La Commission nationale de l'informatique et des libertés,
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la directive 2009/72/CE du Parlement européen et du Conseil du 13 juillet 2009 concernant des règles communes pour le marché intérieur de l'électricité et abrogeant la directive 2003/54/CE ;
Vu l'avis 12/2011 du Groupe de l'article 29 du 4 avril 2011 sur les compteurs intelligents ;
Vu la recommandation 2012/148/UE de la Commission européenne du 9 mars 2012 relative à la préparation de l'introduction des systèmes intelligents de mesure ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 11 ;
Vu la loi n° 2000-108 du 10 février 2000 relative à la modernisation et au développement du service public de l'électricité ;
Vu le décret n° 2002-535 du 18 avril 2002 relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2010-1022 du 31 août 2010 relatif aux dispositifs de comptage sur les réseaux publics d'électricité en application du IV de l'article 4 de la loi n° 2000-108 du 10 février 2000 relative à la modernisation et au développement du service public de l'électricité ;
Vu l'arrêté du 4 janvier 2012 pris en application de l'article 4 du décret n° 2010-1022 du 31 août 2010 relatif aux dispositifs de comptage sur les réseaux publics d'électricité ;
Après avoir entendu M. Claude DOMEIZEL, commissaire, en son rapport, et Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
Le décret du 31 août 2010, pris en application de la loi n° 2000-108 du 10 février 2000 relative à la modernisation et au développement du service public de l'électricité, a rendu obligatoire la mise en œuvre des compteurs communicants en imposant la mise à disposition des données de comptage à l'abonné ainsi que le principe d'une transmission journalière des index de comptage aux fournisseurs d'électricité.
Ces compteurs communicants vont être déployés dans toute la France à partir de 2013 et concerner environ 35 millions de foyers d'ici à 2020.
Le compteur communicant est une des composantes des réseaux de distribution d'énergie intelligents. Ces réseaux utilisent des moyens informatiques évolués afin d'optimiser la production et l'acheminement de l'électricité, notamment grâce à la télétransmission d'informations relatives à la consommation des personnes. Cette télétransmission aurait notamment pour conséquence de supprimer la relève à pied des compteurs.
En plus de l'optimisation de la production, ces compteurs devraient permettre de faciliter et de fiabiliser la facturation des abonnés. Ils permettraient également aux distributeurs de réaliser, de manière automatique, certaines opérations techniques à distance, comme la coupure ou le changement de puissance du compteur.
Le futur déploiement de ces compteurs fait naître une crainte importante en matière de vie privée, tant au regard du nombre très important de données qu'ils permettent de collecter, que des problématiques qu'ils soulèvent en termes de sécurité et de confidentialité de ces données.
En effet, les compteurs communicants permettent de collecter de très nombreuses informations, notamment :
― des données mesurant la qualité de l'alimentation électrique fournie à l'abonné ;
― les index de consommation : ces index permettent de calculer la consommation d'électricité et sont déjà utilisés par les fournisseurs d'énergie pour procéder à la facturation de leurs clients ;
― la courbe de charge : cette courbe de charge est une nouvelle fonctionnalité offerte par les compteurs communicants qui permet d'avoir une connaissance plus précise de la consommation des ménages afin de leur fournir de nouveaux services (bilan énergétique, par exemple).
Cette courbe de charge est constituée d'un relevé, à intervalles réguliers (le pas de mesure), de la consommation électrique de l'abonné. Plus le pas de mesure est faible, plus les mesures sur une journée sont nombreuses et permettent d'avoir des informations précises sur les habitudes de vie des personnes concernées. Une courbe de charge avec un pas de dix minutes permet notamment d'identifier les heures de lever et de coucher, les heures ou périodes d'absence, ou encore, sous certaines conditions, le volume d'eau chaude consommée par jour, le nombre de personnes présentes dans le logement, etc.
La courbe de charge peut ainsi permettre de déduire de très nombreuses informations relatives à la vie privée des personnes concernées.
Par ailleurs, la problématique de la sécurité des compteurs communicants est cruciale. Outre les mesures visant à empêcher une éventuelle compromission des compteurs (coupures de l'alimentation à distance, par exemple), la sécurité et la confidentialité des données collectées par les compteurs doivent être assurées par la mise en place de mesures adéquates, conformément à l'article 34 de la loi du 6 janvier 1978 modifiée, afin notamment de garantir que ces informations précises ne sont pas rendues accessibles à des personnes non autorisées et ne sont utilisées que pour les finalités prévues.
Dans ces conditions, il est de la responsabilité de la Commission nationale de l'informatique et des libertés, conformément à ses missions définies à l'article 11 de la loi du 6 janvier 1978 modifiée, de préciser les modalités selon lesquelles les principes de protection des données à caractère personnel doivent s'appliquer aux traitements liés à la mise en œuvre des compteurs communicants, afin de garantir pleinement le respect des droits et libertés des personnes.
La commission rappelle à cet égard que les dispositions de la loi « informatique et libertés » s'appliquent dès lors que des données à caractère personnel sont collectées, même en l'absence de transmission de ces dernières. Conformément à l'article 2 de cette loi, la seule collecte ou conservation de données à caractère personnel constitue en effet un traitement de données auquel les principes et les dispositions de la loi du 6 janvier 1978 modifiée ont vocation à s'appliquer.
C'est pourquoi la commission souhaite, par la présente recommandation, encadrer les conditions de collecte et d'utilisation de la courbe de charge. Cette recommandation est le fruit d'une première réflexion, menée par la commission au vu de ses connaissances actuelles et de l'état de la technique, quant aux risques pour la vie privée que présente la mise en place des compteurs communicants.
La présente recommandation a été adoptée après consultation de la Commission de régulation de l'énergie (CRE) et du Conseil général de l'économie, de l'industrie, de l'énergie et des technologies (CGEIET), qui, dans le cadre d'une étude menée sur les impacts des compteurs sur la vie privée pour le compte de la Commission, a auditionné plusieurs acteurs du secteur.
Recommande :
La présidente,
I. Falque-Pierrotin