Les données issues des réseaux intelligents Cadre …...Les données issues des réseaux...

NO

TE D

E SY

NTH

ÈSE

Les données issues des réseaux intelligents Cadre juridique et enjeux économiques en France Mars 2016

Auteurs : Christine Le Bihan-Graf et Elizabeth Creux Cabinet De Pardieu Brocas Maffei [email protected] Contact : Antoine Chapon, OFAEnR [email protected]

Soutenu par: Soutenu par:

mailto:[email protected]

mailto:[email protected]

Les données issues des réseaux intelligents

Cadre juridique et enjeux économiques en France 2

Disclaimer

Le présent texte a été rédigé par un expert externe pour l’Office franco-allemand pour les énergies renouvelables

(OFAEnR). Cette contribution est diffusée via la plateforme proposée par l’OFAEnR. Les points de vue énoncés dans

la note représentent exclusivement ceux de l'auteur et n’engagent ni son employeur ni l’OFAEnR. La rédaction a été

effectuée avec le plus grand soin. L'OFAEnR décline toute responsabilité quant à l'exactitude et l'exhaustivité des

informations contenues dans ce document.

Tous les éléments de texte et les éléments graphiques sont soumis à la loi sur le droit d'auteur et/ou d'autres droits

de protection. Ces éléments ne peuvent être reproduits, en partie ou entièrement, que suite à l’autorisation écrite de

l’auteur ou de l’éditeur. Ceci vaut en particulier pour la reproduction, l’édition, la traduction, le traitement,

l’enregistrement et la lecture au sein de banques de données ou autres médias et systèmes électroniques.

L’OFAEnR n’a aucun contrôle sur les sites vers lesquels les liens qui se trouvent dans ce document peuvent vous

mener. Un lien vers un site externe ne peut engager la responsabilité de l’OFAEnR concernant le contenu du site, son

utilisation ou ses effets.



Résumé

La question de la protection et de l’utilisation des données se pose, en général, dans le cadre de l’évolution numérique

de secteurs dans lesquels il existe une profusion de données et d’opérateurs susceptibles de les capter et de les valo-

riser (commerce en ligne ou communications électroniques en particulier). Aujourd’hui, la révolution numérique

concerne également le secteur de l’énergie avec le développement des réseaux intelligents qui accompagnent la tran-

sition énergétique. Ces réseaux intelligents concernent principalement le gaz et l’électricité, mais également d’autres

énergies fonctionnant en réseaux comme l’eau ou la chaleur. La mise en œuvre de la transition énergétique est donc

indissociable d’une réflexion sur l’utilisation et la gestion de ces données issues des nouvelles technologies de

l’information et de la communication (NTIC).

Cette réflexion concerne également leur protection lorsque les données constituent des données individuelles qui

offrent un accès à des informations personnelles ou commercialement sensibles. La protection de la confidentialité

des données individuelles inclut leur sécurisation, notamment contre des actions malveillantes de piratage.

La protection de la confidentialité des données à caractère personnel est régie par la loi du 6 janvier 1978 relative à

l’informatique, aux fichiers et aux libertés qui impose plusieurs contraintes pour les réseaux intelligents, depuis la

conception des équipements jusqu’au traitement des données collectées. Pour permettre aux professionnels de

l’énergie de mieux se conformer à cette réglementation, la commission nationale de l’informatique et des libertés

(CNIL) a élaboré une documentation permettant d’illustrer l’application concrète de la loi aux réseaux intelligents.

En outre, la règlementation applicable au secteur de l’énergie protège la confidentialité des informations commercia-

lement sensibles.

Par ailleurs, la sécurisation de ces données contre les actions malveillantes et le piratage est prévue par la réglemen-

tation. Ainsi, l’arrêté du 4 janvier 2012 définissant les fonctionnalités des compteurs d’électricité communicants im-

pose que la conformité des dispositifs de comptage à des référentiels de sécurité approuvés par le ministre chargé de

l’énergie. Cette conformité fait l’objet d’une vérification et d’une certification par l’Agence nationale de la sécurité

des systèmes d’information (ANSSI).

Une fois résolues les difficultés relatives à la protection des données individuelles et des informations commercia-

lement sensibles, l’utilisation des données entraîne un bouleversement de la physionomie du secteur de l’énergie. La

connaissance des données rend possibles un nombre très important de nouveaux services proposés par une multi-

tude d’acteurs, qui ne sont plus nécessairement les seuls fournisseurs d’énergie.

Les données transmises par les réseaux intelligents permettent également une connaissance plus fine des usages au

niveau des territoires et deviennent un outil précieux notamment pour les décideurs publics dans la définition des

politiques énergétiques.

Dans ce contexte, l’utilisation des données reste très encadrée lorsqu’il s’agit de données individuelles. Les gestion-

naires de réseau, dépositaires de ces données, ne peuvent les utiliser que pour la réalisation de leurs missions de

service public. Le consentement des utilisateurs est requis pour toute transmission et tout traitement de ces don-

nées par les fournisseurs ou les tiers.

Face à ces contraintes, de nombreux acteurs demandent la mise en place d’un service public de gestion des données,

à la main du gestionnaire de réseau ou d’un opérateur tiers indépendant. L’objectif serait de constituer une base de

données agrégées, permettant de s’affranchir des contraintes propres aux données individuelles, tout en bénéficiant

d’un outil très utile tant pour les aménagements locaux que pour la définition des politiques énergétiques au plan

territorial.



Sur les auteurs et la publication

Au sein du cabinet De Pardieu Brocas Maffei, le département droit public économique et activités industrielles régu-

lées, dirigé par Christine Le Bihan-Graf, a développé une compétence approfondie sur les problématiques relatives

au droit de l’énergie et apporte son expertise à des acteurs des secteurs économiques réglementés (énergie, télécom-

munications, médias, transports, défense, finances,...) et des services collectifs (eaux, déchets, énergies, transports).

Le département intervient auprès de grands groupes industriels, d'établissements bancaires, d'opérateurs de ser-

vices, mais aussi de l’État, de grandes collectivités locales et d'entreprises publiques, en France ou à l’étranger, en

particulier en Europe.

La présente contribution n’engage que ses auteurs et en aucun cas le cabinet De Pardieu Brocas Maffei.



Contenu

Disclaimer 2

Résumé 3

Sur les auteurs et la publication 4

Introduction 6

I. - Le cadre juridique de la protection de la confidentialité et de la sécurité des données issues des

réseaux intelligents 8

I.a - La confidentialité des données est protégée en application du cadre juridique relatif aux données à caractère

personnel et des règles sectorielles relatives aux informations commercialement sensibles 8

I.b - La sécurisation des données 14

II. - Les modalités d’utilisation des données dans une économie concurrentielle et la question de leur

gouvernance 15

II.a - La collecte et l’utilisation des données individualisées permettent l’émergence de nouveaux acteurs dans le

secteur de l’énergie, proposant des services innovants aux consommateurs 16

II.b - Les données agrégées représentent un instrument de planification des politiques énergétiques et des projets

d’aménagements au plan local, sous réserve de pouvoir les rendre accessibles 19



Introduction

Avec la révolution numérique, la question de l’utilisation et de la protection des données est devenue cruciale en

raison de l’augmentation exponentielle de ces données et de leur accessibilité à une multitude d’acteurs. Dans les

secteurs tels que le commerce en ligne ou les communications électroniques, un véritable marché pour les échanges

de données s’est développé et la concurrence se concentre sur la captation et la valorisation de ces données.

Ce sujet est l’objet de réflexions plus récentes dans le secteur de l’énergie qui restait jusqu’ici moins familier du trai-

tement, de la valorisation et de la protection des données même si les différents acteurs se sont progressivement

mobilisés pour s’adapter à l’évolution du secteur. En effet, la progression des technologies numériques dans ce sec-

teur, en raison du développement des réseaux intelligents qui accompagnent la transition énergétique, entraîne une

véritable explosion des données disponibles à gérer et à valoriser.

