Vendredi 18 janvier – 9 h 34 – La CNIL vient d’émettre des recommandations quant à la collecte des données par le biais des compteurs dits « intelligents » ou communicants. Celles-ci viennent de paraître au Journal Officiel du 18 janvier 2013.
A compter de cet année, ces smartgrids seront déployés dans toute la France et concerneront 35 millions de foyers d’ici à 2020. La loi n° 2000-108 du 10 février 2000 relative à la modernisation et au développement du service public de l’électricité, a rendu obligatoire la mise en œuvre des compteurs communicants.
La collecte des données est soumise à loi « informatique et libertés ».
Le déploiement de ces compteurs permet de recueillir nombre d’informations sur le comportement des habitants du foyer. Ils peuvent ainsi identifier les heures de lever et de coucher, les heures ou périodes d’absence, le volume d’eau chaude consommée par jour, le nombre de personnes présentes, etc.
Ce sont autant de données stratégiques, socles pour créer et proposer aux consommateurs de nouveaux services (bilan énergétique, conseils en consommations, électricité « sur mesure », alertes sur anomalies…).
Ces compteurs mesurent également la qualité de l’alimentation électrique fournie à l’abonné ;
― les index de consommation : Ils permettent de calculer la consommation d’électricité et sont déjà utilisés par les fournisseurs d’énergie pour procéder à la facturation de leurs clients ;
― la courbe de charge : cette courbe de charge est une nouvelle fonctionnalité offerte qui permet d’avoir une connaissance plus précise de la consommation des ménages afin de leur fournir de nouveaux services (bilan énergétique, conseils en consommations…).
La recommandation
Ainsi, la CNIL vient d’émettre, une recommandation portant sur les traitements de la courbe de charge. Elle ne couvre pas « l’ensemble des traitements pouvant être mis en œuvre à la suite du déploiement des compteurs communicants. L’organisme précise qu’elle « n’est notamment pas applicable :― aux traitements des autres données de consommation collectées par les compteurs, telles que les index de consommation (qui servent à la facturation des clients) et les données mesurant la qualité de l’alimentation électrique ;
― aux traitements de données collectées par des appareils matériels ou logiciels installés hors de l’infrastructure des compteurs (en aval desdits compteurs, par exemple directement sur le tableau électrique), à la demande et sous la maîtrise des usagers, et qui permettent de collecter des données plus détaillées.«
Les conditions de la collecte
La courbe de charge peut être collectée par les compteurs, dans le cadre des finalités ci-dessus mentionnées, dans les conditions suivantes :
Pour la gestion du réseau de distribution :
La commission recommande que la courbe de charge ne puisse être collectée que lorsque des problèmes d’alimentation ont effectivement été détectés.
Les gestionnaires de réseau sont en effet capables d’assurer la maintenance de leur réseau sans avoir à analyser la courbe de charge de façon systématique. Ils peuvent notamment détecter les tronçons du réseau posant problème grâce aux autres données fournies par les compteurs (variation de tension, coupure de l’alimentation, etc.). Ainsi, la collecte systématique de la courbe de charge par les gestionnaires de réseau apparaîtrait comme disproportionnée par rapport à la finalité poursuivie.
A l’inverse, la collecte de la courbe de charge est proportionnée une fois le problème spécifiquement localisé. En effet, cette courbe de charge peut permettre de modéliser le comportement d’une ligne basse tension à partir des courbes de charge des logements alimentés par cette ligne et identifier plus précisément les points du réseau nécessitant d’être renforcés.
Pour la mise en place de tarifs adaptés à la consommation des ménages et la fourniture de services complémentaires :
Pour ces deux finalités, la Commission recommande que la courbe de charge ne puisse être collectée qu’avec le consentement exprès des personnes concernées.
« Ce consentement doit être libre, éclairé et spécifique ». Il doit donc être recueilli pour chaque prestation fournie par les fournisseurs d’énergie ou les sociétés tierces. Dans la mesure où la collecte de la courbe de charge est réalisée par les gestionnaires de réseau, la commission recommande que ces derniers soient chargés du recueil de ce consentement auprès des usagers.
Les modalités de la collecte
La Commission recommande que les « pas » mesurant la courbe de charge ne soit pas inférieurs à 10 minutes afin que les paramètres de réglage des compteurs soient, par défaut, les plus protecteurs possibles pour les usagers et que toute modification du pas de mesure ainsi paramétré soit justifiée par la finalité poursuivie.
La durée de conservation des données
La courbe de charge ne doit être conservée que le temps nécessaire aux finalités pour lesquelles elle est collectée, indique la CNIL. C’est-à-dire, : le temps de la résolution du problème détecté sur le réseau ou de la réalisation des prévisions de travaux à effectuer (pour la gestion du réseau par les gestionnaires de réseau).
Les destinataires des données
Peuvent être destinataires de la courbe de charge les personnes qui, dans le cadre de leur fonction, peuvent légitimement en avoir connaissance au regard des finalités du traitement, à savoir : les personnels dûment habilités des gestionnaires de ce réseau ; les personnels dûment habilités des fournisseurs d’énergie ; les personnels dûment habilités des sociétés tierces.
L’information et les droits des personnes
Les personnes concernées doivent être notamment informées, préalablement à la mise en œuvre du traitement.
Les mesures de sécurité
La commission recommande la mise en place de mesures techniques fortes afin d’assurer la sécurité et la confidentialité des données.
Elle rappelle tout d’abord que l’arrêté du 4 janvier 2012 impose que les dispositifs de comptage soient conformes à des référentiels de sécurité approuvés par le ministre chargé de l’énergie. Cette conformité est vérifiée par une évaluation et une certification de la sécurité des technologies de l’information au sens des dispositions du décret n° 2002-535 du 18 avril 2002 réalisée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Elle recommande la réalisation d’un suivi de l’efficacité des mesures mises en place afin d’assurer leur robustesse dans le temps. Les compteurs doivent notamment pouvoir être mis à jour afin de rester en permanence à l’état de l’art.
Elle indique de réaliser systématiquement des études d’impact sur la vie privée avant de déployer des compteurs communicants et de lui notifier ces études d’impacts.
Elle souhaite, par ailleurs, que les violations de données à caractère personnel soient notifiées aux personnes concernées, d’une part, à la commission, d’autre part, et ce sans attendre l’application du futur règlement européen qui prévoit de telles notifications.
Patrice REMEUR