Les données issues des réseaux intelligents Cadre juridique et enjeux économiques en France Mars 2016
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Les données issues des réseaux intelligents NOTE DE SYNTHÈSE Cadre juridique et enjeux économiques en France Mars 2016 Auteurs : Christine Le Bihan-Graf et Elizabeth Creux Cabinet De Pardieu Brocas Maffei info@de-pardieu.com Contact : Antoine Chapon, OFAEnR antoine.chapon@developpement-durable.gouv.fr Soutenu par: Soutenu par:
Disclaimer Le présent texte a été rédigé par un expert externe pour l’Office franco-allemand pour les énergies renouvelables (OFAEnR). Cette contribution est diffusée via la plateforme proposée par l’OFAEnR. Les points de vue énoncés dans la note représentent exclusivement ceux de l'auteur et n’engagent ni son employeur ni l’OFAEnR. La rédaction a été effectuée avec le plus grand soin. L'OFAEnR décline toute responsabilité quant à l'exactitude et l'exhaustivité des informations contenues dans ce document. Tous les éléments de texte et les éléments graphiques sont soumis à la loi sur le droit d'auteur et/ou d'autres droits de protection. Ces éléments ne peuvent être reproduits, en partie ou entièrement, que suite à l’autorisation écrite de l’auteur ou de l’éditeur. Ceci vaut en particulier pour la reproduction, l’édition, la traduction, le traitement, l’enregistrement et la lecture au sein de banques de données ou autres médias et systèmes électroniques. L’OFAEnR n’a aucun contrôle sur les sites vers lesquels les liens qui se trouvent dans ce document peuvent vous mener. Un lien vers un site externe ne peut engager la responsabilité de l’OFAEnR concernant le contenu du site, son utilisation ou ses effets. Les données issues des réseaux intelligents Cadre juridique et enjeux économiques en France 2
Résumé La question de la protection et de l’utilisation des données se pose, en général, dans le cadre de l’évolution numérique de secteurs dans lesquels il existe une profusion de données et d’opérateurs susceptibles de les capter et de les valo- riser (commerce en ligne ou communications électroniques en particulier). Aujourd’hui, la révolution numérique concerne également le secteur de l’énergie avec le développement des réseaux intelligents qui accompagnent la tran- sition énergétique. Ces réseaux intelligents concernent principalement le gaz et l’électricité, mais également d’autres énergies fonctionnant en réseaux comme l’eau ou la chaleur. La mise en œuvre de la transition énergétique est donc indissociable d’une réflexion sur l’utilisation et la gestion de ces données issues des nouvelles technologies de l’information et de la communication (NTIC). Cette réflexion concerne également leur protection lorsque les données constituent des données individuelles qui offrent un accès à des informations personnelles ou commercialement sensibles. La protection de la confidentialité des données individuelles inclut leur sécurisation, notamment contre des actions malveillantes de piratage. La protection de la confidentialité des données à caractère personnel est régie par la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés qui impose plusieurs contraintes pour les réseaux intelligents, depuis la conception des équipements jusqu’au traitement des données collectées. Pour permettre aux professionnels de l’énergie de mieux se conformer à cette réglementation, la commission nationale de l’informatique et des libertés (CNIL) a élaboré une documentation permettant d’illustrer l’application concrète de la loi aux réseaux intelligents. En outre, la règlementation applicable au secteur de l’énergie protège la confidentialité des informations commercia- lement sensibles. Par ailleurs, la sécurisation de ces données contre les actions malveillantes et le piratage est prévue par la réglemen- tation. Ainsi, l’arrêté du 4 janvier 2012 définissant les fonctionnalités des compteurs d’électricité communicants im- pose que la conformité des dispositifs de comptage à des référentiels de sécurité approuvés par le ministre chargé de l’énergie. Cette conformité fait l’objet d’une vérification et d’une certification par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Une fois résolues les difficultés relatives à la protection des données individuelles et des informations commercia- lement sensibles, l’utilisation des données entraîne un bouleversement de la physionomie du secteur de l’énergie. La connaissance des données rend possibles un nombre très important de nouveaux services proposés par une multi- tude d’acteurs, qui ne sont plus nécessairement les seuls fournisseurs d’énergie. Les données transmises par les réseaux intelligents permettent également une connaissance plus fine des usages au niveau des territoires et deviennent un outil précieux notamment pour les décideurs publics dans la définition des politiques énergétiques. Dans ce contexte, l’utilisation des données reste très encadrée lorsqu’il s’agit de données individuelles. Les gestion- naires de réseau, dépositaires de ces données, ne peuvent les utiliser que pour la réalisation de leurs missions de service public. Le consentement des utilisateurs est requis pour toute transmission et tout traitement de ces don- nées par les fournisseurs ou les tiers. Face à ces contraintes, de nombreux acteurs demandent la mise en place d’un service public de gestion des données, à la main du gestionnaire de réseau ou d’un opérateur tiers indépendant. L’objectif serait de constituer une base de données agrégées, permettant de s’affranchir des contraintes propres aux données individuelles, tout en bénéficiant d’un outil très utile tant pour les aménagements locaux que pour la définition des politiques énergétiques au plan territorial. Les données issues des réseaux intelligents Cadre juridique et enjeux économiques en France 3