La première brique du développement des réseaux intelligents dans le secteur de l’électricité en France est la mise en

place du compteur d’électricité intelligent Linky dont le déploiement a été décidé par la loi n° 2005-781 du 13 juillet

2005 de programme fixant les orientations de la politique énergétique1. Ce compteur paramétrable et communicant

collecte des données sur la consommation (quantité consommée par intervalle horaire ou puissance sollicitée par le

consommateur) et peut envoyer de l’information au client lui-même, notamment vers des équipements internes au

foyer, ou vers des tiers (gestionnaire de réseaux, fournisseurs, prestataires de services énergétiques). Le compteur

communicant Linky a vocation à être déployé dans 35 millions de foyers en France d’ici 2021 et devrait remplacer

90% des anciens compteurs2.

En gaz, le déploiement généralisé du compteur évolué Gazpar a été approuvé par une décision de la ministre de

l’Écologie, du Développement durable et de l’Énergie et du ministre de l’Économie, de l’Industrie et du Numérique en

date du 23 septembre 2014 et sera mis en œuvre à compter de 2017. Ce compteur permettra notamment la relève à

distance et la transmission des index réels de consommation. Il sera déployé dans 11 millions de foyers d’ici 20223.

La pose de ces compteurs est à la charge des gestionnaires de réseaux de distribution. L’investissement prévu s’élève

à 1 milliard d’euros pour le déploiement des compteurs communicants de gaz et à 5 milliards d’euros pour

l’électricité4. Le coût de ces équipements sera mutualisé entre tous les consommateurs à travers le tarif d’utilisation

du réseau.

Outre les compteurs communicants, les réseaux sont progressivement équipés de capteurs intelligents et de nou-

veaux objets connectés sont installés chez les consommateurs.

Tous ces équipements entraînent une explosion du nombre de données disponibles, qui permettent de mesurer la

qualité de l’énergie distribuée, la consommation en temps réel des foyers et des entreprises ou encore la production

injectée dans les réseaux.

Ces données sont centrales pour la transition énergétique. En effet, le développement décentralisé des énergies re-

nouvelables variables et des nouveaux usages (le véhicule électrique notamment) imposent de moderniser le sys-

tème électrique pour qu’il puisse être piloté de manière plus flexible et entraînent la digitalisation des technologies.

En retour, la digitalisation des technologies dans le secteur de l’énergie facilite la progression de la transition énergé-

1 Codifié à l’article L. 341-4 du code de l’énergie. 2 Informations sur le déploiement disponible sur le site institutionnel d’ERDF. 3 Informations sur le déploiement disponible sur le site institutionnel de GRDF. 4 Environnement-magazine.fr, « Le déploiement des compteurs communicants Linky et Gazpar monte en puissance », 29 janvier 2016

http://www.erdf.fr/linky-le-compteur-communicant-derdf

http://www.grdf.fr/dossiers/gazpar-le-compteur-communicant

http://www.environnement-magazine.fr/presse/environnement/actualites/6518/energie/le-deploiement-des-compteurs-communicants-linky-et-gazpar-monte-en-puissance



tique car la meilleure connaissance des usages permet de faciliter les actions de maîtrise de la demande et

d’améliorer la performance énergétique.

Les données sont donc au cœur d’un changement de la physionomie du secteur de l’énergie en ouvrant de nouvelles

possibilités de création de valeur. Elles offrent des opportunités inédites aux acteurs du monde de l’énergie dans

plusieurs domaines (gestion de l’énergie, exploitation des réseaux ou proposition de nouveaux services aux clients en

matière de prestations de service énergétique ou de flexibilisation des offres de fourniture…) à condition que ces

acteurs sachent tirer parti de ces données et que le cadre juridique permette de les exploiter.

Ces données doivent, en effet, avoir une valeur économique, ce qui suppose de savoir les exploiter afin qu’elles de-

viennent une source de revenu et confèrent à leur détenteur un avantage compétitif, ce qui n’est pas nécessairement

évident pour les acteurs du secteur de l’énergie qui devront faire face au traitement complexe qu’elles imposent et à

la question de leur valorisation.

La réussite de l’exploitation économique des données issues des nouvelles technologies de l’information et de la

communication (NTIC) suppose de résoudre deux problématiques centrales, celle de la gouvernance de ces données

(qui doit y avoir accès et qui doit les gérer ?) et celle du modèle économique de la gestion de ces données (quelles sont

les potentialités de valorisation de ces données et quelles sont les nouveaux services qui peuvent être développés ?).

La collecte de ces données soulève aussi des questions en matière de protection de la vie privée puisqu’une grande

partie des données ont le caractère de données personnelles, qui concernent des usages de la vie privée. En effet, si

les compteurs intelligents ne font pas remonter vers le gestionnaire de réseaux des informations concernant la na-

ture des équipements utilisés par un foyer, ils donnent des indications sur les heures de présence et d’absence dans

l’habitation. D’autres équipements, comme par exemple les objets connectés installés dans les habitations, permet-

tront au surplus de connaître les usages précis des consommateurs ou encore le nombre de personnes présentes au

sein du foyer.

La mise en œuvre de la transition énergétique est donc indissociable d’une réflexion sur l’utilisation, le traitement et

la protection de ces données issues des NTIC. Cette réflexion doit appréhender le cadre juridique de la protection de

la confidentialité et de la sécurisation des données issues des réseaux intelligents (partie I) ainsi que la question des

modalités de leur utilisation et de leur gouvernance (partie II).



I. - Le cadre juridique de la protection de la confidentialité et de la

sécurité des données issues des réseaux intelligents

La protection juridique de la confidentialité des données concerne les données personnelles et les informations

commercialement sensibles. Si toutes les données produites par les réseaux intelligents ne tombent pas nécessaire-

ment sous le coup de l’une ou l’autre de ces réglementations (les données techniques issues du fonctionnement des

réseaux ne sont pas des données personnelles), une grande partie d’entre elles est concernée par la protection juri-

dique. En effet, ces réglementations s’appliquent à toutes les données individuelles permettant de remonter à une

personne physique (données personnelles) ou aux données collectées par les gestionnaires de réseaux comportant

des informations relatives aux quantités consommées ou produites par les installations raccordées (informations

commercialement sensibles). En conséquence, le développement des réseaux intelligents est très encadré par ces

réglementations5.

I.a - La confidentialité des données est protégée en application du cadre juri-

dique relatif aux données à caractère personnel et des règles sectorielles rela-

tives aux informations commercialement sensibles

I.a.i - La protection des données à caractère personnel impose plusieurs contraintes pour

les réseaux intelligents, depuis la conception des équipements jusqu’au traitement des

données collectées

Des dispositifs de collecte et de traitement des données seront installés sur les réseaux afin d’optimiser la production

et l’acheminement de l’électricité, d’améliorer l’intégration des énergies renouvelables décentralisées et de fiabiliser

la facturation des consommateurs grâce à une connaissance quasiment en temps réel de leur consommation. Le

régime juridique de droit commun applicable aux données à caractère personnel s’applique aux données issues des

réseaux intelligents.

En droit interne, la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi informatique

et libertés) organise la protection des données personnelles sous le contrôle de la commission nationale de

l’informatique et des libertés (CNIL).

Cette loi a un champ d’application large, dès lors que sont considérées comme des données à caractère personnel

toutes les informations relatives à une personne physique identifiée ou identifiable, directement ou indirectement.

Ces données ne sont pas nécessairement nominatives. Il peut s’agir de toutes les informations permettant de remon-

ter jusqu’à un abonné telles que l’adresse postale ou la courbe de charge individualisée.

Si les données techniques générées en amont des compteurs communicants ne devraient pas être qualifiées de don-

nées à caractère personnel dès lors qu’elles ne sont pas spécifiquement reliées à une personne physique et sont des

données techniques, les données collectées par les compteurs communicants ou en aval de ces derniers sont suscep-

tibles d’être reliées à une personne physique. Tel est bien le cas, en effet, des index de consommation (données de

comptage indiquant le volume de la consommation en vue de la facturation) ou des courbes de charge (relevés de la

5 Au regard de la profusion de données produites par les NTIC, de nombreuses réglementations s’appliquent (règlementation relative à la communi-cation des documents administratifs, législation sur la statistique, règlementation applicable aux données patrimoniales…). Ainsi, si la présente contribution se concentre sur les réglementations relatives aux données personnelles et aux informations commercialement sensibles, celles-ci ne sont pas exclusives de l’application d’autres législations.



consommation à intervalles horaires réguliers fournissant un profil de consommation) qui sont ceux d’un consom-

mateur en particulier. En outre, la possibilité pour des tiers d’accéder en temps réel à ces données et de les croiser

avec d’autres données disponibles6 pour proposer de nouveaux services adaptés à chaque profil de consommation

posent des problèmes de protection de la vie privée qui sont bien dans le champ de la loi informatique et libertés.

