I. ― Sur le champ d'application de la recommandation
La présente recommandation porte sur les traitements de la courbe de charge qui répondent aux deux conditions suivantes :
1. La courbe de charge est collectée par les gestionnaires de réseau de distribution par l'intermédiaire des compteurs communicants dont ils assurent la gestion ; et
2. La courbe de charge ainsi collectée est traitée par les gestionnaires de réseau de distribution aux fins de maintenance du réseau, par les fournisseurs d'énergie aux fins de mise en place de tarifs adaptés ou par des sociétés tierces aux fins de fournitures de services complémentaires.
La présente recommandation n'a donc pas vocation à couvrir l'ensemble des traitements pouvant être mis en œuvre à la suite du déploiement des compteurs communicants. Elle n'est notamment pas applicable :
― aux traitements des autres données de consommation collectées par les compteurs, telles que les index de consommation (qui servent à la facturation des clients) et les données mesurant la qualité de l'alimentation électrique ;
― aux traitements de données collectées par des appareils matériels ou logiciels installés hors de l'infrastructure des compteurs (en aval desdits compteurs, par exemple directement sur le tableau électrique), à la demande et sous la maîtrise des usagers, et qui permettent de collecter des données plus détaillées.
Pour encadrer ces derniers (les traitements des données collectées en aval des compteurs), la commission mène actuellement des travaux spécifiques en concertation avec les industriels du secteur et les principaux fournisseurs de services concernés. Ces travaux conduiront à la publication prochaine de bonnes pratiques ou de recommandations distinctes.
II. ― Sur les finalités des traitements mis en œuvre
Les traitements couverts par la présente recommandation, sous réserve d'entrer dans le champ d'application tel que précédemment défini, sont limités aux finalités suivantes :
― la gestion du réseau de distribution par les gestionnaires de ce réseau : les gestionnaires de réseau peuvent collecter et procéder à l'analyse de la courbe de charge pour les nécessités de maintien et de développement du réseau ;
― la mise en place de tarifs adaptés à la consommation des ménages par les fournisseurs d'énergie : les fournisseurs d'énergie peuvent collecter et procéder à l'analyse de la courbe de charge des personnes concernées pour leur proposer des tarifs adaptés à leur consommation, comme des bilans énergétiques, par exemple ;
― la fourniture de services complémentaires par des sociétés tierces : des sociétés tierces peuvent procéder à l'analyse de la courbe de charge collectée par l'intermédiaire des compteurs communicants afin de proposer aux personnes concernées des prestations complémentaires, comme des travaux d'isolation de fenêtres, par exemple.
III. ― Sur les données collectées
Les compteurs communicants impliquent la collecte de nombreuses informations, telles que des données mesurant la qualité de l'alimentation électrique, les index de consommation ou la courbe de charge (le relevé, à intervalles réguliers, de la consommation électrique de l'abonné).
Pour rappel, la présente recommandation porte uniquement sur le traitement de la courbe de charge respectant les deux conditions susmentionnées (modalités de collecte et finalités des traitements).
1. Les conditions de la collecte
La courbe de charge peut être collectée par les compteurs, dans le cadre des finalités ci-dessus mentionnées, dans les conditions suivantes :
Pour la gestion du réseau de distribution :
La commission recommande que la courbe de charge ne puisse être collectée que lorsque des problèmes d'alimentation ont effectivement été détectés.
Les gestionnaires de réseau sont en effet capables d'assurer la maintenance de leur réseau sans avoir à analyser la courbe de charge de façon systématique. Ils peuvent notamment détecter les tronçons du réseau posant problème grâce aux autres données fournies par les compteurs (variation de tension, coupure de l'alimentation, etc.). Ainsi, la collecte systématique de la courbe de charge par les gestionnaires de réseau apparaîtrait comme disproportionnée par rapport à la finalité poursuivie.
A l'inverse, la collecte de la courbe de charge est proportionnée une fois le problème spécifiquement localisé. En effet, cette courbe de charge peut permettre de modéliser le comportement d'une ligne basse tension à partir des courbes de charge des logements alimentés par cette ligne et identifier plus précisément les points du réseau nécessitant d'être renforcés.
Pour la mise en place de tarifs adaptés à la consommation des ménages et la fourniture de services complémentaires :
Pour ces deux finalités, la commission recommande que la courbe de charge ne puisse être collectée qu'avec le consentement exprès des personnes concernées.
Ce consentement doit être libre, éclairé et spécifique. Il doit donc être recueilli pour chaque prestation fournie par les fournisseurs d'énergie ou les sociétés tierces. Dans la mesure où la collecte de la courbe de charge est réalisée par les gestionnaires de réseau, la commission recommande que ces derniers soient chargés du recueil de ce consentement auprès des usagers.
2. Les modalités de la collecte
L'arrêté du 4 janvier 2012 prévoit que les dispositifs de comptage « doivent pouvoir mesurer et enregistrer la courbe de mesure, en puissance active, en soutirage selon trois pas de temps : horaire, demi-horaire, de dix minutes ainsi que la valeur maximale de la puissance soutirée ». Ainsi, les compteurs doivent pouvoir relever la consommation toutes les dix, trente et soixante minutes.
La Commission recommande que les paramètres de réglage des compteurs soient, par défaut, les plus protecteurs possibles pour les usagers et que toute modification du pas de mesure ainsi paramétré soit justifiée par la finalité poursuivie.