Sur les auteurs et la publication Au sein du cabinet De Pardieu Brocas Maffei, le département droit public économique et activités industrielles régu- lées, dirigé par Christine Le Bihan-Graf, a développé une compétence approfondie sur les problématiques relatives au droit de l’énergie et apporte son expertise à des acteurs des secteurs économiques réglementés (énergie, télécom- munications, médias, transports, défense, finances,...) et des services collectifs (eaux, déchets, énergies, transports). Le département intervient auprès de grands groupes industriels, d'établissements bancaires, d'opérateurs de ser- vices, mais aussi de l’État, de grandes collectivités locales et d'entreprises publiques, en France ou à l’étranger, en particulier en Europe. La présente contribution n’engage que ses auteurs et en aucun cas le cabinet De Pardieu Brocas Maffei. Les données issues des réseaux intelligents Cadre juridique et enjeux économiques en France 4
Contenu Disclaimer 2 Résumé 3 Sur les auteurs et la publication 4 Introduction 6 I. - Le cadre juridique de la protection de la confidentialité et de la sécurité des données issues des réseaux intelligents 8 I.a - La confidentialité des données est protégée en application du cadre juridique relatif aux données à caractère personnel et des règles sectorielles relatives aux informations commercialement sensibles 8 I.b - La sécurisation des données 14 II. - Les modalités d’utilisation des données dans une économie concurrentielle et la question de leur gouvernance 15 II.a - La collecte et l’utilisation des données individualisées permettent l’émergence de nouveaux acteurs dans le secteur de l’énergie, proposant des services innovants aux consommateurs 16 II.b - Les données agrégées représentent un instrument de planification des politiques énergétiques et des projets d’aménagements au plan local, sous réserve de pouvoir les rendre accessibles 19 Les données issues des réseaux intelligents Cadre juridique et enjeux économiques en France 5
Introduction Avec la révolution numérique, la question de l’utilisation et de la protection des données est devenue cruciale en raison de l’augmentation exponentielle de ces données et de leur accessibilité à une multitude d’acteurs. Dans les secteurs tels que le commerce en ligne ou les communications électroniques, un véritable marché pour les échanges de données s’est développé et la concurrence se concentre sur la captation et la valorisation de ces données. Ce sujet est l’objet de réflexions plus récentes dans le secteur de l’énergie qui restait jusqu’ici moins familier du trai- tement, de la valorisation et de la protection des données même si les différents acteurs se sont progressivement mobilisés pour s’adapter à l’évolution du secteur. En effet, la progression des technologies numériques dans ce sec- teur, en raison du développement des réseaux intelligents qui accompagnent la transition énergétique, entraîne une véritable explosion des données disponibles à gérer et à valoriser. La première brique du développement des réseaux intelligents dans le secteur de l’électricité en France est la mise en place du compteur d’électricité intelligent Linky dont le déploiement a été décidé par la loi n° 2005-781 du 13 juillet 1 2005 de programme fixant les orientations de la politique énergétique . Ce compteur paramétrable et communicant collecte des données sur la consommation (quantité consommée par intervalle horaire ou puissance sollicitée par le consommateur) et peut envoyer de l’information au client lui-même, notamment vers des équipements internes au foyer, ou vers des tiers (gestionnaire de réseaux, fournisseurs, prestataires de services énergétiques). Le compteur communicant Linky a vocation à être déployé dans 35 millions de foyers en France d’ici 2021 et devrait remplacer 2 90% des anciens compteurs . En gaz, le déploiement généralisé du compteur évolué Gazpar a été approuvé par une décision de la ministre de l’Écologie, du Développement durable et de l’Énergie et du ministre de l’Économie, de l’Industrie et du Numérique en date du 23 septembre 2014 et sera mis en œuvre à compter de 2017. Ce compteur permettra notamment la relève à 3 distance et la transmission des index réels de consommation. Il sera déployé dans 11 millions de foyers d’ici 2022 . La pose de ces compteurs est à la charge des gestionnaires de réseaux de distribution. L’investissement prévu s’élève à 1 milliard d’euros pour le déploiement des compteurs communicants de gaz et à 5 milliards d’euros pour 4 l’électricité . Le coût de ces équipements sera mutualisé entre tous les consommateurs à travers le tarif d’utilisation du réseau. Outre les compteurs communicants, les réseaux sont progressivement équipés de capteurs intelligents et de nou- veaux objets connectés sont installés chez les consommateurs. Tous ces équipements entraînent une explosion du nombre de données disponibles, qui permettent de mesurer la qualité de l’énergie distribuée, la consommation en temps réel des foyers et des entreprises ou encore la production injectée dans les réseaux. Ces données sont centrales pour la transition énergétique. En effet, le développement décentralisé des énergies re- nouvelables variables et des nouveaux usages (le véhicule électrique notamment) imposent de moderniser le sys- tème électrique pour qu’il puisse être piloté de manière plus flexible et entraînent la digitalisation des technologies. En retour, la digitalisation des technologies dans le secteur de l’énergie facilite la progression de la transition énergé- 1 Codifié à l’article L. 341-4 du code de l’énergie. 2 Informations sur le déploiement disponible sur le site institutionnel d’ERDF. 3 Informations sur le déploiement disponible sur le site institutionnel de GRDF. 4 Environnement-magazine.fr, « Le déploiement des compteurs communicants Linky et Gazpar monte en puissance », 29 janvier 2016 Les données issues des réseaux intelligents Cadre juridique et enjeux économiques en France 6
