« il n’y a pas vraiment d’inquiétude à avoir.” d’après enedis
Le débat autour de la protection des données personnelles est l’un des points clés de la controverse Linky. De nombreuses questions se posent : Quelles données Linky recueille-t-il vraiment ? Seront-elles vendues ? Sont-elles bien protégées d’un éventuel piratage ? Quel est leur niveau de précision ?
Le compteur Linky enregistre la courbe de charge (l’évolution de la puissance électrique consommée en fonction du temps) avec un pas défini au préalable. Ce pas de relevé peut varier en fonction du contrat avec le fournisseur. Par défaut, le pas de cette courbe de charge est de 30 minutes, cependant, il peut descendre jusqu’à 10 minutes lorsque le contrat nécessite un relevé plus précis.
Voilà à quoi ressemblera la courbe de charge relevée par votre compteur. On comprend bien pourquoi plus le pas est petit, plus on peut avoir une idée précise sur les différents appareils électroménagers qui se trouvent à la maison. Le cadre d’Enedis que nous avons interviewé nous a dit qu’Enedis avait fait plusieurs tests afin de voir de voir quel type d’informations on pouvait réellement obtenir à partir de courbe de charge. Ils ont donné à des ingénieurs des courbes de charges en leur demandant d’en extraire toutes les informations possibles. Le nombre d’informations récoltées sur la quantité d’appareils électroménagers des foyers en question était, d’après lui, assez limité. En revanche, des informations telles que l’heure approximative de lever/coucher, la présence de ballons d’eau chaude étaient accessibles. Mais combiner ces informations avec d’autres données (surface du logement, nombre de personnes vivant dedans…) permet un profilage bien plus précis. Il est ainsi important de protéger ces données et de limiter leur valeur.
Ainsi, dans son Pack de conformité, la CNIL recommande de prendre pour pas de relevé 1h afin de limiter le plus possible les informations accessibles à partir de la courbe de charge. Les informations doivent être également anonymisées afin d’éviter toute dérive.
« Les compteurs communicants nécessitent une vigilance particulière pour protéger la vie privée des personnes concernées. En effet, ces équipements sont notamment en mesure de collecter la courbe de charge, dont l’analyse approfondie peut permettre de déduire un grand nombre d’informations sur les habitudes de vie des personnes concernées. (heures de lever et de coucher, périodes d’absence, nombre de personnes présentes dans le logement, etc.) » -note du CNil (2014)
Certaines sources parlent de caméras, de micros implantés dans le compteur Linky, il n’en est rien. D’autres articles disent que Linky peut connaître avec précision les appareils électroménagers en analysant les “empreintes” que ces derniers laissent lors de leur utilisation. Cette technologie est envisageable mais demande des appareils de très haute précision, ce qui n’est, d’après le cadre d’Enedis que nous avons interviewé, pas envisageable à cette échelle car le coût serait vraiment astronomique, sans parler de la dangerosité d’une telle technologie à grande échelle qui fait que la CNIL n’aurait jamais laisser passer une telle intrusion dans la vie privée des consommateurs.
Maintenant que nous avons bien déterminé quelles données sont en jeu, voyons comment Enedis défend son dispositif de sécurité autour de ces données.
Nous avons interrogé le cadre d’Enedis sur les choix de R&D faits lors de la conception du projet Linky. Il nous a indiqué qu’Enedis a choisi de transmettre les données d’abord par CPL puis par réseau téléphonique. Le choix de la transmission CPL entre le compteur et le concentrateur a été fait tout simplement parce qu’Enedis possède déjà un réseau électrique adapté à cette technologie. De plus Enedis insiste sur la sécurité de ce moyen de transmission. Pour eux, il est plus difficile d’intercepter un message circulant dans des câbles électriques qu’un message circulant par ondes radio par exemple.
Pour rendre l’interception de données encore plus difficile, Enedis dit crypter les données des utilisateurs dans le compteur Linky. Une fois les données arrivées au concentrateur, elles sont transmises par GPRS au centre d’Enedis (autrement dit par réseau téléphonique).
Pour ce qui est de la sécurité des grands centres de collecte de données, voilà ce que nous a affirmé un ingénieur qui a travaillé sur le projet :
“Ces grandes bases de données sont pour le coup très largement sécurisées : c’est sur le réseau interne de l’entreprise qui n’est pas ouvert. C’est la même infrastructure qui est utilisée par les centrales nucléaires pour fixer un peu les idées. Donc d’un point de vue sécurisation des data sur la chaîne de communication, il n’y a pas vraiment d’inquiétudes à avoir.”
Ce dernier point reste bien sûr discutable : à partir du moment où il y a communication, il y a bien sûr un risque non nul de piratage des données. Le tout étant de rendre cela suffisamment fastidieux pour décourager un “hacker” de voler ces données.
Enedis justifie également son dispositif en parlant de l’aspect anonyme des courbes de charges, en effet, seul le numéro du compteur est transmis à chaque envoi. Un fichier, à priori sécurisé, associe à chaque compteur les coordonnées de la personne qui sera facturée par le fournisseur. Si ces données sont anonymes, protégées et suffisamment peu précises comme le préconise la CNIL, elles ne sont, à priori, pas intéressantes pour un hacker.
Cependant, ce qui ressort le plus de l’analyse de la contestation autour du projet Linky, ce n’est pas tant la peur d’un possible hack, que le fait qu’Enedis pourrait vendre des données de ses utilisateurs à divers groupes. Pour cela la nouvelle RéGlementation européenne sur la Protection des Données (RGPD) impose de demander le consentement “explicite” et “positif” de l’utilisateur avant tout partage de ses données. Cependant il est possible qu’il y ait dans le futur un malentendu, en effet le client pourrait avoir l’impression de signer un document donnant l’autorisation à Enedis de transmettre ses données au fournisseur d’énergie, alors qu’il s’agit bien d’un document autorisant Enedis à faire commerce de ses données. Il est donc bien important d’encadrer Enedis dans cette démarche, pour être sûr qu’il n’y ait aucun commerce de données sans consentement explicite : c’est le rôle de la CNIL.
Sur la question de la vente des données, Enedis ne s’interdit pas de communiquer des données à des collectivités territoriales et à des start-up partenaires d’Enedis. C’est ce qu’a reconnu Bernard Lassus dans son interview donnée à France Inter. Il est pour l’instant impossible de savoir exactement si oui ou non, Enedis vendra des données. Ce sujet reste encore sensible et les paroles au sein d’Enedis même divergent. Tantôt Bernard Lassus affirme qu’il n’y aura pas de vente de données, tantôt il affirme qu’Enedis envisage des partages de données avec divers acteurs de l’énergie. Dans tous les cas, si Enedis ne vend pas ces données, certains fournisseurs privés disposant des données de leur clients transmises par Enedis pourraient le faire en demandant l’accord préalable aux consommateurs.
Cette discussion sur la possible vente de données par Enedis pose une vraie question sur la nature première d’Enedis qui est une entreprise à capitaux publics, chargée de service public et qui donc, pour certains, ne devrait pas faire de l’argent autrement que dans l’accomplissement de sa mission de service public : faire la passerelle entre les fournisseurs d’électricité et les clients. Nous y reviendrons plus tard.