La loi couvre tous les traitements de ces données et donne également une définition large des traitements. Ainsi, la

seule collecte d’informations à caractère personnel constitue un traitement de ces données au sens de la loi, de

même que leur conservation.

Face au développement des réseaux intelligents imposé par les directives du 13 juillet 2009 relatives aux marchés du

gaz et de l’électricité7, la Commission européenne s’est rapidement saisie de la question de la protection des données

appliquée aux réseaux intelligents et a adopté des de recommandations8.

Un nouveau paquet sur la protection des données personnelles devrait être adopté en 2016 rénovant le cadre actuel

issu de la directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traite-

ment des données à caractère personnel et à la libre circulation de ces données, comprenant un règlement général

couvrant l’essentiel du traitement des données personnelles et une directive visant à prévenir, détecter ou pour-

suivre les infractions pénales ainsi qu’à les sanctionner9.

Ce cadre juridique relatif à la protection des données personnelles, issu du droit interne ou du droit de l’Union euro-

péenne, impose de nombreuses contraintes au développement des réseaux intelligents qui couvrent toutes les

étapes de leur déploiement.

Avant leur généralisation, il est préconisé que les équipements de réseaux intelligents fassent l’objet d’une

analyse d’impact en matière de protection des données personnelles.

Dans sa recommandation du 9 mars 2012 relative à la préparation de l’introduction des systèmes intelligents de me-

sure, la Commission européenne a préconisé la réalisation d’études d’impact devant permettre d’identifier d’emblée

les risques que le développement des réseaux intelligents fait peser sur la protection des données.

La Commission européenne a confié en 2012 à un groupe d’experts, auquel la Commission de régulation de l’énergie

(CRE) a participé, une mission d’élaboration d’un modèle d’analyse d’impact relative à la protection des données pour

les réseaux intelligents et les systèmes de relevés intelligents. Ce modèle d’analyse d’impact a été soumis au cours de

son élaboration au groupe de travail « Article 29 », organe consultatif européen indépendant sur la protection des

données et de la vie privée, dont les recommandations ont été prises en compte pour la définition du modèle10

.

6 Pour créer des profils de consommation, d’autres données pourraient être utilisées comme le profil des consommateurs (âge, nombre de per-sonnes résidant dans le foyer, profession), le statut de la résidence concernée (résidence principale ou secondaire). Ces données croisées avec les données de consommation permettraient aux fournisseurs, par exemple, de proposer des offres à différenciation tarifaire sur-mesure pour les consommateurs (par exemple, une différenciation week-ends/semaine pour les résidences secondaires). 7 Directive 2009/72/CE du Parlement européen et du Conseil du 13 juillet 2009 concernant des règles communes pour le marché intérieur de l’électricité ; directive 2009/73/CE du 13 juillet 2009 concernant des règles communes pour le marché intérieur du gaz naturel. 8 Recommandation du 9 mars 2012 relative à la préparation de l’introduction des systèmes intelligents de mesure ; mise en place d’un groupe de travail sur un modèle d’analyse d’impact relative à la protection des données pour les réseaux intelligents et les systèmes de relevés intelligents. 9 Un accord politique sur le paquet sur la protection des données personnelles a été adopté le 15 décembre 2015. Les textes devraient être adoptés par le Parlement au printemps 2016. Pour des précisions sur le contenu du paquet : Parlement européen, Questions – Réponses sur la réforme du régime de protection des données de l’UE, 24 juin 2015. 10 Le dernier avis du groupe de travail est en date du 4 décembre 2013 : avis 07/2013 sur le modèle d’analyse d’impact relative à la protection des données pour les réseaux intelligents et les systèmes de relevés intelligents (modèle d’AIPD) élaboré par le groupe d’experts 2 de la task force sur les réseaux intelligents de la Commission, 2014/13/FR.



Le modèle d’analyse d’impact, dont la dernière version date du 18 mars 201411

, fournit une grille d’examen sous forme

de questions permettant d’identifier et évaluer les risques que font peser les NTIC sur la protection des données. Le

résultat doit aider les décideurs publics à faire des choix utiles et protecteurs des données pour le déploiement des

réseaux intelligents.

L’importance et l’utilité de la réalisation d’études d’impact préalables au déploiement des équipements de réseaux

intelligents, conformément au modèle d’analyse d’impact européen, a été affirmée par la CRE dans sa délibération de

la CRE du 12 juin 2014 portant recommandations sur le développement des réseaux électriques en basse tension, bien

qu’il ne s’agisse pas, à ce stade, d’une obligation légale.

Le projet de règlement général en cours d’adoption dans le cadre du nouveau paquet sur la protection des données

personnelles au plan européen rendrait obligatoires, sous certaines conditions, les analyses d’impact relatives à la

protection des données personnelles avant la mise en place de traitements de ces données.

Dès la phase de conception des équipements, leurs fonctionnalités techniques sont définies dans l’objectif de

respecter les exigences relatives à la protection des données.

La Commission européenne a préconisé que la protection des données soit intégrée dans les fonctionnalités des

équipements dès leur conception et que leurs paramétrages par défaut soient les plus protecteurs possible de la

sécurité et de la confidentialité des informations personnelles12

.

De son côté, dans un objectif de protection de la vie privée, la CNIL a interdit, s’agissant des compteurs d’électricité

communicants, la collecte des données relatives à la consommation à un pas de temps inférieur à dix minutes pour

éviter une connaissance trop précise de la consommation d’électricité.

C’est en application de ces recommandations de la CNIL que les fonctionnalités générales des compteurs communi-

cants d’électricité ont été définies.

Ainsi, l’arrêté du 4 janvier 2012 définissant les fonctionnalités des compteurs d’électricité communicants prévoit que

les relevés de consommation sont réalisés à un pas de temps qui ne peut être inférieur à dix minutes. Cette limita-

tion ne concerne toutefois que les installations raccordées en basse tension pour une puissance inférieure ou égale à

36 kVA, qui correspondent en majorité aux installations des particuliers, tandis que les installations raccordées à une

puissance supérieure peuvent donner lieu à des relevés plus réguliers.

Par ailleurs, les exigences relatives à la protection des données sont respectées puisque les compteurs intelligents

Linky ne font remonter que des informations qui concernent la consommation totale du consommateur et ne per-

mettent donc pas de distinguer des usages spécifiques13

.

La collecte et le traitement des données issues des réseaux intelligents sont soumis à de nombreuses obliga-

tions garantissant la protection de la confidentialité des données personnelles.

Le développement des réseaux intelligents entraînant le traitement de nombreuses données a rapidement donné

lieu à des interrogations et inquiétudes de la part des consommateurs sur le niveau de protection de ces données.

11 Data Protection Impact Assessment Template for Smart Grid and Smart metering systems. 12 Recommandation de la Commission européenne du 9 mars 2012 relative à la préparation de l’introduction des systèmes intelligents de mesure. 13 Rép. min. à la QE n° 86945 du 31 août 2010, JOAN du 08/11/2011 page 11838.



Plusieurs députés ont d’ailleurs relayé ces inquiétudes en posant des questions au gouvernement sur le niveau de

protection des données offerts par les compteurs intelligents14

.

Les exemples européens ont révélé la difficulté d’acceptation sociale que pourrait soulever la généralisation des

compteurs communicants, en raison du risque d’atteinte à la vie privée. Ainsi, aux Pays-Bas, la mobilisation des asso-

ciations de consommateurs a provoqué le retrait du projet de loi sur la généralisation de ces compteurs en 2009. Le

dispositif adopté en 2010 prévoit un déploiement sur la base du volontariat et soumet la mise en place d’un relevé

détaillé de consommation à l’accord du consommateur.

Dès 2010, des travaux ont été menés en France entre la CNIL et la CRE sur la mise en œuvre des compteurs intelli-

gents, portant notamment sur la question du traitement des données collectées par ces équipements.