tique car la meilleure connaissance des usages permet de faciliter les actions de maîtrise de la demande et d’améliorer la performance énergétique. Les données sont donc au cœur d’un changement de la physionomie du secteur de l’énergie en ouvrant de nouvelles possibilités de création de valeur. Elles offrent des opportunités inédites aux acteurs du monde de l’énergie dans plusieurs domaines (gestion de l’énergie, exploitation des réseaux ou proposition de nouveaux services aux clients en matière de prestations de service énergétique ou de flexibilisation des offres de fourniture…) à condition que ces acteurs sachent tirer parti de ces données et que le cadre juridique permette de les exploiter. Ces données doivent, en effet, avoir une valeur économique, ce qui suppose de savoir les exploiter afin qu’elles de- viennent une source de revenu et confèrent à leur détenteur un avantage compétitif, ce qui n’est pas nécessairement évident pour les acteurs du secteur de l’énergie qui devront faire face au traitement complexe qu’elles imposent et à la question de leur valorisation. La réussite de l’exploitation économique des données issues des nouvelles technologies de l’information et de la communication (NTIC) suppose de résoudre deux problématiques centrales, celle de la gouvernance de ces données (qui doit y avoir accès et qui doit les gérer ?) et celle du modèle économique de la gestion de ces données (quelles sont les potentialités de valorisation de ces données et quelles sont les nouveaux services qui peuvent être développés ?). La collecte de ces données soulève aussi des questions en matière de protection de la vie privée puisqu’une grande partie des données ont le caractère de données personnelles, qui concernent des usages de la vie privée. En effet, si les compteurs intelligents ne font pas remonter vers le gestionnaire de réseaux des informations concernant la na- ture des équipements utilisés par un foyer, ils donnent des indications sur les heures de présence et d’absence dans l’habitation. D’autres équipements, comme par exemple les objets connectés installés dans les habitations, permet- tront au surplus de connaître les usages précis des consommateurs ou encore le nombre de personnes présentes au sein du foyer. La mise en œuvre de la transition énergétique est donc indissociable d’une réflexion sur l’utilisation, le traitement et la protection de ces données issues des NTIC. Cette réflexion doit appréhender le cadre juridique de la protection de la confidentialité et de la sécurisation des données issues des réseaux intelligents (partie I) ainsi que la question des modalités de leur utilisation et de leur gouvernance (partie II). Les données issues des réseaux intelligents Cadre juridique et enjeux économiques en France 7
I. - Le cadre juridique de la protection de la confidentialité et de la sécurité des données issues des réseaux intelligents La protection juridique de la confidentialité des données concerne les données personnelles et les informations commercialement sensibles. Si toutes les données produites par les réseaux intelligents ne tombent pas nécessaire- ment sous le coup de l’une ou l’autre de ces réglementations (les données techniques issues du fonctionnement des réseaux ne sont pas des données personnelles), une grande partie d’entre elles est concernée par la protection juri- dique. En effet, ces réglementations s’appliquent à toutes les données individuelles permettant de remonter à une personne physique (données personnelles) ou aux données collectées par les gestionnaires de réseaux comportant des informations relatives aux quantités consommées ou produites par les installations raccordées (informations commercialement sensibles). En conséquence, le développement des réseaux intelligents est très encadré par ces 5 réglementations . I.a - La confidentialité des données est protégée en application du cadre juri- dique relatif aux données à caractère personnel et des règles sectorielles rela- tives aux informations commercialement sensibles I.a.i - La protection des données à caractère personnel impose plusieurs contraintes pour les réseaux intelligents, depuis la conception des équipements jusqu’au traitement des données collectées Des dispositifs de collecte et de traitement des données seront installés sur les réseaux afin d’optimiser la production et l’acheminement de l’électricité, d’améliorer l’intégration des énergies renouvelables décentralisées et de fiabiliser la facturation des consommateurs grâce à une connaissance quasiment en temps réel de leur consommation. Le régime juridique de droit commun applicable aux données à caractère personnel s’applique aux données issues des réseaux intelligents. En droit interne, la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi informatique et libertés) organise la protection des données personnelles sous le contrôle de la commission nationale de l’informatique et des libertés (CNIL). Cette loi a un champ d’application large, dès lors que sont considérées comme des données à caractère personnel toutes les informations relatives à une