• Print
  • Decrease text size
  • Reset text size
  • Larger text size
27/02/2017

Emergence des réseaux intelligents et connectés : vos données sont-elles en sécurité ?

Mouvement majeur au sein de la transition énergétique, le développement des Smart grids et du Big Data se traduit aujourd’hui de manière concrète pour le consommateur par le déploiement de matériel Machine-to-Machine, au travers de compteurs communicants tels que Linky pour l'électricité et Gazpar pour le gaz naturel. Ces smart meters captent et transfèrent un nombre important de données, qui peuvent présenter un caractère personnel.

En effet, la granularité fine des données telles que la consommation d'énergie permet parfois – via des statistiques et des algorithmes – d'identifier la situation et les habitudes de vie des consommateurs : horaires, comportements, etc. Si la sensibilité au caractère privé d’une donnée est fortement déterminée par des facteurs politico-sociologiques, elle est aussi dépendante d’une relation de confiance mutuelle entre parties prenantes. Actuellement, il émerge une prise de conscience à l’échelle européenne et française de l’importance de la sécurité liée aux données personnelles, qui se manifeste d’abord par la création d’un cadre légal adapté.

 

UNE GOUVERNANCE EN COURS D’ÉLABORATION EN EUROPE ET EN FRANCE

 

Historiquement, l’utilisation des données digitales et des fichiers informatiques est régie par la loi Informatique et Libertés du 6 janvier 1978. Cette loi définit en particulier ce qu’est une donnée à caractère personnel et charge la CNIL de réglementer et de surveiller le bon usage de ces données. Les données mesurées par les smart meters sont considérées comme des données à caractère personnel car leur fréquence de relève permet de modéliser les habitudes de vie des consommateurs. La croissante de ces données a favorisé l'émergence de nouveaux règlements et directives spécifiques et adaptés – à l'instar du règlement (UE) 2016/679 à caractère obligatoire et de la directive 2002/58/CE – et de nouvelles instances européennes comme le Contrôleur Européen de la Protection des Données (CEPD). Même si ces réglementations semblent arriver tardivement et sont logiquement peu coercitives du fait de leur nouveauté, on peut saluer les efforts fournis par l’Allemagne, les Pays-Bas, le Royaume-Uni et la France qui s’illustrent par leur proactivité en matière de niveau d’exigence de protection des données. En France, la loi « Protection des données à caractère personnel », adoptée le 14 avril 2016, formalise sur notre territoire les critères à observer en matière de protection des données, et prône la communication et la transparence vis-à-vis du consommateur.

 

Cette loi alourdit la responsabilité de l'entreprise en cas de défaillance. Elle implique l’apparition de nouveaux processus de contrôle des données dans l’entreprise et de nouveaux rôles tels que les DPO (Data Protection Officer). Ces derniers sont notamment en charge de la bonne application du règlement quant aux données personnelles et l'usage qui en est fait. En particulier :

• La pertinence des données doit être vérifiée au préalable, puis les données doivent être sécurisées via une approche par les risques et/ou une étude d'impact sur la vie privée ;

• La conservation des données est limitée dans le temps et l'espace, de même que leur nombre de sauvegardes ;

• Certaines données doivent être archivées et leur consultation tracée et sécurisée ;

• Les clients doivent pouvoir accéder, consulter, rectifier, compléter ou supprimer les données les concernant.

Les entreprises ne respectant pas ces processus s’exposent théoriquement à des sanctions pénales, des sanctions administratives de la CNIL et des amendes pouvant s’élever à 20 millions d'euros ou à 4% de leur chiffre d'affaires annuel mondial.

 

Au sein de l'entreprise, les outils internes de pilotage de la sécurité des données reposent entre autres sur :

• Des règles d’authentification des utilisateurs et des moyens de contrôle des permissions d’accès aux données ;

• Un engagement de confidentialité à signer ;

• La traçabilité et la gestion des incidents ;

• La sécurité des postes de travail ainsi que la sécurité des locaux, du réseau informatique interne, ou encore des serveurs.