La CNIL a adopté, le 15 novembre 2012, une recommandation fixant le cadre et les conditions dans lesquelles les don-

nées de consommation issues des compteurs communicants d’électricité peuvent être collectées et traitées15

.

Dans cette recommandation, la CNIL rappelle que le futur déploiement des compteurs communicants va entraîner

un nombre très important de données collectées, notamment des données relatives à la qualité de l’alimentation

électrique fournie à l’abonné ou des index de consommation qui sont d’ores et déjà des données utilisées et traitées.

Surtout, les compteurs intelligents offrent une nouvelle fonctionnalité en permettant de collecter des informations

relatives à la courbe de charge, constituée d’un relevé à intervalles réguliers de la consommation électrique de

l’abonné qui permettrait, selon la CNIL, d’avoir des informations précises sur les habitudes de vie des personnes

concernées (identification des heures de lever et de coucher, des périodes d’absence, voire le volume d’eau chaude

consommée par jour ou encore le nombre de personnes présentes dans le logement).

La CNIL a donc souhaité encadrer les conditions de collecte

et d’utilisation de cette courbe de charge par les compteurs

communicants, en rappelant que ces opérations sont sou-

mises à la loi informatique et libertés. En revanche, elle a

récemment confirmé que le stockage de la courbe de charge

par les compteurs, sans remontée de l’information vers le

gestionnaire de réseau, était conforme aux exigences de la

loi informatique et libertés16

.

D’une manière générale, la loi informatique et libertés im-

pose le recueil du consentement préalable de la personne

concernée avant tout traitement de données personnelles,

sauf dans certaines conditions particulières (lorsque le trai-

tement de ces données relève d’une obligation légale, de

l’exécution d’une mission de service public ou d’un contrat

par exemple). Les personnes concernées disposent d’un

droit d’accès et de rectification des données qui les concernent et peuvent s’opposer, pour des motifs légitimes, au

traitement de leurs données.

14 Voir notamment Rép. min. à la QE n° 86945 du 31 août 2010, JOAN du 08/11/2011 page 11838 ; Rép. min. à la QE n° 33254 du 23 juillet 2013, JOAN du01/10/2013. 15 Délibération n° 2012-404 du 15 novembre 2012 portant recommandation relative aux traitements des données de consommation détaillées collectées par les compteurs communicants. 16 Pour plus d’informations, voir la position de la CNIL sur le stockage de la courbe de charge, en date du 30 novembre 2015

La loi informatique et

libertés impose le recueil du

consentement préalable de

la personne concernée

avant tout traitement de

données personnelles, sauf

dans certaines conditions

particulières.

https://www.cnil.fr/fr/compteurs-communicants-linky-la-position-de-la-cnil-sur-le-stockage-local-de-la-courbe-de-charge-0



La loi exige également que le traitement automatisé de données à caractère personnel fasse l’objet d’une déclaration

à la CNIL, voire d’une autorisation de cette commission pour certaines catégories de données (données biométriques,

relatives à des infractions…).

Enfin, la loi soumet les responsables de traitements de données à caractère personnel à plusieurs obligations en

matière d’information des personnes dont les données font l’objet d’un traitement et encadre la durée de conserva-

tion des données qui doit être proportionnée à la finalité pour laquelle les données sont collectées.

Cette loi s’applique pleinement aux données issues des réseaux intelligents et aucun instrument juridique supplé-

mentaire n’a dû être adopté pour garantir la confidentialité de ces données. Toutefois, les acteurs du secteur de

l’énergie étant moins familiers de cette réglementation que d’autres secteurs où la gestion des données est une pro-

blématique plus ancienne, la CNIL a précisé dans ses recommandations du 15 novembre 2012 la façon dont celle-ci

s’appliquait au domaine spécifique des réseaux intelligents.

La CNIL a indiqué que les traitements de la courbe de charge ne peuvent être mis en œuvre que pour trois finalités :

la maintenance et le développement du réseau (par les GRD), la mise en place de tarifs adaptés à la consommation

des ménages (par les fournisseurs d’énergie) et la fourniture de services complémentaires (par des sociétés tierces).

Reprenant l’obligation générale prévue par l’article 6 de la loi informatique et libertés, la CNIL a recommandé une

limitation de la durée de conservation des données au temps nécessaire à la réalisation de la finalité pour laquelle

ces données sont collectées17

. Le respect de cette obligation est contrôlé par la CNIL qui peut prononcer des sanc-

tions pécuniaires après mise en demeure des personnes concernées18

. Des sanctions pénales sont également encou-

rues, allant jusqu’à cinq ans d’emprisonnement et 300 000 euros d’amende19

.

En outre, elle a précisé que l’encadrement de la collecte et de l’utilisation de la courbe de charge doit être défini en

fonction du destinataire de cette collecte :

— lorsque le destinataire est le gestionnaire du réseau, la collecte de la courbe de charge doit être effectuée

uniquement lorsque des problèmes d’alimentation sont effectivement détectés et non de façon systéma-

tique ;

— lorsque les destinataires sont des fournisseurs et prestataires de service, et que la courbe de charge est utili-

sée pour la mise en place de tarifs adaptés à la consommation des ménages et la fourniture de services com-

plémentaires, il est nécessaire de recueillir au préalable le consentement exprès des personnes concernées,

qui doit être libre, éclairé et spécifique.

Par ailleurs, la CNIL a élaboré dans le cadre d’un partenariat avec la Fédération des Industries Electriques, Electro-

niques et de Communication (FIEEC) un pack de conformité20

qui se présente comme un guide de bonnes pratiques

à destination des industriels donnant, d’une part, des indications concrètes sur la façon de respecter les textes rela-

tifs à la protection des données personnelles et, d’autre part, des modes opératoires précis.

Ce pack de conformité formule des recommandations sur la façon de traiter les données collectées par les équipe-

ments intelligents en fonction de trois scénarios :

17 Délibération n° 2012-404 du 15 novembre 2012 portant recommandation relative aux traitements des données de consommation détaillées collectées par les compteurs communicants. 18 Articles 45 et suivants de la loi informatique et libertés. 19 Article 226-20 du code pénal. 20 CNIL (2014), « Pack de conformité sur les compteurs communicants »

http://www.cnil.fr/fileadmin/documents/Vos_responsabilites/Packs/Compteurs/Pack_de_Conformite_COMPTEURS_COMMUNICANTS.pdf



— le scénario « in-in », qui concerne la gestion des données collectées dans le logement sans communication

vers l’extérieur (par exemple, les mécanismes de communication entre le thermostat et le chauffage ou les

applications smartphones qui n’envoient de l’information qu’à l’usager). Ce scénario n’impose pas de forma-

lités préalables à la collecte des données mais nécessite des mesures de sécurité pour garantir qu’aucune

personne non-autorisée n’accède aux données ;

— le scénario « in-out », qui s’applique à la gestion des données collectées dans le logement et transmises à

l’extérieur (par exemple, les données de consommation d’électricité transmises à un tiers pour une presta-

tion de rénovation thermique). Le prestataire doit effectuer une déclaration auprès de la CNIL et doit re-

cueillir le consentement préalable de la personne concernée ;

— le scénario « in-out-in » qui concerne la gestion des données collectées dans le logement et transmises à

l’extérieur pour permettre un pilotage à distance de certains équipements du logement (par exemple, sys-

tème de commande à distance de la production d’eau chaude sanitaire). Comme pour le scénario précédent,

le prestataire doit effectuer une déclaration auprès de la CNIL et doit recueillir le consentement préalable

de la personne concernée.

Ainsi, l’application au secteur de l’énergie de la règlementation relative à la protection des données devrait permettre

de prévenir les atteintes à la vie privée que le développement de la digitalisation des réseaux aurait pu risquer de

provoquer. Si la documentation élaborée par la CNIL (recommandations et pack de conformité) ne revêt pas en elle-

même de force juridique contraignante, elle permet de guider les professionnels en illustrant l’application concrète

aux réseaux intelligents de la loi informatique et libertés.

I.a.ii - La règlementation applicable au secteur de l’énergie protège les informations com-

mercialement sensibles

Outre la réglementation relative à la protection des données à caractère personnel, la confidentialité des données

issues des équipements de réseaux intelligents et en particulier des compteurs communicants est garantie par une

réglementation spécifique au secteur de l’énergie, la législation sur les informations commercialement sensibles

(ICS).