personne physique identifiée ou identifiable, directement ou indirectement. Ces données ne sont pas nécessairement nominatives. Il peut s’agir de toutes les informations permettant de remon- ter jusqu’à un abonné telles que l’adresse postale ou la courbe de charge individualisée. Si les données techniques générées en amont des compteurs communicants ne devraient pas être qualifiées de don- nées à caractère personnel dès lors qu’elles ne sont pas spécifiquement reliées à une personne physique et sont des données techniques, les données collectées par les compteurs communicants ou en aval de ces derniers sont suscep- tibles d’être reliées à une personne physique. Tel est bien le cas, en effet, des index de consommation (données de comptage indiquant le volume de la consommation en vue de la facturation) ou des courbes de charge (relevés de la 5 Au regard de la profusion de données produites par les NTIC, de nombreuses réglementations s’appliquent (règlementation relative à la communi- cation des documents administratifs, législation sur la statistique, règlementation applicable aux données patrimoniales…). Ainsi, si la présente contribution se concentre sur les réglementations relatives aux données personnelles et aux informations commercialement sensibles, celles-ci ne sont pas exclusives de l’application d’autres législations. Les données issues des réseaux intelligents Cadre juridique et enjeux économiques en France 8
consommation à intervalles horaires réguliers fournissant un profil de consommation) qui sont ceux d’un consom- mateur en particulier. En outre, la possibilité pour des tiers d’accéder en temps réel à ces données et de les croiser 6 avec d’autres données disponibles pour proposer de nouveaux services adaptés à chaque profil de consommation posent des problèmes de protection de la vie privée qui sont bien dans le champ de la loi informatique et libertés. La loi couvre tous les traitements de ces données et donne également une définition large des traitements. Ainsi, la seule collecte d’informations à caractère personnel constitue un traitement de ces données au sens de la loi, de même que leur conservation. Face au développement des réseaux intelligents imposé par les directives du 13 juillet 2009 relatives aux marchés du 7 gaz et de l’électricité , la Commission européenne s’est rapidement saisie de la question de la protection des données 8 appliquée aux réseaux intelligents et a adopté des de recommandations . Un nouveau paquet sur la protection des données personnelles devrait être adopté en 2016 rénovant le cadre actuel issu de la directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traite- ment des données à caractère personnel et à la libre circulation de ces données, comprenant un règlement général couvrant l’essentiel du traitement des données personnelles et une directive visant à prévenir, détecter ou pour- 9 suivre les infractions pénales ainsi qu’à les sanctionner . Ce cadre juridique relatif à la protection des données personnelles, issu du droit interne ou du droit de l’Union euro- péenne, impose de nombreuses contraintes au développement des réseaux intelligents qui couvrent toutes les étapes de leur déploiement. Avant leur généralisation, il est préconisé que les équipements de réseaux intelligents fassent l’objet d’une analyse d’impact en matière de protection des données personnelles. Dans sa recommandation du 9 mars 2012 relative à la préparation de l’introduction des systèmes intelligents de me- sure, la Commission européenne a préconisé la réalisation d’études d’impact devant permettre d’identifier d’emblée les risques que le développement des réseaux intelligents fait peser sur la protection des données. La Commission européenne a confié en 2012 à un groupe d’experts, auquel la Commission de régulation de l’énergie (CRE) a participé, une mission d’élaboration d’un modèle d’analyse d’impact relative à la protection des données pour les réseaux intelligents et les systèmes de relevés intelligents. Ce modèle d’analyse d’impact a été soumis au cours de son élaboration au groupe de travail « Article 29 », organe consultatif européen indépendant sur la protection des 10 données et de la vie privée, dont les recommandations ont été prises en compte pour la définition du modèle . 6 Pour créer des profils de consommation, d’autres données pourraient être utilisées comme le profil des consommateurs (âge, nombre de per- sonnes résidant dans le foyer, profession), le statut de la résidence concernée (résidence principale ou secondaire). Ces données croisées avec les données de consommation permettraient aux fournisseurs, par exemple, de proposer des offres à différenciation tarifaire sur-mesure pour les consommateurs (par exemple, une différenciation week-ends/semaine pour les résidences secondaires). 7 Directive 2009/72/CE du Parlement européen et du Conseil du 13 juillet 2009 concernant des règles communes pour le marché intérieur de l’électricité ; directive 2009/73/CE du 13 juillet 2009 concernant des règles communes pour le marché intérieur du gaz naturel. 8 Recommandation du 9 mars 2012 relative à la préparation de l’introduction des systèmes intelligents de mesure ; mise en place d’un groupe de travail sur un modèle d’analyse d’impact relative à la protection des données pour les réseaux intelligents et les systèmes de relevés intelligents. 9 Un accord politique sur le paquet sur la protection des données personnelles a été adopté le 15 décembre 2015. Les textes devraient être adoptés par le Parlement au printemps 2016. Pour des précisions sur le contenu du paquet : Parlement européen, Questions – Réponses sur la réforme du régime de protection des données de l’UE, 24 juin 2015. 10 Le dernier avis du groupe de travail est en date du 4 décembre 2013 : avis 07/2013 sur le modèle d’analyse d’impact relative à la protection des données pour les réseaux intelligents et les systèmes de relevés intelligents (modèle d’AIPD) élaboré par le groupe d’experts 2 de la task force sur les réseaux intelligents de la Commission, 2014/13/FR. Les données issues des réseaux intelligents Cadre juridique et enjeux économiques en France 9
