Haut de page

Accueil » Tous les dossiers » La gestion des données

Point de vue de Sophie Nerbonne (CNIL) :

À l’heure où la donnée personnelle se trouve au cœur d’un certain nombre de métiers et d’enjeux de la société numérique, il est intéressant d’avoir le point de vue de l’autorité de régulation des données personnelles.

Sa compétence, qui est transversale à la différence de celle des autorités de régulation sectorielle, mérite quelques mots de rappel sur les grands principes de la loi Informatique et Libertés. La loi Informatique et Libertés du 6 janvier 1978 modifiée s’applique dès lors qu’il est procédé à un traitement de données à caractère personnel. La question se pose alors de ce qu’est une « donnée à caractère personnel ». Dans le dialogue que la CNIL a engagé avec ses partenaires industriels de la Fédération des industries électriques, électroniques et des communications (FIEEC), les premiers échanges ont consisté à se comprendre et s’entendre concernant les données qui, directement ou indirectement, permettent l’identification d’une personne physique. Ainsi, les données de consommation électrique se rattachant à un abonné, client ou locataire, sont des données à caractère personnel.

Les acteurs qui manipulent ces données à caractère personnel se doivent de respecter différentes obligations légales :

  • l’information des personnes, voire le recueil du consentement exprès, et la mise en place de modalités d’exercice du droit d’accès et de suppression des données ;
  • la collecte et le traitement des données pertinentes pour la réalisation de finalités explicites, avec une durée de conservation ;
  • la mise en œuvre de mesures de sécurité pour préserver l’intégrité et la confidentialité de ces données ;
  • les formalités préalables à effectuer auprès de la CNIL, en l’absence de désignation de correspondant Informatique et libertés (CIL).

À partir du moment où les données sont anonymisées et qu’il est certain qu’il n’y a plus de possibilité d’identifier une personne physique, la loi Informatique et Libertés ne s’applique plus. Cela montre l’intérêt de développer les dispositifs d’anonymisation des données.

Dans un premier temps, en 2012, la CNIL a mené des travaux sur la collecte de la courbe de charge des compteurs communicants par les gestionnaires de réseaux de distribution. L’objectif était de réfléchir à l’impact des compteurs communicants sur la vie privée.

Le principal risque que nous avons identifié provient de cette nouvelle fonctionnalité offerte par les compteurs. Plus le « pas de mesure » est faible, plus les mesures sur une journée sont nombreuses et fines, ce qui permet d’avoir des informations précises sur les habitudes de vie des personnes concernées. Une courbe de charge avec un pas de 10 minutes permet notamment d’identifier les heures de lever et de coucher, les heures ou périodes d’absence, etc.

La CNIL a également réfléchi aux enjeux en termes de sécurité et de confidentialité de ces données.

Après deux années de réflexion et la consultation du CGEIET notamment, ces travaux ont abouti à la recommandation du 15 novembre 2012 afin d’encadrer les traitements de la courbe de charge, collectée par les gestionnaires de réseaux de distribution par l’intermédiaire des compteurs communicants dont ils assurent la gestion.

La recommandation pose plusieurs principes :

  • la courbe de charge ne peut être collectée de manière systématique ;
  • cette collecte intervient uniquement pour les finalités suivantes :
    • lorsqu’elle est justifiée par les nécessités de maintenance du réseau ;
    • lorsque l’usager en fait expressément la demande pour bénéficier de services particuliers (tarifs adaptés à sa consommation, bilans énergétiques, proposition de travaux d’isolation, etc.).

La recommandation exprime également des exigences en termes de sécurité. Elle prévoit notamment la réalisation d’études d’impact sur la vie privée avant le déploiement des compteurs et la réalisation d’analyses de risques pour déterminer les mesures techniques adéquates à mettre en place.

Cette recommandation a vocation à évoluer en prenant en considération les évolutions techniques et technologiques.

Par la suite, la CNIL a souhaité travaillé directement avec les acteurs privés concernés par ces sujets et a ainsi développé un partenariat avec la FIEEC au travers de la création d’un groupe de travail en octobre 2012.