A cette fin, elle propose que des mesures techniques mises en œuvre dans les compteurs rendent strictement impossible la collecte, par l'intermédiaire de l'infrastructure des gestionnaires de réseau, de la courbe de charge à un pas inférieur à dix minutes.
IV. ― Sur la durée de conservation des données
La commission recommande que la courbe de charge ne soit conservée que le temps nécessaire aux finalités pour lesquelles elle est collectée, à savoir : le temps de la résolution du problème détecté sur le réseau ou de la réalisation des prévisions de travaux à effectuer (pour la gestion du réseau par les gestionnaires de réseau), de la réalisation de la simulation (pour la mise en place de tarifs adaptés à la consommation par les fournisseurs d'énergie) ou de la réalisation de la prestation (pour la fourniture de services complémentaires par des sociétés).
V. ― Sur les destinataires des données
Peuvent être destinataires de la courbe de charge les personnes qui, dans le cadre de leur fonction, peuvent légitimement en avoir connaissance au regard des finalités du traitement, à savoir :
― pour la gestion du réseau de distribution : les personnels dûment habilités des gestionnaires de ce réseau ;
― pour la mise en place de tarifs adaptés à la consommation des ménages : les personnels dûment habilités des fournisseurs d'énergie ;
― pour la fourniture de services complémentaires : les personnels dûment habilités des sociétés tierces.
L'attribution de ces habilitations doit être réalisée par les organismes concernés et prendre en compte le fait que la courbe de charge présente beaucoup plus de risques pour la vie privée que les index de consommation ; il est ainsi nécessaire de distinguer les habilitations d'accès aux index, d'une part, et à la courbe de charge, d'autre part.
En outre, la commission rappelle que tout accès à la courbe de charge doit être réservé aux seuls personnels dont les fonctions nécessitent l'accès à cette donnée. Elle recommande que cet accès soit spécifiquement tracé et que cette trace soit conservée pendant douze mois.
VI. ― Sur l'information et les droits des personnes
Conformément à l'article 32 de la loi du 6 janvier 1978 modifiée, les personnes concernées doivent être notamment informées, préalablement à la mise en œuvre du traitement :
― de la finalité poursuivie par le traitement ;
― des catégories de données traitées ;
― des destinataires ou catégories de destinataires des données ;
― de l'existence d'un droit d'accès, de rectification et d'opposition et de leurs modalités d'exercice.
La commission recommande que cette information soit fournie aux personnes concernées de la façon suivante :
― pour la finalité de gestion du réseau de distribution : l'information des nouveaux abonnés devrait être intégrée au contrat d'abonnement. Ces nouveaux abonnés, tout comme les abonnés existants, devraient également bénéficier d'une information spécifique lors de l'installation des compteurs communicants par la remise d'une plaquette d'information explicative ;
― pour les finalités de mise en place de tarifs adaptés à la consommation des ménages et de fourniture de services complémentaires : l'information devrait être fournie au moment du recueil du consentement des personnes, tel que mentionné ci-dessus.
Enfin, en ce qui concerne le droit d'opposition, la commission rappelle que les personnes concernées peuvent l'exercer sur motifs légitimes ;
Le caractère légitime de ce motif étant apprécié par les juridictions.
VII. ― Sur les mesures de sécurité
Conformément à l'article 34 de la loi du 6 janvier 1978 modifiée et compte tenu des risques que pourraient présenter les compteurs communicants au regard de la vie privée des personnes, la commission recommande la mise en place de mesures techniques fortes afin d'assurer la sécurité et la confidentialité des données.
Elle rappelle tout d'abord que l'arrêté du 4 janvier 2012 impose que les dispositifs de comptage soient conformes à des référentiels de sécurité approuvés par le ministre chargé de l'énergie. Cette conformité est vérifiée par une évaluation et une certification de la sécurité des technologies de l'information au sens des dispositions du décret n° 2002-535 du 18 avril 2002 réalisée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI).
Outre cet audit préalable, la commission recommande la réalisation d'un suivi de l'efficacité des mesures mises en place afin d'assurer leur robustesse dans le temps. Les compteurs doivent notamment pouvoir être mis à jour afin de rester en permanence à l'état de l'art.
Au-delà de cette problématique de sécurité informatique de l'ensemble du dispositif, les différents acteurs traitant les données collectées par les compteurs doivent mettre en place des mesures de sécurité complémentaires à celles qui sont déjà prévues, dans la mesure où l'augmentation du niveau de détail des données engendre nécessairement une augmentation des risques pour les personnes concernées.
Ainsi, le niveau de détail des données traitées doit systématiquement être adapté à la finalité du traitement, notamment lorsque les données sont utilisées par les gestionnaires de réseau à des fins de gestion de ce réseau.
Par ailleurs, la commission recommande aux responsables de traitement de réaliser systématiquement des études d'impact sur la vie privée avant de déployer des compteurs communicants et de lui notifier ces études d'impacts. Cette démarche permettrait de prendre des contre-mesures pratiques préalablement au déploiement des compteurs communicants. La Commission européenne a émis une recommandation le 9 mars 2012 (2012/148/UE) allant également dans ce sens.
La commission demande également que les gestionnaires de réseau réalisent des analyses de risques et qu'ils se fondent sur ces analyses de risques pour déterminer les mesures de sécurité à mettre en place.
Elle souhaite, par ailleurs, que les violations de données à caractère personnel soient notifiées aux personnes concernées, d'une part, à la commission, d'autre part, et ce sans attendre l'application du futur règlement européen qui prévoit de telles notifications.
La présente délibération sera publiée au Journal officiel de la République française.