11 Le modèle d’analyse d’impact, dont la dernière version date du 18 mars 2014 , fournit une grille d’examen sous forme de questions permettant d’identifier et évaluer les risques que font peser les NTIC sur la protection des données. Le résultat doit aider les décideurs publics à faire des choix utiles et protecteurs des données pour le déploiement des réseaux intelligents. L’importance et l’utilité de la réalisation d’études d’impact préalables au déploiement des équipements de réseaux intelligents, conformément au modèle d’analyse d’impact européen, a été affirmée par la CRE dans sa délibération de la CRE du 12 juin 2014 portant recommandations sur le développement des réseaux électriques en basse tension, bien qu’il ne s’agisse pas, à ce stade, d’une obligation légale. Le projet de règlement général en cours d’adoption dans le cadre du nouveau paquet sur la protection des données personnelles au plan européen rendrait obligatoires, sous certaines conditions, les analyses d’impact relatives à la protection des données personnelles avant la mise en place de traitements de ces données. Dès la phase de conception des équipements, leurs fonctionnalités techniques sont définies dans l’objectif de respecter les exigences relatives à la protection des données. La Commission européenne a préconisé que la protection des données soit intégrée dans les fonctionnalités des équipements dès leur conception et que leurs paramétrages par défaut soient les plus protecteurs possible de la 12 sécurité et de la confidentialité des informations personnelles . De son côté, dans un objectif de protection de la vie privée, la CNIL a interdit, s’agissant des compteurs d’électricité communicants, la collecte des données relatives à la consommation à un pas de temps inférieur à dix minutes pour éviter une connaissance trop précise de la consommation d’électricité. C’est en application de ces recommandations de la CNIL que les fonctionnalités générales des compteurs communi- cants d’électricité ont été définies. Ainsi, l’arrêté du 4 janvier 2012 définissant les fonctionnalités des compteurs d’électricité communicants prévoit que les relevés de consommation sont réalisés à un pas de temps qui ne peut être inférieur à dix minutes. Cette limita- tion ne concerne toutefois que les installations raccordées en basse tension pour une puissance inférieure ou égale à 36 kVA, qui correspondent en majorité aux installations des particuliers, tandis que les installations raccordées à une puissance supérieure peuvent donner lieu à des relevés plus réguliers. Par ailleurs, les exigences relatives à la protection des données sont respectées puisque les compteurs intelligents Linky ne font remonter que des informations qui concernent la consommation totale du consommateur et ne per- 13 mettent donc pas de distinguer des usages spécifiques . La collecte et le traitement des données issues des réseaux intelligents sont soumis à de nombreuses obliga- tions garantissant la protection de la confidentialité des données personnelles. Le développement des réseaux intelligents entraînant le traitement de nombreuses données a rapidement donné lieu à des interrogations et inquiétudes de la part des consommateurs sur le niveau de protection de ces données. 11 Data Protection Impact Assessment Template for Smart Grid and Smart metering systems. 12 Recommandation de la Commission européenne du 9 mars 2012 relative à la préparation de l’introduction des systèmes intelligents de mesure. 13 Rép. min. à la QE n° 86945 du 31 août 2010, JOAN du 08/11/2011 page 11838. Les données issues des réseaux intelligents Cadre juridique et enjeux économiques en France 10
Plusieurs députés ont d’ailleurs relayé ces inquiétudes en posant des questions au gouvernement sur le niveau de 14 protection des données offerts par les compteurs intelligents . Les exemples européens ont révélé la difficulté d’acceptation sociale que pourrait soulever la généralisation des compteurs communicants, en raison du risque d’atteinte à la vie privée. Ainsi, aux Pays-Bas, la mobilisation des asso- ciations de consommateurs a provoqué le retrait du projet de loi sur la généralisation de ces compteurs en 2009. Le dispositif adopté en 2010 prévoit un déploiement sur la base du volontariat et soumet la mise en place d’un relevé détaillé de consommation à l’accord du consommateur. Dès 2010, des travaux ont été menés en France entre la CNIL et la CRE sur la mise en œuvre des compteurs intelli- gents, portant notamment sur la question du traitement des données collectées par ces équipements. La CNIL a adopté, le 15 novembre 2012, une recommandation fixant le cadre et les conditions dans lesquelles les don- 15 nées de consommation issues des compteurs communicants d’électricité peuvent être collectées et traitées . Dans cette recommandation, la CNIL rappelle que le futur déploiement des compteurs communicants va entraîner un nombre très important de données collectées, notamment des données relatives à la qualité de l’alimentation électrique fournie à l’abonné ou des index de consommation qui sont d’ores et déjà des données utilisées