Ces axes de pilotage ne semblent pas nouveaux mais sont encore perfectibles au sein des grands acteurs de l'énergie. On peut néanmoins citer l'exemple de la société néerlandaise Alliander, gestionnaire d'une partie du réseau de distribution d'énergie – avec 3 millions de clients et 1 million de smart meters installés– qui est la première entreprise de son secteur à obtenir en 2011 une certification Data Privacy & Security. Cette initiative de mise en place d’une certification est un pas vers l’application concrète de la législation.

 

VERS UNE SÉCURISATION DES FLUX DE DONNÉES

 

Au-delà des exigences liées à la gouvernance des données au sein de l'entreprise, l’expérience de déploiement de smart meters aux Pays-Bas en 2008 donne une liste non exhaustive des autres critères d'évaluation intervenant dans la protection des données associées. Ces derniers concernent en particulier la sécurité des transferts de données entre les compteurs et les infrastructures de stockage du distributeur.

Le compteur Linky d'Enedis utilise le CPL (Courant Porteur en Ligne) qui repose sur un système d'appairage boîtier-récepteur assurant la sécurité du canal de communication. Le compteur Gazpar de GRDF exploite quant à lui la radiofréquence couplée à des étiquettes d'identification (Radio Frequency Identification) pour protéger le transfert. D'autres technologies sont également utilisées en Europe – tels que le protocole SSL (Secure Socket Layer) adopté par Vattenfall. Aucune de ces technologies ne présente un risque zéro face au piratage éventuel, mais elles sont ce qui se fait de mieux en matière de cybersécurité actuellement.

Toutes ces technologies de transfert prennent en charge des données anonymisées et chiffrées. Ces mesures de sécurité sont nécessaires pour éviter une ré-identification des consommateurs et des usages détournés des données en cas de piratage durant leur transfert. Quelle que soit la solution retenue, le consommateur final est rarement à même de juger du respect des exigences de sécurité quant au transfert de données. En revanche, les clients seront beaucoup plus sensibles à la communication et à la transparence du fournisseur ou du distributeur vis-à-vis des données collectées et exploitées.

 

UNE ÉVOLUTION TANGIBLE DES MENTALITÉS

 

Des enquêtes menées au Royaume-Uni et parues en 2012 ont montré une évolution de la sensibilité des clients en matière de données, propice à un meilleur échange des données entre utilisateurs et prestataires. De manière générale, la circulation des données est mieux acceptée sous deux conditions. Premièrement, le consommateur doit ressentir qu'il garde le contrôle de sa vie privée et de ses données : il doit se sentir impliqué, pouvoir choisir quand et avec qui il les partage et pouvoir modifier ses choix à tout moment. La deuxième condition est la confiance. L'un des leviers permettant d'établir cette confiance est la transparence de l'information entre le client et le gestionnaire des données. Dans le cas des smart meters au Royaume-Uni, il apparaît qu’une fois informés des fins d’utilisation des données et des bénéfices qui peuvent en être tirés, les consommateurs étaient plus enclins à accepter l’installation de l’appareil. En outre, les entreprises doivent être en mesure de répondre sans hésitation aux interrogations de leurs clients : elles doivent pouvoir leur indiquer quelles sont les données en leur possession, quelles sont celles qui sont manipulées, par qui et dans quel but.

 

La relation de confiance doit cependant être à double sens. Ainsi, le gestionnaire doit pouvoir s’assurer de l’honnêteté du consommateur. Dans le cas des smart meters, les technologies de chiffrement des données et de transmission du signal doivent permettre la mise en place de procédés de détection des fraudes, par exemple. Les entreprises souhaitant manipuler des données issues de compteurs communicants doivent se servir de ces critères pour documenter leurs démarches, communiquer auprès de leurs clients et former leur personnel.

Outre le respect des réglementations techniques et les performances technologiques des appareils et des protocoles de traitement des données, les efforts doivent donc se tourner en priorité vers le développement d’une confiance réciproque entre clients et gestionnaires. Car c'est principalement cette dernière qui permettra aux entreprises le développement de leur activité et aux consommateurs l'utilisation de nouveaux services, en échange de cette monnaie virtuelle qu'est la donnée client.

 

Retrouvez cette analyse et beaucoup d’autres dans le Magazine Énergie Outlook 2016, consultable sur notre blog.

 

Sia Partners

0 commentaire
Publier un commentaire

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
Image CAPTCHA
Saisissez les caractères affichés dans l'image.
Back to Top