RGPD - Les spécificités du secteur de l’énergie

Article paru le 29 août 2018 | Partager sur les réseaux sociaux

Classé dans : Énergie RGPD

Une particularité du secteur de l’énergie tient en la collecte non seulement des informations liées à l’identité du client mais également de données permettant de retracer les habitudes de vie du consommateur d’énergie. Ces données, collectées dans un but de maîtrise de la consommation et de l’état du réseau de distribution, sont au cœur des problématiques RGPD.

Cadre législatif en vigueur

Le Règlement Général sur la Protection des Données (appelé RGPD - ou GDPR en anglais) accompagne la transition vers un nouveau cadre juridique dans lequel les grands principes de la loi Informatique et Libertés sont renforcés. Ce règlement entrera en vigueur le 25 mai 2018 et sera applicable à l’ensemble des états membres de l’Union Européenne. Si le RGPD met l’accent sur la protection des données des individus, la directive européenne NIS (Network and Information Security) quant à elle apporte depuis 2016 une responsabilité accrue pour les gestionnaires de ces informations.

Élargissement du périmètre des données personnelles

Dans le cadre du RGPD, toutes les données identifiant directement ou indirectement une personne physique, notamment les données de localisation, seront traitées en tant que données à caractère personnel. Les données issues des compteurs intelligents et accessoires IoT, tels que les thermostats connectés, entrent dorénavant dans cette catégorie et seront donc soumises à de nouveaux droits et obligations.
A ces données pourront également être ajoutées les données propres au rechargement des véhicules électriques, données permettant indirectement de localiser les individus utilisateurs de ce service et donc de les suivre en dehors de leur domicile.

Notification des failles de sécurité

Que l’échange se situe entre le producteur et le gestionnaire de réseau, entre le fournisseur et le client, ou encore entre le fournisseur et le gestionnaire de réseau, les interfaces et échanges de données entre acteurs sont autant de risques de perte de la maîtrise de la donnée. Cette chaîne d’information est vitale aux activités propres au secteur de l’énergie mais peut ralentir l’identification de failles de sécurité ou de manquement en matière de traitement des données.
Le RGPD raccourcit le délai toléré de notification de faille à 72h, constituant un réel challenge pour les acteurs du secteur. En effet, cette notification devra porter la description de la faille de sécurité, les risques engendrés par cette défaillance, les actions entreprises pour y remédier ainsi que les coordonnées du Data Protection Officer. (La désignation d’un Data Protection Officer ou DPO, successeur du CIL, le Correspondant Informatique et Libertés, sera obligatoire notamment dès lors que les entreprises feront des traitements à grande échelle de suivi régulier et systématique des personnes ou de données sensibles. Le DPO sera également obligatoire pour le secteur public, quel que soit la nature du traitement).

Gestion du consentement et droit à l’oubli

Si la définition du consentement reste inchangée, ce sont les modalités requises pour donner ce dernier qui évolue. Chaque entreprise devra à présent informer de manière explicite la nature du consentement demandé et recueillir celui-ci sous la forme d’un acte éclairé et univoque. Le consentement du client est d’ores et déjà requis pour l’utilisation des données recueillies par les compteurs communicants Linky permettant de relever les données de consommation des foyers concernés. Le client devra cependant pouvoir retirer son consentement aussi rapidement et simplement qu’il a été donné. Il pourra également faire valoir son droit à l’oubli en choisissant de retirer l’accès aux données recueillies pendant cette période de consentement.

Enjeux et Contraintes

Le RGPD apportant son lot de contraintes pour les entreprises, cette accentuation du besoin de maîtrise de la donnée et de ses usages permettra sur le long terme une simplification de la chaîne de valeur de l’information. La connaissance exacte des données nécessaires aux traitements de chaque SI accompagnée d’un cadre réglementaire n’autorisant de ne conserver que les données utiles à ceux-ci engendrera des banques de données épurées et une réduction du volume de données échangées entre acteurs.

Les systèmes d’informations des acteurs de l’énergie mais aussi des interfaces entre ceux-ci sont voués à évoluer pour permettre une plus grande sécurité et réactivité dans la valorisation des données. Les travaux transverses aux DSI tels que les cartographies des traitements et les projets de gestion des usages des données, apporteront plus de transparence au secteur de l’énergie et renforceront ainsi la confiance des clients envers les acteurs du secteur.

Partagez cet article sur les réseaux sociaux