et traitées. Surtout, les compteurs intelligents offrent une nouvelle fonctionnalité en permettant de collecter des informations relatives à la courbe de charge, constituée d’un relevé à intervalles réguliers de la consommation électrique de l’abonné qui permettrait, selon la CNIL, d’avoir des informations précises sur les habitudes de vie des personnes concernées (identification des heures de lever et de coucher, des périodes d’absence, voire le volume d’eau chaude consommée par jour ou encore le nombre de personnes présentes dans le logement). La CNIL a donc souhaité encadrer les conditions de collecte et d’utilisation de cette courbe de charge par les compteurs La loi informatique et communicants, en rappelant que ces opérations sont sou- mises à la loi informatique et libertés. En revanche, elle a libertés impose le recueil du récemment confirmé que le stockage de la courbe de charge par les compteurs, sans remontée de l’information vers le consentement préalable de gestionnaire de réseau, était conforme aux exigences de la 16 loi informatique et libertés . la personne concernée D’une manière générale, la loi informatique et libertés im- avant tout traitement de pose le recueil du consentement préalable de la personne concernée avant tout traitement de données personnelles, données personnelles, sauf sauf dans certaines conditions particulières (lorsque le trai- dans certaines conditions tement de ces données relève d’une obligation légale, de l’exécution d’une mission de service public ou d’un contrat particulières. par exemple). Les personnes concernées disposent d’un droit d’accès et de rectification des données qui les concernent et peuvent s’opposer, pour des motifs légitimes, au traitement de leurs données. 14 Voir notamment Rép. min. à la QE n° 86945 du 31 août 2010, JOAN du 08/11/2011 page 11838 ; Rép. min. à la QE n° 33254 du 23 juillet 2013, JOAN du01/10/2013. 15 Délibération n° 2012-404 du 15 novembre 2012 portant recommandation relative aux traitements des données de consommation détaillées collectées par les compteurs communicants. 16 Pour plus d’informations, voir la position de la CNIL sur le stockage de la courbe de charge, en date du 30 novembre 2015 Les données issues des réseaux intelligents Cadre juridique et enjeux économiques en France 11
La loi exige également que le traitement automatisé de données à caractère personnel fasse l’objet d’une déclaration à la CNIL, voire d’une autorisation de cette commission pour certaines catégories de données (données biométriques, relatives à des infractions…). Enfin, la loi soumet les responsables de traitements de données à caractère personnel à plusieurs obligations en matière d’information des personnes dont les données font l’objet d’un traitement et encadre la durée de conserva- tion des données qui doit être proportionnée à la finalité pour laquelle les données sont collectées. Cette loi s’applique pleinement aux données issues des réseaux intelligents et aucun instrument juridique supplé- mentaire n’a dû être adopté pour garantir la confidentialité de ces données. Toutefois, les acteurs du secteur de l’énergie étant moins familiers de cette réglementation que d’autres secteurs où la gestion des données est une pro- blématique plus ancienne, la CNIL a précisé dans ses recommandations du 15 novembre 2012 la façon dont celle-ci s’appliquait au domaine spécifique des réseaux intelligents. La CNIL a indiqué que les traitements de la courbe de charge ne peuvent être mis en œuvre que pour trois finalités : la maintenance et le développement du réseau (par les GRD), la mise en place de tarifs adaptés à la consommation des ménages (par les fournisseurs d’énergie) et la fourniture de services complémentaires (par des sociétés tierces). Reprenant l’obligation générale prévue par l’article 6 de la loi informatique et libertés, la CNIL a recommandé une limitation de la durée de conservation des données au temps nécessaire à la réalisation de la finalité pour laquelle 17 ces données sont collectées . Le respect de cette obligation est contrôlé par la CNIL qui peut prononcer des sanc- 18 tions pécuniaires après mise en demeure des personnes concernées . Des sanctions pénales sont également encou- 19 rues, allant jusqu’à cinq ans d’emprisonnement et 300 000 euros d’amende . En outre, elle a précisé que l’encadrement de la collecte et de l’utilisation de la courbe de charge doit être défini en fonction du destinataire de cette collecte : — lorsque le destinataire est le gestionnaire du réseau, la collecte de la courbe de charge doit être effectuée uniquement lorsque des problèmes d’alimentation sont effectivement détectés et non de façon systéma- tique ; — lorsque les destinataires sont des fournisseurs et prestataires de service, et que la courbe de charge est utili- sée pour la mise en place de tarifs adaptés à la consommation des ménages et la fourniture de services com- plémentaires, il est nécessaire de recueillir au préalable le consentement exprès des personnes concernées, qui doit être libre, éclairé et spécifique. Par ailleurs, la CNIL a élaboré dans le cadre d’un partenariat avec la Fédération des Industries Electriques, Electro- 20 niques et de Communication (FIEEC) un pack de conformité qui se présente comme un guide de bonnes pratiques à destination des industriels donnant, d’une part, des indications concrètes sur la façon de respecter les textes rela- tifs à la protection des données personnelles et, d’autre part, des modes opératoires précis. Ce pack de conformité formule des recommandations sur la façon de traiter les données collectées par les équipe- ments intelligents en fonction de trois scénarios : 17 Délibération n° 2012-404 du 15 novembre 2012 portant recommandation relative aux traitements des données de consommation détaillées collectées par les compteurs communicants. 18 Articles 45 et suivants de la loi informatique et libertés. 19 Article 226-20 du code pénal. 20 CNIL (2014), « Pack de conformité sur les compteurs communicants » Les données issues des réseaux intelligents Cadre juridique et enjeux économiques en France 12
