Protection des données à caractère personnel: les applications smart grids au cœur du débat

Le point de vue d’Armand Heslot, Ingénieur expert en systèmes d’information, CNIL

Des voitures électriques, qui, en se rechargeant, offrent des indications sur le nombre de kilomètres parcourus en une journée. Des lampes, qui, en s’allumant ou en s’éteignant, permettent de déduire les habitudes de lever et de coucher des individus. Des chauffages éteints en plein hiver, qui renseignent sur l’occupation ou non d’une maison… Avec l’arrivée annoncée des applications smart grids dans notre quotidien, l’émission de données à caractère personnel va être démultipliée, tout comme les risques associés à leur traitement. Comment, dans ces conditions, en assurer la confidentialité, la sécurité et éviter leurs détournements à des fins frauduleuses ? Voici quelques éléments de réponse avec Armand Heslot, ingénieur expert en systèmes d’information à la CNIL.

Une augmentation exponentielle des données à caractère personnel 

L’avènement des dispositifs de comptage communicants va entraîner une augmentation exponentielle des données relatives à la consommation d’électricité : passage d’un relevé tous les 6 mois à un relevé toutes les 10 minutes (voire plus), soit une multiplication de la fréquence par 26 280. Une courbe de charge avec un pas de 10 minutes peut permettre de déterminer les heures de lever et de coucher, les dates de vacances, voire même, dans certains cas, l’activité des personnes au foyer.

« En termes de potentialité de révélation des habitudes de vie des personnes, cela fera une sacrée différence par rapport à ce qui existe aujourd’hui. En corrélant ces données avec celles fournies lors de la souscription d’un contrat de fourniture avec un distributeur d’électricité (taille du logement, nombre de personnes présentes dans le foyer, type de chauffage, cuisson électrique ou au gaz, nombre d’appareils électroménagers, réfrigérateur récent ou non, etc.), il sera possible dans certains cas d’identifier à quoi correspondent certains pics de consommation », explique Armand Heslot.

Des projets dans les cartons des industriels

Mêmes si les technologies smart gridsen sont encore à leurs balbutiements, les perspectives qu’elles offrent en matière de maîtrise de la demande d’énergie en font l’objet de recherches particulièrement actives. Ainsi, de nombreux projets de services ou de produits sont d’ores et déjà à l’étude chez les industriels et les énergéticiens. Outre les compteurs communicants, ces derniers réfléchissent à équiper tout un tas d’appareils du quotidien de puces intelligentes, qui permettront de communiquer avec le reste de l’installation électrique d’un logement. Ainsi, en échangeant des signaux, un compteur intelligent pourrait faire de l’autorégulation en retardant le lancement d’une machine à laver, s’il juge que l’électricité est trop chère à un instant « T » ou que la demande est trop forte. « Certaines études montrent même qu’il est possible, avec des courbes de charge plus précises encore, de l’ordre de quelques secondes, d’identifier de façon très fine les appareils utilisés. Pour certains équipements, comme les machines à laver qui disposent d’une ‘signature électronique’, on pourrait également identifier un modèle ou une marque et savoir sur quel programme ils tournent », précise Armand Heslot. Liés au traitement de données à caractère personnel, ces nouveaux dispositifs pourraient donc entraîner des risques majeurs pour la protection de la vie privée. Une menace prise très au sérieux par la Commission Européenne et la CNIL.

Des mesures d’envergure prises au niveau européen

En 2009, la Commission européenne a mis en place la « Smart Grid Taskforce », un groupe de travail rassemblant tous les acteurs concernés par les smart grids (régulateurs, gestionnaires de réseaux, producteurs d’électricité, fournisseurs d’énergie, équipementiers, etc.). Son objectif : élaborer un jeu de recommandations pour l’intégration des technologies de smart grids dans des conditions favorables pour les utilisateurs de réseaux et, notamment, assurer la confidentialité et la sécurité des données qui seront traitées. En mars 2012, la Commission européenne a ainsi émis une recommandation visant à demander à l’ensemble des entreprises et organismes mettant en place des compteurs communicants de réaliser des Etudes d’Impacts Vie Privée. Celles-ci doivent permettre de prendre en compte, dès la conception de ces systèmes, la protection de la vie privée et de mettre en place les mesures nécessaires pour en limiter les risques. De plus, la directive de 1995 (loi Informatique et Libertés), qui décrit le cadre juridique de la protection de la vie privée et des données à caractère personnel, est en cours de révision sous la forme d’un règlement européen d’application directe. Ce dernier devrait notamment permettre une meilleure harmonisation et de renforcer l’effectivité des règles de protection des données personnelles. Le texte définitif devrait être adopté fin 2013 et entrer en vigueur deux ans plus tard. Ce projet a un double objectif : renforcer les droits des citoyens, mais aussi moderniser le cadre existant pour tenir compte des nouveaux défis liés au développement des technologies et à la mondialisation. Cette révision vise notamment à alléger les formalités administratives, qui pèsent aujourd’hui sur les responsables de traitement, en contrepartie d’une plus forte autorégulation et de la mise en place du principe « d’accountability* ».

