans le cadre des programmes de déploiement des compteurs évolués. La Commission européenne souligne l’importance de trouver des solutions techniques adaptées pour répondre au risque de profilage énergétique des utilisateurs et pour assurer la protection et un accès sécurisé aux données personnelles stockées.

Un cadre juridique en formation

Le cadre juridique des données Smart grids étant en formation, de nombreuses questions restent ouvertes. Nous en avons sélectionné quatre.

La protection des bases de données Smart grids

La base de données, définie comme un recueil de données disposées de manière systématique ou méthodique, fait l’objet d’une protection spécifique qui permet à son producteur d’interdire l’extraction et la réutilisation de son contenu par des tiers pendant une durée de 15 ans à compter de son achèvement. L’article L. 341 1 du code de la propriété intellectuelle réserve cette protection aux bases de données dont la constitution, la vérification ou la présentation du contenu révèle un investissement financier, matériel ou humain substantiel.

Il est vraisemblable que les gestionnaires de réseaux de distribution et les fournisseurs d’énergie revendiquent une protection sur les bases de données crées à l’occasion de la collecte des informations générées par les compteurs communicants. Le seul déploiement des compteurs ne devrait, toutefois, pas constituer un investissement substantiel relatif à la constitution de la base en ce qu’il ne consiste qu’en une création de données ayant vocation à être intégrées dans ladite base. La protection pourra être accordée s’il est justifié que ces données ont fait l’objet d’un agencement, d’une organisation et d’une vérification nécessitant un investissement substantiel, en plus du simple rassemblement des données recueillies par les compteurs communicants.

La propriété

On peut tenter de qualifier les données issues des Smart grids comme des biens mobiliers incorporels. Elles n’ont cependant pas fait, à la différence d’autres biens similaires comme les droits de propriété intellectuelle, l’objet d’une définition par la loi, ce qui ne permet pas clairement définir le régime de leur propriété. À cette absence de régime légal, s’ajoute l’application du régime des données à caractère personnel, dont la propriété en tant que telle n’est pas non plus tranchée par la loi du 6 janvier 1978, mais qui accorde des droits importants à la personne dont les données sont collectées.

La réglementation sectorielle (décrets n° 2001-630 du 16 juillet 2001 et n° 2010-1022 du 31 août 2010) se limite à encadrer la transmission des données issues des compteurs communicants entre les différents acteurs. Chaque utilisateur des réseaux publics d’électricité a la libre disposition des données relatives à sa production ou à sa consommation enregistrées par les dispositifs de comptage. Les gestionnaires de réseaux de distribution ont le droit d’utiliser ces données pour tout usage relevant de leur mission. Les tiers autorisés par les utilisateurs ont également un droit d’accès à ces données dans des conditions transparentes, non discriminatoires et adaptées à leurs besoins. Enfin, les gestionnaires de réseaux de distribution communiquent également aux fournisseurs d’énergie et aux responsables d’équilibre, pour l’exercice de leurs missions, les données concernant leurs clients respectifs.

La notification des violations de données (ou « data breach »)

Le projet de règlement européen relatif à la protection des données à caractère personnel, dont l’adoption devrait intervenir prochainement, étend à tous les responsables de traitement l’obligation de notifier aux personnes concernées et/ou aux autorités nationales les violations de données à caractère personnel.

Les responsables de traitement de données issues des Smart grids (fournisseurs d’énergie, gestionnaires de réseaux, tiers autorisés, sans que cette liste soit limitative) seront donc bientôt amenés à divulguer les éventuels accès non autorisés aux données à caractère personnel ce qui incite non seulement à améliorer la sécurité des données pour éviter toute intrusion, mais aussi nécessitera de mettre en place des procédures complexes de notification en cas de violation, dans le respect des règles de sécurité exposées ci-dessus.

Les enjeux concurrentiels liés aux données issues des Smart grids

La collecte et l’utilisation des données issues des Smart Grids sont également susceptibles d’intéresser les autorités en charge du bon fonctionnement de la concurrence puisque ces données sont potentiellement « monétisables ». Ces autorités seront certainement attentives à la concentration des données au profit de certains acteurs et à leur utilisation au-delà des activités directement liées aux services rendus aux abonnés. L’Autorité de la concurrence est ainsi intervenue à plusieurs reprises pour sanctionner l’utilisation considérée comme anticoncurrentielle de données collectées par des opérateurs en position dominante.

Ces problématiques rencontreront celles du droit des données à caractère personnel. Ainsi, la maîtrise de leurs données par les utilisateurs soulève la question de la « portabilité » des données personnelles demandée par l’abonné à son bénéfice ou à celui d’un concurrent de son fournisseur d’énergie, ou encore la durée de conservation des données pourrait créer ou prévenir un risque de « verrouillage » des clients. Il n’est pas impossible non plus que la protection de la vie privée devienne un critère de différenciation des offres de fourniture d’énergie aux yeux des utilisateurs.

Pour en savoir plus :

Délibération de la CNIL n°2012-404 du 15 novembre 2012 portant recommandation relative aux traitements des données de consommation détaillées collectées par les compteurs communicants
Pack de conformité définissant les bonnes pratiques en matière de collecte des données via des appareils installés par les utilisateurs en aval des compteurs communicants de la CNIL de mai 2014
Mandat de la Commission Européenne pour un réseau intelligent M/490 - Mandat de normalisation aux organismes européens de normalisation (OEN) en soutien du déploiement du réseau intelligent européen
Recommandation de la Commission Européenne du 9 mars 2012 relative à la préparation de l’introduction des systèmes intelligents de mesure (2012/148/UE)
Recommandation de la Commission européenne du 10 octobre 2014 concernant le modèle d’analyse d’impact sur la protection des données des réseaux intelligents et des systèmes intelligents de mesure (2014/724/UE)
Data Protection Impact Assessment Template for Smart Grid and Smart Metering systems
Décret n° 2002-535 du 18 avril 2002 relatif à l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information
Rapport de la Commission Européenne (COM (2014) 356 final) - Analyse comparative du déploiement de compteurs intelligents dans l’UE-27 visant plus particulièrement le marché de l’électricité

Créé en 1901 à Wall Street et présent à Paris depuis 1926, White & Case est un cabinet d’avocats d’affaires international présent dans 26 pays à travers 38 bureaux. À Paris, plus de 170 avocats apportent leur expertise, tant en conseil qu’en contentieux, dans tous les domaines clés du droit des affaires. Le cabinet intervient dans des opérations industrielles et financières d’envergure, auprès de clients français et internationaux : sociétés cotées et non-cotées, banques, fonds d’investissement et institutions gouvernementales.
Cette fiche a été rédigée par Bertrand Liard, Avocat Associé et Orion Berg, Avocat, avec la collaboration de Maxime Hebting et Alexis Tandeau.
«Page 8 de 26»

La gestion des données

Rechercher

Se tenir informé

Abonnez-vous à notre liste de diffusion pour être informé régulièrement des mises à jour du site.

S'abonner

Participer au site

Vous souhaitez participer à notre site ou réagir à un dossier, contactez-nous dès aujourd'hui.

Nous contacter

Les forums de la CRE

La CRE organise des forums, associés à chaque nouveau dossier, pour donner la parole aux experts des Smart grids.
Se tenir informé des prochains forums

Nos contributeurs

Notre site se nourrit aussi de vos contributions. Nous tenons donc à remercier "EDF" qui fait partie de nos 168 contributeurs.
Découvrir nos contributeurs