— le scénario « in-in », qui concerne la gestion des données collectées dans le logement sans communication vers l’extérieur (par exemple, les mécanismes de communication entre le thermostat et le chauffage ou les applications smartphones qui n’envoient de l’information qu’à l’usager). Ce scénario n’impose pas de forma- lités préalables à la collecte des données mais nécessite des mesures de sécurité pour garantir qu’aucune personne non-autorisée n’accède aux données ; — le scénario « in-out », qui s’applique à la gestion des données collectées dans le logement et transmises à l’extérieur (par exemple, les données de consommation d’électricité transmises à un tiers pour une presta- tion de rénovation thermique). Le prestataire doit effectuer une déclaration auprès de la CNIL et doit re- cueillir le consentement préalable de la personne concernée ; — le scénario « in-out-in » qui concerne la gestion des données collectées dans le logement et transmises à l’extérieur pour permettre un pilotage à distance de certains équipements du logement (par exemple, sys- tème de commande à distance de la production d’eau chaude sanitaire). Comme pour le scénario précédent, le prestataire doit effectuer une déclaration auprès de la CNIL et doit recueillir le consentement préalable de la personne concernée. Ainsi, l’application au secteur de l’énergie de la règlementation relative à la protection des données devrait permettre de prévenir les atteintes à la vie privée que le développement de la digitalisation des réseaux aurait pu risquer de provoquer. Si la documentation élaborée par la CNIL (recommandations et pack de conformité) ne revêt pas en elle- même de force juridique contraignante, elle permet de guider les professionnels en illustrant l’application concrète aux réseaux intelligents de la loi informatique et libertés. I.a.ii - La règlementation applicable au secteur de l’énergie protège les informations com- mercialement sensibles Outre la réglementation relative à la protection des données à caractère personnel, la confidentialité des données issues des équipements de réseaux intelligents et en particulier des compteurs communicants est garantie par une réglementation spécifique au secteur de l’énergie, la législation sur les informations commercialement sensibles (ICS). Le code de l’énergie impose une protection renforcée des ICS, qui sont des informations collectées par les gestion- naires de réseaux, d'ordre économique, commercial, industriel, financier ou technique, dont la communication serait 21 de nature à porter atteinte aux règles de concurrence libre et loyale et de non-discrimination imposées par la loi . 22 23 Les ICS ont été définies par deux décrets, l’un relatif au gaz et l’autre relatif à l’électricité . Dans les deux secteurs, les données relatives aux quantités consommées ou produites ainsi qu’à la qualité de l’énergie sont considérées comme des ICS. Ainsi, les données collectées par les compteurs communicants ou par les dispositifs de réseaux intel- ligents bénéficient de la protection particulière des ICS. 21 Articles L. 111-72, L. 111-73 et L. 111-77 du code de l’énergie. 22 Articles R. 111-31 et suivants du code de l’énergie. 23 Articles R. 111-22 et suivants du code de l’énergie. Les données issues des réseaux intelligents Cadre juridique et enjeux économiques en France 13
Au nom de la protection des ICS, les gestionnaires de ré- seaux qui disposent de ces informations ne sont pas autori- Les gestionnaires de réseaux sés à les communiquer à des tiers autres que l’utilisateur concerné, propriétaire de ces informations, que sous cer- qui disposent de ces infor- taines conditions très strictes et sous réserve que cette communication ne porte pas atteinte aux règles de concur- mations [commercialement 24 rence libre et loyale . La communication d’informations individualisées est possible seulement si l’utilisateur con- sensibles] ne sont pas cerné donne son accord, si les données en cause ne révèlent 25 pas d’informations concernant d’autres utilisateurs . Sinon, autorisés à les communiquer seule une communication sous forme agrégée respectant le à des tiers autres que secret statistique est possible. l’utilisateur concerné […] Rarement évoquée par les acteurs de la révolution numé- rique des réseaux, et peu citée dans les médias, la législation que sous certaines relative aux ICS fait l’objet de moins d’attention et de dé- bats que la réglementation relative à la protection des don- conditions très strictes. nées personnelles. Elle n’en demeure pas moins pleinement applicable à la protection des données individuelles issues des réseaux intelligents et ne doit pas être négligée. I.b - La sécurisation des données En plus d’une garantie de confidentialité des données, assurant l’absence de communication non-consentie par les utilisateurs, la sécurisation de ces données contre les actions malveillantes et le piratage est prévue par la réglemen- tation. Déjà, la loi informatique et libertés de 1978 imposait au personnes réalisant des traitements de données personnelles de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Cette obligation générale de sécurité s’impose à