* Obligation de rendre compte et d’expliquer, avec l’idée de transparence et de traçabilité, permettant d’identifier et de documenter les mesures mises en œuvre pour se conformer aux exigences issues de la réglementation Informatique et Libertés.

En France, la CNIL veille

Globalement, les principaux risques liés aux technologies smart grids seront liés à la divulgation des données à caractère personnel et, plus précisément, à leur détournement. Des tiers non autorisés pourraient en effet en prendre possession et les utiliser de façon attentatoire à la vie privée : profiling commercial, sollicitations abusives, voire, cambriolages. La CNIL, en tant que régulateur, se doit donc de mettre en place un encadrement réglementaire sur les conditions d’utilisation de ces données et de leurs modalités d’utilisation, afin de s’assurer qu’une information nesera utilisée que pour la finalité qui a légitimité sa collecte. Par ailleurs, même si elle n’est pas directement compétente sur les produits qui pourraient être mis en vente dans les années à venir, la CNIL a choisi de s’intéresser de près à ce phénomène. Ainsi, elle a constitué un groupe de travail avec la Fédération des Industries Electriques, Electroniques et de Communication (FIEEC) pour définir les bonnes pratiques à suivre dans le cadre de la loi Informatique et Libertés pour les applications de smart grid. Ses recommandations dépendront alors de la nature des informations collectées, mais aussi du type d’applications ou d’appareils concernés. Enfin, la CNIL a élaboré sa propre méthodologie de gestion des risques vie privée, qu’elle met à disposition des industriels sur son site, avec pour objectif de prendre de l’avance sur la nouvelle réglementation à venir.

Lire la suite sur http://green-news-techno.net

3 commentaires

  • […] Des voitures électriques, qui, en se rechargeant, offrent des indications sur le nombre de kilomètres parcourus en une journée. Des lampes, qui, en s’allumant ou en s’éteignant, permettent de déduire les habitudes de lever et de coucher des individus. Des chauffages éteints en plein hiver, qui renseignent sur l’occupation ou non d’une maison… Avec l’arrivée annoncée des applications smart grids dans notre quotidien, l’émission de données à caractère personnel va être démultipliée, tout comme les risques associés à leur traitement.  […]

  • […] Le point de vue d’Armand Heslot, Ingénieur expert en systèmes d’information, CNILDes voitures électriques, qui, en se rechargeant, offrent des indications sur le nombre de kilomètres parcourus en une journée. Des lampes, qui, en s’allumant ou en s’éteignant, permettent de déduire les habitudes de lever et de coucher des individus. Des chauffages éteints en plein hiver, qui renseignent sur l’occupation ou non d’une maison… Avec l’arrivée annoncée des applications smart grids dans notre quotidien, l’émission de données à caractère personnel va être démultipliée, tout comme les risques associés à leur traitement. Comment, dans ces conditions, en assurer la confidentialité, la sécurité et éviter leurs détournements à des fins frauduleuses ? Voici quelques éléments de réponse avec Armand Heslot, ingénieur expert en systèmes d’information à la CNIL.  […]

  • […] Le point de vue d’Armand Heslot, Ingénieur expert en systèmes d’information, CNIL Des voitures électriques, qui, en se rechargeant, offrent des indications sur le nombre de kilomètres parcourus en une journée. Des lampes, qui, en s’allumant ou en s’éteignant, permettent de déduire les habitudes de lever et de coucher des individus. Des chauffages éteints en plein hiver, qui renseignent sur l’occupation ou non d’une maison… Avec l’arrivée annoncée des applications smart grids dans notre quotidien, l’émission de données à caractère personnel va être démultipliée, tout comme les risques associés à leur traitement. Comment, dans ces conditions, en assurer la confidentialité, la sécurité et éviter leurs détournements à des fins frauduleuses ? Voici quelques éléments de réponse avec Armand Heslot, ingénieur expert en systèmes d’information à la CNIL.  […]

Leave a Comment