Le code de l’énergie impose une protection renforcée des ICS, qui sont des informations collectées par les gestion-

naires de réseaux, d'ordre économique, commercial, industriel, financier ou technique, dont la communication serait

de nature à porter atteinte aux règles de concurrence libre et loyale et de non-discrimination imposées par la loi21

.

Les ICS ont été définies par deux décrets, l’un relatif au gaz22

et l’autre relatif à l’électricité23

. Dans les deux secteurs,

les données relatives aux quantités consommées ou produites ainsi qu’à la qualité de l’énergie sont considérées

comme des ICS. Ainsi, les données collectées par les compteurs communicants ou par les dispositifs de réseaux intel-

ligents bénéficient de la protection particulière des ICS.

21 Articles L. 111-72, L. 111-73 et L. 111-77 du code de l’énergie. 22 Articles R. 111-31 et suivants du code de l’énergie. 23 Articles R. 111-22 et suivants du code de l’énergie.



Au nom de la protection des ICS, les gestionnaires de ré-

seaux qui disposent de ces informations ne sont pas autori-

sés à les communiquer à des tiers autres que l’utilisateur

concerné, propriétaire de ces informations, que sous cer-

taines conditions très strictes et sous réserve que cette

communication ne porte pas atteinte aux règles de concur-

rence libre et loyale24

. La communication d’informations

individualisées est possible seulement si l’utilisateur con-

cerné donne son accord, si les données en cause ne révèlent

pas d’informations concernant d’autres utilisateurs25

. Sinon,

seule une communication sous forme agrégée respectant le

secret statistique est possible.

Rarement évoquée par les acteurs de la révolution numé-

rique des réseaux, et peu citée dans les médias, la législation

relative aux ICS fait l’objet de moins d’attention et de dé-

bats que la réglementation relative à la protection des don-

nées personnelles. Elle n’en demeure pas moins pleinement

applicable à la protection des données individuelles issues des réseaux intelligents et ne doit pas être négligée.

I.b - La sécurisation des données

En plus d’une garantie de confidentialité des données, assurant l’absence de communication non-consentie par les

utilisateurs, la sécurisation de ces données contre les actions malveillantes et le piratage est prévue par la réglemen-

tation.

Déjà, la loi informatique et libertés de 1978 imposait au personnes réalisant des traitements de données personnelles

de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement,

pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des

tiers non autorisés y aient accès ». Cette obligation générale de sécurité s’impose à toutes les catégories de données

personnelles faisant l’objet d’un traitement.

Dans le domaine particulier des réseaux intelligents, la sécurisation des données apparaît comme une condition

nécessaire de la confiance des consommateurs sans laquelle ils ne pourront pas donner leur consentement au recueil

et à l’utilisation des données personnelles les concernant. Le sujet est d’autant plus d’actualité que des systèmes

d’information d’autres secteurs d’activité ont déjà fait l’objet de vol de données personnelles ou de fuites

d’information26

.

L’impératif de sécurité des données issues des réseaux intelligents a été rappelé par l’ensemble des acteurs, notam-

ment l’Union française de l’électricité (UFE) qui a publié une analyse prospective le système électrique en France en

204027

. Selon cette analyse, la question de la sécurité des données sera un sujet essentiel en 2040. En effet, en raison

24 Plusieurs gestionnaires de réseaux publics publient des chartes ou codes d’engagements rappelant la protection particulière des ICS. 25 La transmission d’ICS en-dehors des cas prévus par la loi donne lieu à des sanctions pénales pour le gestionnaire de réseau, sauf si ces informa-tions ont été transmises à un fournisseur sur la base de déclaration frauduleuse selon laquelle il disposerait de l’accord du consommateur (art. 179 de la loi n° 2015-992 du 17 août 2015). 26 En février 2014, 800 000 clients de l’opérateur téléphonique Orange se sont fait voler des informations personnelles stockées sur le site internet de leur fournisseur. Ces données consistaient en les noms, prénoms, adresse postale, mails de contact et numéros de téléphones. Aux Etats-Unis, l’éditeur de logiciels Adobe a également été victime d’un vol de données en 2014 concernant près de 150 millions de clients, les données volées étant notamment des mots de passe et numéros de cartes bancaires. 27 Union française de l’électricité, le système électrique #4.0 au cœur des performances de la « France 2040 ».

Les gestionnaires de réseaux

qui disposent de ces infor-

mations [commercialement

sensibles] ne sont pas

autorisés à les communiquer

à des tiers autres que

l’utilisateur concerné […]

que sous certaines

conditions très strictes.



du développement important des réseaux intelligents et des données échangées, le piratage des réseaux ou la prise

de contrôle d’infrastructures électriques à distance pourraient avoir des conséquences redoutables comme la paraly-

sie du réseau électrique.

Sans attendre 2040, la sécurité des données est d’ores et déjà un enjeu central pour le développement des réseaux

intelligents.

Comme le relève le cabinet Ernst & Young dans une étude sur les réseaux électriques de demain, les réseaux élec-

triques intelligents devraient faire face à de nouveaux risques et de nouvelles menaces de cyberattaques en raison

de l’augmentation de points d’interaction avec le réseau liés aux objets connectés et aux dispositifs d’accès distant au

réseau28

.

La Commission européenne a souligné l’importance de la sécurité des données en réponse aux risques de destruc-

tion ou de divulgation non autorisée. Dans ses recommandations du 9 mars 2012 relatives à la préparation de

l’introduction des systèmes intelligents de mesure, elle a indiqué qu’une des solutions techniques les plus efficaces

contre ces détournements était l’utilisation de canaux chiffrés.

De même, dans ses recommandations du 15 novembre 2012, la CNIL a rappelé que la mise en place des compteurs

communicants présente des risques au regard de la vie privée et a recommandé l’instauration de mesures techniques

fortes garantissant la sécurité des données. Au-delà de la sécurité informatique, la CNIL a recommandé que tous les

acteurs traitant des données collectées par le gestionnaire de réseau mettent en place des mesures de sécurité com-

plémentaires car l’augmentation du niveau de détail des données conduit à une augmentation du risque d’atteinte à

la vie privée.

En réponse au besoin de sécurité, l’arrêté du 4 janvier 2012 définissant les fonctionnalités des compteurs d’électricité

communicants impose que les dispositifs de comptage soient conformes à des référentiels de sécurité approuvés par

le ministre chargé de l’énergie, cette conformité faisant l’objet d’une vérification et d’une certification par l’Agence

nationale de la sécurité des systèmes d’information (ANSSI)29

.

Ainsi, les autorités nationales et européennes ont pris conscience très tôt de l’impératif de la protection de la confi-

dentialité et de la sécurité des données personnelles dans le déploiement des réseaux intelligents.

II. - Les modalités d’utilisation des données dans une économie con-

currentielle et la question de leur gouvernance

La révolution numérique des réseaux place désormais les données au cœur d’un nouveau marché. En effet, la col-

lecte et l’utilisation des données rendent possibles un nombre très important de nouveaux services proposés aux

consommateurs, que ce soit par les acteurs traditionnels du marché de l’énergie (fournisseurs pouvant proposer des

offres à différenciation tarifaire en fonction des heures et des saisons ou la rémunération de l’effacement de con-

sommation) ou par de nouveaux acteurs (prestations de services énergétiques, services liés à l’interconnexion des

objets à l’intérieur des habitations).

28 EY, Smart Grid Insights, Préparer aujourd’hui les réseaux électriques de demain, 2015. 29 Le contrôle de conformité et la certification par l’ANSSI sont régis par le décret n° 2002-535 du 18 avril 2002 relatif à l'évaluation et à la certifica-tion de la sécurité offerte par les produits et les systèmes des technologies de l'information.



Outre cet aspect concurrentiel, les données transmises par les réseaux intelligents permettent une connaissance

plus fine des usages au niveau des territoires et deviennent un outil précieux pour les décideurs publics dans la défi-

nition des politiques énergétiques.

Dans ce contexte, la question de savoir qui peut utiliser les données, quelles données et selon quelles modalités et

pour quels usages est au cœur des préoccupations des consommateurs et des débats entre les acteurs de la transi-

tion énergétique. Il s’agit d’un enjeu économique et concurrentiel considérable car ce sont les données elles-mêmes

et la possibilité de les utiliser qui deviennent un levier de valeur ajoutée.