toutes les catégories de données personnelles faisant l’objet d’un traitement. Dans le domaine particulier des réseaux intelligents, la sécurisation des données apparaît comme une condition nécessaire de la confiance des consommateurs sans laquelle ils ne pourront pas donner leur consentement au recueil et à l’utilisation des données personnelles les concernant. Le sujet est d’autant plus d’actualité que des systèmes d’information d’autres secteurs d’activité ont déjà fait l’objet de vol de données personnelles ou de fuites 26 d’information . L’impératif de sécurité des données issues des réseaux intelligents a été rappelé par l’ensemble des acteurs, notam- ment l’Union française de l’électricité (UFE) qui a publié une analyse prospective le système électrique en France en 27 2040 . Selon cette analyse, la question de la sécurité des données sera un sujet essentiel en 2040. En effet, en raison 24 Plusieurs gestionnaires de réseaux publics publient des chartes ou codes d’engagements rappelant la protection particulière des ICS. 25 La transmission d’ICS en-dehors des cas prévus par la loi donne lieu à des sanctions pénales pour le gestionnaire de réseau, sauf si ces informa- tions ont été transmises à un fournisseur sur la base de déclaration frauduleuse selon laquelle il disposerait de l’accord du consommateur (art. 179 de la loi n° 2015-992 du 17 août 2015). 26 En février 2014, 800 000 clients de l’opérateur téléphonique Orange se sont fait voler des informations personnelles stockées sur le site internet de leur fournisseur. Ces données consistaient en les noms, prénoms, adresse postale, mails de contact et numéros de téléphones. Aux Etats-Unis, l’éditeur de logiciels Adobe a également été victime d’un vol de données en 2014 concernant près de 150 millions de clients, les données volées étant notamment des mots de passe et numéros de cartes bancaires. 27 Union française de l’électricité, le système électrique #4.0 au cœur des performances de la « France 2040 ». Les données issues des réseaux intelligents Cadre juridique et enjeux économiques en France 14
du développement important des réseaux intelligents et des données échangées, le piratage des réseaux ou la prise de contrôle d’infrastructures électriques à distance pourraient avoir des conséquences redoutables comme la paraly- sie du réseau électrique. Sans attendre 2040, la sécurité des données est d’ores et déjà un enjeu central pour le développement des réseaux intelligents. Comme le relève le cabinet Ernst & Young dans une étude sur les réseaux électriques de demain, les réseaux élec- triques intelligents devraient faire face à de nouveaux risques et de nouvelles menaces de cyberattaques en raison de l’augmentation de points d’interaction avec le réseau liés aux objets connectés et aux dispositifs d’accès distant au 28 réseau . La Commission européenne a souligné l’importance de la sécurité des données en réponse aux risques de destruc- tion ou de divulgation non autorisée. Dans ses recommandations du 9 mars 2012 relatives à la préparation de l’introduction des systèmes intelligents de mesure, elle a indiqué qu’une des solutions techniques les plus efficaces contre ces détournements était l’utilisation de canaux chiffrés. De même, dans ses recommandations du 15 novembre 2012, la CNIL a rappelé que la mise en place des compteurs communicants présente des risques au regard de la vie privée et a recommandé l’instauration de mesures techniques fortes garantissant la sécurité des données. Au-delà de la sécurité informatique, la CNIL a recommandé que tous les acteurs traitant des données collectées par le gestionnaire de réseau mettent en place des mesures de sécurité com- plémentaires car l’augmentation du niveau de détail des données conduit à une augmentation du risque d’atteinte à la vie privée. En réponse au besoin de sécurité, l’arrêté du 4 janvier 2012 définissant les fonctionnalités des compteurs d’électricité communicants impose que les dispositifs de comptage soient conformes à des référentiels de sécurité approuvés par le ministre chargé de l’énergie, cette conformité faisant l’objet d’une vérification et d’une certification par l’Agence 29 nationale de la sécurité des systèmes d’information (ANSSI) . Ainsi, les autorités nationales et européennes ont pris conscience très tôt de l’impératif de la protection de la confi- dentialité et de la sécurité des données personnelles dans le déploiement des réseaux intelligents. II. - Les modalités d’utilisation des données dans une économie con- currentielle et la question de leur gouvernance La révolution numérique des réseaux place désormais les données au cœur d’un nouveau marché. En effet, la col- lecte et l’utilisation des données rendent possibles un nombre très important de nouveaux services proposés aux consommateurs, que ce soit par les acteurs traditionnels du marché de l’énergie (fournisseurs pouvant proposer des offres à différenciation tarifaire en fonction des heures et des saisons ou la rémunération de l’effacement de con- sommation) ou par de nouveaux acteurs (prestations de services énergétiques, services liés à l’interconnexion des objets à l’intérieur des habitations). 28 EY, Smart Grid Insights, Préparer aujourd’hui les réseaux électriques de demain, 2015. 29 Le contrôle de conformité et la certification par l’ANSSI sont régis par le décret n° 2002-535 du 18 avril 2002 relatif à l'évaluation et à la certifica- tion de la sécurité offerte par les produits et les systèmes des technologies de l'information. Les données issues des réseaux intelligents Cadre juridique et enjeux économiques en France 15
Vous pouvez aussi lire