Ce groupe de travail avait pour objectif d’aboutir à la publication d’un référentiel de bonnes pratiques visant à accompagner l’innovation des industriels en intégrant le concept de « privacy by design ». Ce concept est présent dans le projet de règlement européen actuellement en cours de discussion. Il est intéressant de noter que les industriels de la FIEEC ont été les premiers à considérer que travailler avec la CNIL pour élaborer de tels scénaris d’innovation allait leur permettre, dès lors que ces standards seraient adoptés au plan européen, d’améliorer leur compétitivité. L’intégration de ces normes et standards dans leurs produits et services constituent un facteur de compétitivité pour se distinguer des autres offres. Cela constitue un exemple d’accompagnement par la CNIL de dispositifs innovants.

Ces travaux concernent uniquement les traitements de données collectées via des appareils ou logiciels installés par les usagers en aval des compteurs électriques (données prises sur le compteur ou tableau électrique). En sont donc exclus les traitements de données réalisés directement via les compteurs électriques. La démarche de travail était avant tout centrée sur l’usager. Ces lignes directrices ont un caractère souple et évolutif : il s’agit de créer des réflexes chez les professionnels.

Les recommandations du groupe de travail FIEEC-CNIL s’organisent autour de trois cas d’usage des données de consommation électrique, identifiés par le groupe de travail :

  • le premier cas d’usage est le scénario « IN -> IN » : les données collectées dans le logement restent dans le logement ;
  • le deuxième cas d’usage est le scénario « IN -> OUT » : les données collectées dans le logement sont transmises à l’extérieur ;
  • le troisième cas d’usage est le scénario « IN -> OUT -> IN » : les données collectées dans le logement sont transmises à l’extérieur pour permettre un pilotage à distance de certains équipements de logement.

Des recommandations ont été produites dans chaque cas, détaillant les types de traitement possibles (cliquez pour zoomer).


Source : CNIL


Source : CNIL


Source : CNIL

Aujourd’hui, l’objectif est de diffuser largement le « pack de conformité énergie » (notamment via le site de la CNIL et les relais professionnels de la FIEEC), de les porter au plan européen, notamment au travers des travaux du G29 (Groupe de travail Article 29 sur la protection des données), groupe qui réunit l’ensemble des CNIL européennes, de mettre à jour régulièrement ces cas d’usage (les recommandations ont un caractère évolutif et ont vocation à être régulièrement revues) et de poursuivre le partenariat avec la FIEEC pour d’autres produits et services. La seconde brique du pack porte sur les dispositifs assurant la sécurité du logement (vidéosurveillance, alarmes, etc.) et portant assistance aux personnes (détection de perte de verticalité, etc.).

Cette démarche témoigne de la volonté de la CNIL de se rapprocher des professionnels afin d’identifier leurs besoins et d’élaborer des instruments de droit souple destinés tant à sécuriser juridiquement le déploiement de nouvelles technologies que de simplifier les formalités administratives. Le projet de règlement européen sur la protection des données personnelles prévoit d’ailleurs la montée en puissance de cette co régulation.


Sophie Nerbonne
4 novembre 2014



Sophie Nerbonne est directrice de la conformité à la CNIL. Diplômée de l’Institut d’études politiques de Paris et titulaire d’une maîtrise de droit à Paris II Assas, elle a tout d’abord été juriste d’entreprise à la SODEXHO avant de rejoindre la CNIL où elle a mené une carrière l’ayant successivement conduite de la prise en charge de secteurs (justice, éducation nationale, banque et assurance) au poste de responsable de l’unité Economie au service juridique (1992) puis de chef de service à la direction juridique (2001) et, de directrice adjointe des affaires juridiques, de l’expertise technique et des affaires internationales à la Cnil (2007).
Depuis septembre 2014, elle dirige la direction de la conformité, issue de la réorganisation des services de la Commission de mars 2014, dont l’activité est tournée vers les professionnels et consiste à promouvoir une gamme élargie d’outils de régulation, dans une logique de simplification administrative et d’accompagnement des acteurs.

«Page 21 de 26»

La gestion des données

Rechercher

Se tenir informé

Abonnez-vous à notre liste de diffusion pour être informé régulièrement des mises à jour du site.

S'abonner

Participer au site

Vous souhaitez participer à notre site ou réagir à un dossier, contactez-nous dès aujourd'hui.

Nous contacter

Les forums de la CRE

La CRE organise des forums, associés à chaque nouveau dossier, pour donner la parole aux experts des Smart grids.
Se tenir informé des prochains forums

Nos contributeurs

Notre site se nourrit aussi de vos contributions. Nous tenons donc à remercier "Clean Horizon" qui fait partie de nos 172 contributeurs.
Découvrir nos contributeurs