II.a - La collecte et l’utilisation des données individualisées permettent

l’émergence de nouveaux acteurs dans le secteur de l’énergie, proposant des

services innovants aux consommateurs

Le rôle des données individuelles issues des réseaux intelligents dans le changement de la physionomie du secteur

de l’énergie et l’émergence de nouveaux acteurs doit être distinguée en fonction de la nature de ces données, qui

peuvent être des données collectées en amont du compteur (données collectées par le gestionnaire de réseau, no-

tamment à partir des transmissions des compteurs intelligents) ou des données produites en aval du compteur

(données fournies par des objets communicants déployés dans les installations résidentielles ou les locaux profes-

sionnels).

II.a.i - L’utilisation des données produites en amont du compteur, collectées par les gestion-

naires de réseaux, demeure fortement encadrée

Les données en amont du compteur permettent aux gestionnaires de réseaux, qui en sont détenteurs, de pilo-

ter plus finement le réseau, sans qu’ils soient autorisés à recueillir ces données pour des fins étrangères à

leurs missions de service public.

Les données des réseaux intelligents collectées par les installations mises en place par les gestionnaires de réseaux

(données individuelles de production et de consommation communiquées en temps réel, données techniques, me-

sure de la qualité d’alimentation) sont un outil destiné, en premier lieu, au pilotage des réseaux par les gestionnaires

de réseaux. Ces données permettent de détecter en temps

réel les éventuels dysfonctionnements sur les réseaux, de

mieux organiser les interventions de réparation et de

mieux piloter les flux d’électricité et de gaz.

Au-delà de cette fonction d’aide aux missions de service

public des gestionnaires de réseaux, ces données ont été

rapidement identifiées comme susceptibles de créer de la

valeur pour les personnes pouvant y avoir accès.

En conséquence, la CRE a plusieurs fois rappelé, s’agissant

des compteurs communicants, que leurs fonctionnalités ne

pourraient pas dépasser la mission du gestionnaire de

réseau. Dès 2007, la CRE a indiqué que « ces dispositifs, qui,

conformément à la loi, relèvent des gestionnaires de réseaux de distribution en situation de monopole, devront per-

mettre d’améliorer les conditions dans lesquelles ils accomplissent leurs missions et de rendre possible une diversifica-

tion des offres et une maîtrise de la demande. Ces dispositifs ne devront en aucun cas comporter des fonctionnalités

Les données des réseaux

intelligents collectées par

ces installations sont un

outil destiné, en premier

lieu, au pilotage des réseaux

par les gestionnaires de

réseaux.



dépassant ces finalités et susceptibles d’être exercées dans un cadre concurrentiel »30

. En effet, la loi énumère très

clairement les missions de service public des gestionnaires de réseaux de distribution, parmi lesquelles les activités

de comptage pour les utilisateurs du réseau, en particulier la fourniture, la pose, le contrôle métrologique, l'entretien

et le renouvellement des dispositifs de comptage et la gestion des données31

. Le compteur Linky doit permettre

d’améliorer l’exercice de ces missions, sans entrer dans le champ des activités concurrentielles.

Ainsi, la CRE a considéré que la fonctionnalité du compteur Linky qui permet de lire sur le compteur sa consomma-

tion entre bien dans le champ du service public financé par le tarif d’utilisation du réseau.

Elle a rappelé quatre ans plus tard que « les fonctionnalités supplémentaires demandées par certains acteurs qui relè-

vent du domaine concurrentiel (notamment, l’afficheur déporté) ne sont pas retenues »32

. L’affichage déporté est un

boîtier situé à l’intérieur du logement et distinct du compteur qui peut permettre aux consommateurs de consulter

leur consommation en temps réel ou de l’enregistrer.

Ainsi, le cadre juridique relatif aux dispositifs en amont du compteur garantit que le gestionnaire de réseau est le

détenteur des données qui en sont issues et qui sont la propriété du consommateur. Il est toutefois tenu de mettre

ces données à la disposition des consommateurs ainsi que des tiers désignés par la réglementation.

Le consommateur a la maîtrise des données produites par le compteur, auxquelles il a accès selon des modali-

tés contrôlées par la CRE.

Pour les consommateurs, la connaissance de leurs propres données de consommation journalière à un pas temporel

régulier et de l’évolution de cette consommation ouvre de nouvelles perspectives de maîtrise de la demande et

d’efficacité énergétique.

Le code de l’énergie impose aux gestionnaires de réseaux de donner accès aux consommateurs à leurs propres don-

nées de consommation, sous une forme accessible et harmonisée au niveau national, sous le contrôle de la CRE33

.

Plus spécifiquement, les textes relatifs aux compteurs communicants d’électricité précisent que les utilisateurs ont

la « libre disposition » des données enregistrées par les dispositifs de comptage qui les concernent34

. Les fonctionnali-

tés de ces compteurs doivent ainsi inclure une interface locale de communication électronique accessible à

l’utilisateur35

. Ainsi, pour les données issues des compteurs intelligents, la mise à disposition des consommateurs de

leurs propres données peut être réalisée sur internet ou directement sur les compteurs intelligents36

.

La loi n° 2015-992 du 17 août 2015 relative à la transition énergétique pour la croissance verte a également précisé,

s’agissant des compteurs communicants, que les gestionnaires de réseaux devaient mettre à la disposition des con-

sommateurs « des systèmes d’alerte liés au niveau de leur consommation, ainsi que des éléments de comparaison issus

de moyennes statistiques basées sur les données de consommation locales et nationales »37

.

La même précision a été apportée concernant les compteurs communicants de gaz38

.

30 Communication de la CRE du 6 juin 2007 sur l’évolution du comptage électrique basse tension de faible puissance (≤ 36 kVA). 31 Articles L. 322-8 et suivants du code de l’énergie. 32 Délibération de la CRE du 10 novembre 2011 portant proposition d’arrêté prix en application de l’article 4 du décret n° 2010-1022 du 31 août 2010 relatif aux dispositifs de comptage sur les réseaux publics d’électricité. 33 Article L. 111-75 du code de l’énergie (électricité) et article L. 111-78 (gaz). 34 Article R. 341-5 du code de l’énergie. 35 Arrêté du 4 janvier 2012 pris en application de l’article 4 du décret n° 2010-1022 du 31 août 2010 relatif aux dispositifs de comptage sur les réseaux publics d'électricité (NOR INDR1134076A). 36 Article 10 de la directive 2012/27/UE du 25 octobre 2012 relative à l’efficacité énergétique. 37 Article L. 341-4 du code de l’énergie. 38 Article L. 453-7 du code de l’énergie.



Au-delà de l’accès aux données de comptage, certains consommateurs, qui bénéficient de tarifs sociaux de l’énergie,

se verront proposer par leurs fournisseurs - et non pas par le gestionnaire du réseau - une offre de transmission des

données de consommation exprimées en euros au moyen d’un dispositif déporté qui doit s’afficher, pour l’électricité,

en temps réel39

.

La mise à disposition des données de consommation exprimées en euros au moyen d’un dispositif déporté

d’affichage en temps réel sera progressivement proposée à l’ensemble des consommateurs domestiques après une

évaluation technico-économique menée par la CRE40

.

Les fournisseurs et les tiers ont également un droit d’accès aux données individualisées issues des compteurs

communicants, sous réserve de l’accord exprès des consommateurs.

L’accès aux données de consommation en temps réel permet aux fournisseurs de proposer des offres sur mesure à

leurs clients, incluant une différenciation tarifaire en fonction des heures et des saisons (différenciation horosaison-

nalisée), ce qui est d’ores et déjà possible mais pourrait être affiné, voire intégrant dans les offres de fourniture des

signaux de prix liés aux fluctuations des conditions d’approvisionnement de ces mêmes fournisseurs.

Selon la CRE, le déploiement des compteurs communicants de gaz permettra ainsi un développement de la concur-

rence sur le marché de la fourniture, notamment par l’apparition d’offres plus adaptées aux profils de consomma-

tion des consommateurs ou de nouveaux services de maîtrise de la consommation41

.

