Intervention de Sophie Nerbonne

La CNIL est très attachée à ce sujet, puisqu'elle y travaille de façon très ciblée depuis 2012, avec l'adoption d'une recommandation sur les compteurs communicants, puis l'introduction d'un pack de conformité des Smart grids, plus précisément pour l'aval du compteur, c'est-à-dire le branchement, sur les prises électriques, de dispositifs destinés à développer la domotique. Cette spécificité des données traitées au sein du domicile est un sujet majeur pour la CNIL, car il se situe au coeur de la préservation des droits et des libertés individuelles et publiques, ainsi que de la vie privée. Qu'y a-t-il, en effet, de plus privé que son habitation ? Il était donc justifié que nous nous attachions à cette question.

En termes de cartographie des données, de quels types de données personnelles parle-t-on ? Ces compteurs communicants sont capables de relever des données de consommation beaucoup plus fines que les compteurs traditionnels : quotidiennes, horaires, ou même à la demi-heure pour ce qui concerne l'électricité. Ces données sont, toutefois, globales au niveau du foyer, et ne concernent pas le détail de la consommation de chaque appareil. Il me semble important de le préciser, car il peut exister, par ailleurs, des dispositifs allant jusqu'à identifier les consommations propres aux appareils électroménagers, à la télévision, etc. Ce n'est pas le cas pour les compteurs Linky.

S'agissant des traitements effectués sur les données de consommation, plus significatives quant aux comportements au sein du domicile que les données de production d'électricité, il faut savoir qu'ils sont très encadrés par le code de l'énergie. Nous avons, en outre, beaucoup travaillé, dans le cadre des décrets relatifs à l'application de la loi relative à la transition énergétique pour la croissance verte, sur les critères de diffusion des données de consommation, que ce soit pour une utilisation en open data, ou une mise à disposition des collectivités territoriales, pour leur permettre de mener à bien leurs missions, par exemple en termes de lutte contre la précarité énergétique. Nos critères d'anonymisation des données sont très variables, avec des conditions d'agrégation différentes d'un cas à l'autre, en fonction des paramètres utilisés : type de données, finesse de ces données – c'est-à-dire les pas de temps : données de consommation à trente minutes, à la journée ou annuelles –, et maille géographique utilisée : maillage départemental, ilots regroupés pour l'information statistique (IRIS) de référence de l'Institut national de la statistique et des études économiques (INSEE), quartier, ou bâtiment.

Il est également significatif que la CNIL ait travaillé avec la Fédération des industries électriques, électroniques, et de communication (FIEEC), sur l'élaboration d'un pack de conformité. Celui-ci constitue un nouvel outil de régulation des données personnelles, très représentatif du « privacy by design », c'est-à-dire de l'intégration, dès la conception des services offerts, de la protection des données personnelles, afin de permettre à tout individu d'avoir une meilleure compréhension des collectes et traitements de données, conformément au sens de la loi « Informatique et libertés ». À cet égard, le Conseil des ministres examinait hier un projet de loi concernant l'actualisation du droit national, au regard du Règlement européen sur la protection des données (RGPD), qui rénove les droits des personnes, dans le contexte d'une société numérique où prévaut, pour l'instant, une opacité générale sur les conditions de collecte et de traitement des données personnelles. Cette situation contraint à une extrême transparence vis-à-vis des individus, en termes d'information sur les données collectées, l'usage qui va en être fait, et les organismes auxquels elles sont destinées.