Haut de page

Accueil » Tous les dossiers » La gestion des données

Interview de Sophie Nerbonne (CNIL) :

En quoi consiste le groupe de travail « Smart grids et données personnelles » qu’a créé la CNIL avec la Fédération des industries électriques, électroniques et de communication (FIEEC) ?

Le groupe de travail sur les Smart grids résulte d’une approche nouvelle de la part de la CNIL mais aussi de la part des professionnels. Avec la FIEEC, nous partageons l’idée que la régulation est un processus de collaboration.

Je dirige à la CNIL la toute neuve direction de la conformité dont l’ambition et le métier consiste à faire en sorte que les « utilisateurs » de données puissent mettre en œuvre et respecter la loi informatique et libertés. Le groupe de travail « Smart grids et données personnelles » était donc piloté par l’idée partagée qu’il nous fallait élaborer un cadre prévisible pour l’utilisation des données de l’aval compteur par les professionnels et ceci dans le respect des droits des personnes.

Nous avons donc réuni, durant un peu plus d’une année, des professionnels issus d’entreprises différentes et de cultures techniques différentes. Spécialistes de la sécurité, ingénieurs, juristes, commerciaux et responsables R&D ont ainsi pu discuter des besoins, des attentes et des contraintes de chacun pour définir trois scénarios d’usages et les recommandations techniques et juridiques associées. Je suis particulièrement fière de ce travail parce qu’il reflète une profonde évolution de la relation entre le régulateur et le secteur régulé. La compréhension du rôle de chacun permet d’établir une vraie confiance.

Pouvez-vous nous présenter le pack de conformité pour les compteurs communicants publié en juin 2014 et les trois scénarios d’innovation ad hoc ?

Le pack de conformité sur les compteurs communicants est un outil de régulation d’un genre nouveau. Il s’agit essentiellement d’un outil d’anticipation qui permet de couvrir un besoin encore latent des professionnels qui développent des services et des produits qui reposent sur les données de l’aval compteur.

Nous sommes partis, avec les professionnels, de l’idée que ces services et produits utilisaient des données selon trois scenarios quelles que soient les finalités d’usages. Dans le scénario 1, la donnée circule en vase clos à l’intérieur du foyer, la question des données est ici, pour ainsi dire, réduite à la question de la sécurité parce qu’il n’y a aucun échange de données avec l’extérieur. Les deux autres scénarios supposent au contraire que la donnée sorte du foyer pour être traitée par un tiers destinataire (scénario 2) et pour produire une rétroaction sur le foyer (scénario 3). Ces deux derniers scénarios correspondent à ceux où les données peuvent permettre d’établir une offre commerciale d’optimisation du rendement énergétique ou pour le scénario 3 de permettre, par exemple, de l’effacement de la consommation.

Dans tous les cas, nous avons rédigé durant la concertation des recommandations pour que les produits et services qui vont être développés respectent la loi informatique et libertés. Il s’agit de favoriser ce que nous appelons le « privacy by design » ou la vie privée dès la conception.

La CNIL a régulièrement fait part de sa position au sujet de la protection des données personnelles issues des compteurs évolués. Mais quelle est sa position quant aux données issues des Smart grids en général (données patrimoniales, données techniques, données de mesure de la qualité d’alimentation, données de consommation, données de production, etc.) ?

Dans sa recommandation de 2012, la CNIL s’est clairement exprimée pour offrir un cadre aux données produites en amont du compteur dans lequel était prise en compte la nécessité d’assurer la réparation des incidents et l’optimisation du réseau. Il s’agissait d’une première réflexion menée à l’issue d’une concertation au vu de l’état de la technique et sa connaissance du sujet.

Elle ne s’est pas encore exprimée sur les données des Smart grids dans leur globalité. Cependant, les données issues des Smart grids ou qui peuvent s’y rattacher ne sont pas uniquement des données purement énergétiques et de comptage globalisé. Cela n’aurait pas de sens et serait par ailleurs antinomique de l’idée de Smart grid et plus généralement de ce mouvement qui connecte l’individu et l’environnement pour obtenir de meilleures performances ou un niveau de service supérieur. Les fichiers clients des distributeurs d’énergie comportent de nombreuses données sur le client ou son environnement qui permettent d’améliorer et d’adapter l’offre aux besoins du foyer. Cependant, il serait également faux de considérer que toutes les données sont nécessairement des données personnelles pour lesquelles le consentement de l’individu prime nécessairement. Pour l’essentiel, il me semble que la question des données des Smart grids va être celle de l’anonymisation des données et du niveau d’agrégation permettant à la fois de tirer profit des données, mais aussi ne pas sacrifier la vie privée des personnes.

Que pensez-vous d’un service public de la donnée ?