Pour les fournisseurs, la possibilité de générer des bénéfices à partir des nouveaux usages permis par les compteurs

évolués dépend en partie de variables encore indéterminées, telles que la rapidité de l’appropriation par les consom-

mateurs des nouvelles pratiques. Elle dépend également de la possibilité qu’ils auront d’accéder aux données pro-

duites par ces compteurs.

Ainsi, pour l’exercice de leurs missions, les fournisseurs d’électricité42

et de gaz43

ont un droit d’accès aux données

individualisées concernant leurs clients, qui sont nécessaires à la facturation. L’accord préalable des clients est, en

revanche, nécessaire pour que les fournisseurs aient accès aux données qui ne sont pas strictement nécessaires à la

facturation (données relatives à la courbe de charge par exemple).

Les données issues des compteurs communicants peuvent également être communiquées à des tiers, qui ne seraient

pas les fournisseurs, uniquement sur accord exprès des utilisateurs concernés.

II.a.ii - L’utilisation des données produites en aval du compteur est un important vecteur de

création de valeur en ouvrant des perspectives de nouveaux marchés, sous condition du

consentement des utilisateurs concernés

Les données produites en aval du compteur sont fournies par des objets communicants déployés dans les installa-

tions résidentielles ou les locaux professionnels. Ces objets permettent la mesure de la consommation électrique

globale de l’installation, la régulation du chauffage par la programmation et le pilotage d’un thermostat communi-

cant, la commande à distance et le diagnostic de consommation des appareils électriques.

39 Articles L. 337-3-1 et L. 445-6 du code de l’énergie. 40 Article 28 de la loi n° 2015-992 du 17 août 2015 relative à la transition énergétique pour la croissance verte. 41 Délibération de la CRE du 21 juillet 2011 portant proposition du lancement de la phase de construction du système de comptage évolué de GrDF. 42 Articles L. 111-75 et L. 111-78 et R. 341-5 du code de l’énergie. 43 Article L. 453-7 du code de l’énergie.



D’un point de vue économique et concurrentiel, il existe un risque de captation de valeur par les opérateurs réussis-

sant à obtenir ces données, qui ne sont pas nécessairement des opérateurs du secteur de l’énergie mais peuvent être

notamment des acteurs d’internet et des nouvelles technologies.

En effet, la gestion et l’exploitation du big data nécessite une expertise spécifique qui ne constitue pas le cœur de

métiers des acteurs de l’énergie que sont les fournisseurs ou les prestataires de services énergétiques.

Avec ces nouveaux objets susceptibles de collecter des données nombreuses et très détaillées sur les usages de con-

sommation énergétique des individus, le secteur de l’énergie pourrait donc changer de physionomie et la valeur éco-

nomique produite pourrait être captée par des acteurs extérieurs à ce secteur.

Cet usage purement concurrentiel des données issues des objets communicants installés par les consommateurs

eux-mêmes n’est pas régulé. Il demeure néanmoins soumis à la réglementation sur la protection de la vie privée et

des données personnelles.

Ainsi d’un point de vue juridique, la collecte et l’utilisation des données issues des objets communicants installés à

l’intérieur des habitations sont susceptibles d’être soumises à la réglementation sur la protection des données per-

sonnelles44

. Le consentement des personnes ou le contrat est donc un préalable obligatoire à tout traitement de ces

données.

Toutefois, il existe un risque de captation des données sur le fondement d’un consentement seulement implicite,

dans la mesure où l’installation même de ces objets relève d’un choix des consommateurs.

C’est dans ce contexte, afin de garantir la protection des données aval compteur collectées par les nouveaux équi-

pements électroniques, que la CNIL a élaboré son pack de conformité destiné à accompagner les industriels du sec-

teur dès la définition de ces nouveaux produits et services en formulant un certain nombre de préconisations dans

la définition même des nouveaux services, ce qui est appelé « privacy by design ».

II.b - Les données agrégées représentent un instrument de planification des poli-

tiques énergétiques et des projets d’aménagements au plan local, sous réserve

de pouvoir les rendre accessibles

Les données issues des réseaux intelligents, dans leur forme agrégée, sont un outil très utile pour la défini-

tion des politiques publiques énergétiques et l’élaboration des projets d’aménagement au niveau local.

Les données de consommation et de production agrégées au niveau local d’un bâtiment collectif, d’un quartier ou

d’un îlot d’habitations, sont une source d’information très efficace pour les opérateurs privés porteurs de projets

d’aménagements mais également pour les collectivités locales, dans leurs missions de politiques énergétiques.

Certains opérateurs privés, exerçant une activité d’aménagement, pourraient utiliser des données agrégées produites

par les réseaux intelligents pour proposer des projets sur mesure directement définis en fonction des contraintes

spécifiques ou des habitudes de consommation de certains quartiers ou ensembles d’habitations. L’accès aux don-

nées agrégées pourrait faciliter la mise en place et le fonctionnement de projets d’éco-quartiers ou d’ensembles

d’immeubles à énergie positive par exemple.

44 On peut s’interroger sur le régime qui sera applicable dans le futur aux données produites par des équipements internes tels que des frigidaires ou des congélateurs, qui ne relèveront peut être pas systématiquement de la protection des données personnelles.



De nombreux projets ou expérimentations témoignent de cet intérêt. Ainsi, à Lyon, le démonstrateur Lyon Smart

Community qui regroupe des bâtiments à énergie positive, un service de véhicule d’auto-partage et des résidences

bénéficiant d’une rénovation énergétique, fonctionne autour d’un pilotage du système énergétique global du quar-

tier, le Community Energy Management System (CEMS). Ce dispositif mis en place par Toshiba collecte et agrège en

temps réel les données de consommation et de production d’électricité du quartier. Il permet un meilleur équilibre

des usages et une planification des consommations très fine, en recentrant le rôle du citoyen dans la démarche

d’efficacité énergétique.

Ces expérimentations peuvent être mises en place au niveau d’une ville entière. Ainsi, aux Etats-Unis, une smart city

a été créée en 2008 dans le Colorado, à Boulder City par la société Xcel Energy. L’accès aux données de consommation

et de production permettait de contrôler à distance les consommations des clients finaux pour effacer certains

clients, en optimisant l’intégration des énergies renouvelables intermittentes.

Outre les projets développés à l’échelle de quartiers ou de villes, des projets de moindre envergure pourraient aussi

être développés par les opérateurs privés (rénovation d’habitats collectifs par les bailleurs sociaux en fonction des

données de consommation des immeubles ou propositions de services d’efficacité énergétique pour des groupes

d’habitations par exemple).

Par ailleurs, comme l’a relevé l’agence de l’environnement et de la maîtrise de l’énergie (ADEME), les données de con-

sommation sous forme agrégées peuvent permettre aux collectivités locales de définir plus finement leurs politiques

énergétiques. Ces données permettent de connaître la consommation réelle d’énergie et ainsi, d’évaluer l’impact

potentiel d’une mesure d’économie d’énergie, d’identifier les zones prioritaires de rénovation et de mieux sensibiliser

les citoyens sur leur consommation d’électricité45

.

Les données agrégées sont également très utiles pour les collectivités locales dans leurs missions de planification

énergétique. Les collectivités locales ont en effet le rôle de définition de plusieurs documents de planification tels

que les schémas régionaux climat air énergie (SRCAE), les schémas régionaux éolien (SRE) ou les plans climat-énergie

territoriaux (PCET).

Les données agrégées peuvent être librement utilisées dès lors qu’elles ne permettent pas d’identifier les con-

sommateurs individuels et ne créent, par conséquent, aucun risque d’atteinte à la vie privée.

A la différence des données individualisées issues des réseaux intelligents et objets connectés, les données agrégées

sont celles qui ne permettent pas de remonter à un consommateur particulier et ne permettent pas de reconstituer

des ICS.

L’agrégation doit être suffisamment large pour écarter le risque d’identification des personnes concernées et pour

considérer que les règles relatives à la protection des données personnelles ne s’appliquent pas et que les données

sont anonymes. Dans son pack de conformité sur les compteurs communicants de mai 2014, la CNIL a notamment

indiqué que pouvaient être considérées comme des données anonymes l’agrégation des données permettant de re-

constituer les courbes de charges issues de dix foyers indépendants ayant le même profil ou un profil de consomma-

tion moyen réalisé sur la base de la moyenne des courbes de charge.

Ainsi, la communication et l’utilisation des données agrégées et anonymes ne sont pas soumises aux contraintes

juridiques applicables aux données individualisées. Ces données peuvent être librement communiquées.

45 Avis de l’ADEME, juillet 2015, Le compteur « Linky ».



S’agissant des collectivités locales, la communication des

données agrégées par les gestionnaires de réseaux est

même une obligation.

Les collectivités locales disposent, en leur qualité d’autorités

concédantes des réseaux publics de distribution, d’un droit

à la communication des informations « d’ordre économique,

commercial, industriel, financier ou technique » relatives

aux réseaux. Ces informations comprennent notamment

les données de consommation et de production46

.

Les gestionnaires de réseaux ont donc l’obligation de tenir à

la disposition des autorités concédantes les données agré-

gées issues des réseaux intelligents, dans le respect des

dispositions réglementaires applicables et des conditions prévues dans le cahier des charges des concessions47

.

La loi n° 2015-992 du 17 août 2015 relative à la transition énergétique pour la croissance verte a par ailleurs introduit de

nouvelles dispositions dans le code de l’énergie imposant au gestionnaire du réseau de transport de mettre à la dis-

position des personnes publiques, à partir des données issues de son système de comptage d’énergie, les données

disponibles de transport dès lors que celles-ci sont utiles à l’accomplissement des missions exercées par ces per-

sonnes publiques. Un projet de décret est actuellement en cours d’élaboration pour préciser la portée de ces disposi-

tions, qui seront applicables à compter du 17 août 201648

. La même obligation s’impose aux gestionnaires de réseaux

de distribution49

.

Vers la création d’un service public de la donnée en matière énergétique ?

Les travaux du débat national sur la transition énergétique en 2013 ont fait apparaître le souhait des différents ac-

teurs de voir renforcer l’accès aux données, notamment au profit des collectivités territoriales. La synthèse des tra-

vaux du débat, publiée en juillet 2013, préconise d’ « assurer une obligation de service de gestion et de communication

des données de consommation portant sur l’électricité, le gaz et la chaleur, en particulier au profit des collectivités

concernées et des autorités concédantes ».

Cette synthèse mentionne également parmi les actions à envisager, la création d’une « base commune nationale sur

les données de la distribution ». Cette proposition vise à constituer une base croisant plusieurs catégories de données

afin de déterminer, à la maille des îlots, les secteurs où la précarité énergétique est la plus forte50

.

La CRE a recommandé que les gestionnaires de réseaux mettent en place des interfaces permettant la mise à dispo-

sition dynamique, à destination des collectivités locales concédantes, des données collectées sur les réseaux intelli-

gents51

.

En réponse, la feuille de route élaborée par ERDF récapitulant les actions mises en œuvre à la suite des recomman-

dations de la CRE indique que le gestionnaire de réseau a engagé des travaux d’enrichissement de son site internet

46 Article L. 2224-31 du code général des collectivités territoriales. 47 Article R. 341-5 du code de l’énergie. 48 Article L. 111-72 du code de l’énergie, quatrième alinéa introduit par l’article 179 de la loi n° 2015-992 du 17 août 2015 relative à la transition énergétique pour la croissance verte. 49 Article L. 111-73 du code de l’énergie introduit par l’article 179 de la loi n° 2015-992 du 17 août 2015 relative à la transition énergétique pour la croissance verte. 50 Rapport du groupe de travail du conseil national n° 8, distribution et réseaux de distribution. 51 Délibération de la CRE du 12 juin 2014 portant recommandations sur le développement des réseaux électriques intelligents en basse tension.

L’agrégation doit être suffi-

samment large pour écarter

le risque d’identification et

pour considérer que les

règles relatives à la protec-

tion des données person-

nelles ne s’appliquent pas.



dédié aux collectivités locales et aux autorités concédantes afin de faciliter par leur dématérialisation, les échanges

d’informations entre ERDF et les acteurs locaux52

.

Cette feuille de route rappelle aussi qu’ERDF rend déjà publiques certaines données, telles que l’historique à pas 30

minutes de l’énergie injectée sur le réseau public de distribution ou les capacités d’accueil des producteurs sur

l’ensemble des postes sources du territoire.

Au-delà des données mises à disposition par les gestionnaires de réseaux, la mise en place d’un véritable service pu-

blic de la donnée, constitutif d’une mission de service public à part entière exercée par un opérateur indépendant des

acteurs en concurrence, qui pourrait être le gestionnaire de réseau ou un tiers chargé par les pouvoirs publics d’une

telle mission, fait l’objet de réflexion entre les acteurs du marché et les consommateurs.

La question de l’évolution juridique accompagnant la révolution numérique n’est d’ailleurs pas propre au secteur de

l’énergie. Dans ce contexte, le projet de loi pour une République numérique propose la création d’un service public de

la donnée, à la charge de l’Etat, consistant à mettre à disposition du public et diffuser un certain nombre de données

de références produites par les administrations, qui pourraient être selon le gouvernement la base adresse nationale,

le cadastre, le référentiel cartographique à grande échelle de l’IGN ou encore la base SIRENE des entreprises de

l’INSEE53

.

La question se pose de savoir qui serait en charge d’agréger ces données, de les anonymiser et de les mettre à disposi-

tion, dans des conditions qui restent à déterminer.

52 Note externe d’ERDF, Actions ERDF couvrant le champ des recommandations de la CRE, version 2 du 23 janvier 2015. 53 Article 9 du projet de loi pour une République numérique enregistré à la présidence de l’Assemblée nationale le 9 décembre 2015 et explication de ces dispositions présentes au stade de l’avant-projet de loi, publié sur le site gouvernemental www.republique-numerique.fr.



La situation en Allemagne

En Allemagne, la situation est différente de celle de la France notamment dans le secteur de l’électricité où il existe de nom-

breux gestionnaires de réseaux de distribution de taille variable. Le déploiement des compteurs communicants n’a pas été

décidé à grande échelle mais seulement pour certains groupes de consommateurs. Pour les petits consommateurs (ceux ayant

une consommation annuelle inférieure à 6 000 kWh) ou les petits producteurs d’énergie renouvelable ou de cogénération

(dont la capacité est inférieure à 7kW), l’installation d’un compteur communicant demeure optionnelle. En effet, en dessous de

ces seuils il est considéré que les économies d’énergie réalisées ne permettraient pas de rentabiliser les coûts générés par

l’installation d’un compteur.

Bien qu’ils ne soient pas généralisés, la mise en place des réseaux intelligents a suscité un débat important en Allemagne sur

la protection des données personnelles et le cadre juridique a dû s’adapter.

La protection des données personnelles issues des réseaux intelligents, en particulier des compteurs communicants, est garan-

tie au niveau législatif par la loi sur l’énergie (Energiewirtschaftsgesetz, EnWG), qui impose le recueil du consentement du

consommateur préalablement à la collecte des données qui le concernent et limite la durée de conservation de ces données.

Cette loi est en cours de réforme et un projet de loi sur la digitalisation de la transition énergétique a été publié (Gesetz zur

Digitalisierung der Energiewende).

En outre, un ensemble de règles plus spécifiques relatives à l’emploi des compteurs d’électricité intelligents a été élaboré par

le bureau fédéral pour la sécurité de l’information (Bundesamt für Sicherheit in der Informationstechnik).

Ces règles instaurent une régulation technique des systèmes de mesure, dans le but de garantir la protection, la sécurité et

l’interopérabilité des données. A titre d’exemples, il est prévu que les compteurs doivent être munis de pare-feux et que les

données doivent être cryptées avant leur transmission. Les règles concernent également la communication des données dans

le but de protéger les données sensibles ou d’éviter la fuite d’informations et la falsification du compteur. Ces règles détermi-

nent qui est en droit d’accéder à quelles informations.

Au regard de ces règles, les compteurs communicants doivent faire l’objet d’un certificat de conformité délivré par le bureau

fédéral pour la sécurité de l’information.

Les données issues des réseaux intelligents Cadre …...Les données issues des réseaux...

Documents

Transcript of Les données issues des réseaux intelligents Cadre …...Les données issues des réseaux...