L’idée d’un service public de la donnée est une idée dont nous comprenons bien l’utilité mais qui oblige à se poser la question initiale de la nature des données. La CNIL n’est compétente que dans la régulation des données personnelles. Ce ne sont donc pas toutes les données, et surtout ce ne sont pas n’importe quelles données, dont il nous appartient de veiller au bon usage.

Quand on pense données de consommation issues des compteurs, on pense immédiatement aux informations commercialement sensibles qui sont protégées par des textes. Notre philosophie n’est finalement pas si éloignée sur cette question du service public de la donnée. Les données anonymisées convenablement ou agrégées à des niveaux qui empêchent toute ré-identification des personnes nous paraissent pouvoir bénéficier à la collectivité et faire l’objet d’un traitement au titre du service public de diffusion. Cette idée est d’ailleurs très largement celle qui guide l’accès aux documents administratifs et aux données publiques dans le cadre des politiques d’ouverture des données publiques.

Cependant, comme pour les données publiques, quand elles concernent des citoyens, et ici des consommateurs identifiés ou identifiables, il n’y pas de raison de considérer que tout un chacun doit pouvoir en avoir connaissance. C’est à la loi et à la volonté individuelle de gérer cet accès comme cela a été dit dans la recommandation de la CNIL sur les réseaux intelligents.

Quelle différence faites-vous entre la protection de la vie privée et la sécurité des données ?

De prime abord, la question de la vie privée et de la sécurité technique des données n’est pas évidente mais en réalité les deux sont intimement liées. La sécurité est une condition du respect de la vie privée comme les volets de la maison sont une condition de l’intimité et de la sécurité du foyer.

La loi du 6 janvier 1978 associe donc fortement la sécurité des données à la préservation de la vie privée des personnes. La loi envisage la question au travers de plusieurs articles dont le plus important est l’article 34. Cet article pose un impératif de sécurisation et de confidentialité à celui qui entend traiter des données personnelles.

En effet, l’un des risques qui pèse sur les personnes est celui d’un accès non autorisé aux données par des personnes mal intentionnées. Il faut donc se prémunir contre les négligences mais aussi contre les malveillances. La CNIL est donc tout particulièrement attentive à cette question aussi bien dans la perspective d’éviter la dissémination involontaire des données que pour éviter les actes malveillants dont l’impact sur les personnes peut être important.

On pense évidemment aux usurpations d’identités mais aussi, comme cela a été le cas dans les travaux menés sur les Smart grids avec la FIEEC, aux conséquences sur le fonctionnement des appareils électriques, sur l’utilisation qui pourrait être faite par un cambrioleur d’une information sur l’occupation du logement en période estivale.

Dans le travail de scénarisation que nous avons conduit, nous avons mis en balance le risque et l’atteinte à la vie privée qui en résulte pour en déduire le niveau de sécurité adapté.


Sophie Nerbonne
21 novembre 2014



Diplômée de l’Institut d’études politiques de Paris et titulaire d’une maîtrise de droit à Paris II Assas, Sophie Nerbonne a tout d’abord été juriste d’entreprise avant de rejoindre la CNIL où elle a mené une carrière l’ayant successivement conduite de la prise en charge de secteurs (justice, éducation nationale, banque et assurance). Elle accède au poste de responsable de l’unité Economie au service juridique (1992) puis à celui de chef de service à la direction juridique (2001) et en 2007, à celui de directrice adjointe des affaires juridiques, de l’expertise technique et des affaires internationales à la CNIL. Depuis septembre 2014, elle est directrice de la direction de la conformité, issue de la réorganisation des services de la Commission de mars 2014, dont l’activité est tournée vers les professionnels et consiste à promouvoir une gamme élargie d’outils de régulation, dans une logique de simplification administrative et d’accompagnement des acteurs.



La Commission nationale de l’informatique et des libertés (CNIL) est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.
Elle exerce ses missions conformément à loi du 6 janvier 1978 dite loi informatique et libertés qui la qualifie d’autorité administrative indépendante.
«Page 25 de 26»

La gestion des données

Rechercher

Se tenir informé

Abonnez-vous à notre liste de diffusion pour être informé régulièrement des mises à jour du site.

S'abonner

Participer au site

Vous souhaitez participer à notre site ou réagir à un dossier, contactez-nous dès aujourd'hui.

Nous contacter

Les forums de la CRE

La CRE organise des forums, associés à chaque nouveau dossier, pour donner la parole aux experts des Smart grids.
Se tenir informé des prochains forums

Nos contributeurs

Notre site se nourrit aussi de vos contributions. Nous tenons donc à remercier "Sia Partners" qui fait partie de nos 168 contributeurs.
Découvrir nos contributeurs