PACK DE

CONFORMITÉ

LES COMPTEURS
COMMUNICANTS

Édition mai 2014 cnil.fr

PACK DE CONFORMITÉ

SUR LES COMPTEURS

COMMUNICANTS

Le pack de conformité est un nouvel ou- normes simplifiées, autorisations

til de régulation des données personnelles uniques, recommandations, recon-
qui recouvre tout à la fois : naissance de la conformité des règles
Une méthode de travail : il s’agit pour professionnelles, mais aussi des fiches
la Cnil d’associer pleinement les acteurs pratiques élaborées pour clarifier et
d’un secteur d’activité (professionnels à donner des exemples concrets.
titre principal mais aussi, le cas échéant, • des modes opératoires et processus or-
les autorités publiques et usagers concernés) ganisationnels liés à la mise en place
afin de faire remonter les bonnes ou mau- de correspondants informatique et li-
vaises pratiques, les problèmes rencontrés, bertés, de règles internes d’entreprises
les demandes des usagers, les spécificités (appelés BCR), de labels…
du secteur concerné et les questions qui se
posent sur le terrain. Ce référentiel a un double objectif :
Un nouveau mode de régulation pour Sécuriser juridiquement les profession-
la CNIL : Il s’agit de bâtir des référentiels nels en donnant des indications concrètes
sectoriels, mettant à plat les traitements de sur la façon de respecter les textes et des
données personnelles du secteur  pour dé- modes opératoires précis.
boucher sur : Simplifier les formalités autant que la
•u n ensemble de règles et de bonnes loi actuelle le permet, en utilisant les dis-
pratiques déclinées au moyen des penses, normes simplifiées et autorisations
vecteurs juridiques existants tels que uniques.

LES COMPTEURS COMMUNICANTS

Depuis quelques années, on assiste à une donc souhaité accompagner les industriels
montée en puissance des objets communi- du secteur, dès la définition de ces nouveaux
cants, qui font de plus en plus partie du produits et services, en formulant un certain
quotidien des consommateurs. Le secteur de nombre de préconisations.
l’énergie est tout particulièrement concerné
par l’arrivée massive de produits communi-
Recommandation
cants et de services innovants.
sur les compteurs communicants
Pour fonctionner, ces nouveaux produits
et services peuvent être amenés à collecter Devant être installés dans plus de
et à traiter un grand nombre de données 35 millions de foyers par les gestionnaires
personnelles, comme par exemple les don- de réseau, les compteurs communicants
nées relatives à la consommation électrique nécessitent une vigilance particulière pour
des équipements de la maison. La CNIL a protéger la vie privée des personnes concer-

Édition mai 2014 cnil.fr

PACK DE CONFORMITÉ
SUR LES COMPTEURS COMMUNICANTS

nées. En effet, ces équipements sont no- mation électrique par les appareils installés
tamment en mesure de collecter la courbe par les usagers en « aval des compteurs élec-
de charge, dont l’analyse approfondie peut triques » (par exemple, directement sur le ta-
permettre de déduire un grand nombre bleau électrique, via une prise sur le compteur,
d’informations sur les habitudes de vie des directement sur une prise électrique).
personnes concernées. (heures de lever et
de coucher, périodes d’absence, nombre de
personnes présentes dans le logement, etc.).
Dans la mesure où leur installation sera La Fédération des Industries Électriques,
obligatoire, la Commission a mené pendant Électroniques et de Communication (FIEEC)
plus de deux ans une réflexion avec les ac- représente les intérêts de syndicats et
teurs impliqués afin de mieux encadrer les d’organisations professionnelles dont les
traitements mis en place par l’intermédiaire membres appartiennent aux secteurs de
de ces compteurs. À l’issue de cette réflexion, l’énergie, des automatismes, de l’électri-
la Commission a adopté une recommandation cité, de l’électronique, du numérique et
fixant le cadre et les conditions dans lesquelles des biens de consommation. Ces secteurs
les données de consommation des personnes concernent près de 3 000 entreprises,
peuvent être collectées et traitées. emploient près de 420 000 salariés et
réalisent plus de 98 milliards d’euros de
Délibération n° 2012-404 du 15 no- chiffre d’affaires dont 46 % à l’export.
vembre 2012 portant recommandation
relative aux traitements des données de
consommation détaillées collectées par les
compteurs communicants. La FIEEC a pour missions de pro-
mouvoir et défendre les intérêts de ses
membres ; proposer des réformes, anticiper
Innovations dans le pilotage énergétique et participer aux évolutions réglementaires ;
du logement : le partenariat CNIL-FIEEC accompagner les entreprises et clarifier l’ap-
Dans le cadre d’un partenariat entre la plication des règles techniques et juridiques ;
CNIL et la Fédération des Industries Élec- offrir à ses membres des contacts privilégiés
triques, Électroniques et de Communication auprès des décideurs politiques nationaux et
(FIEEC), un groupe de travail a été créé pour européens ; et rassembler les acteurs des
identifier les principes devant encadrer la col- secteurs de ses membres pour offrir à l’Ad-
lecte et le traitement des données de consom- ministration un interlocuteur unique.

LES RÉSULTATS OBTENUS PAR LE GROUPE DE TRAVAIL

L’objectif de ce groupe de travail était Hors de l’infrastructure des compteurs,

d’aboutir à la publication de bonnes pra- c’est-à-dire en aval des compteurs (par
tiques visant à accompagner l’innovation exemple, directement sur le tableau électrique
des industriels du secteur en intégrant la ou bien via une prise sur le compteur permet-
protection des données personnelles le plus tant de collecter des données de consomma-
en amont possible dans la définition des tion précises). Sont donc exclus des présents
nouveaux services, ce qui est appelé en an- travaux les traitements de données réalisés
glais le « privacy by design ». directement via les compteurs électriques ;
Ces travaux concernent uniquement les À la demande et sous la maîtrise des
traitements de données collectées via des particuliers pour leur fournir des services
appareils ou logiciels installés : spécifiques (B to C).

Édition mai 2014 cnil.fr

PACK DE CONFORMITÉ
SUR LES COMPTEURS COMMUNICANTS

Afin de faciliter la mise en conformité de la CNIL pour permettre aux acteurs de se

ces dispositifs à la loi Informatique et Liber- positionner sur un marché européen sinon
tés, trois hypothèses de travail ont été déga- mondial, faisant de la protection des don-
gées, correspondant aux trois scenarios pou- nées un facteur de compétitivité.
vant être rencontrés par les professionnels La démarche de travail est avant tout
du secteur. S’adressant à des professionnels, centrée sur l’usager, ce qui constitue un
ces lignes directrices permettent pour chaque facteur de confiance déterminant pour les
type de traitement identifié, de préciser leurs consommateurs afin qu’ils fassent le choix
finalités, les catégories de données collectées, de ces produits innovants.
leur durée de conservation, les droits des per- Ces lignes directrices sont représentatives
sonnes, les mesures de sécurité à mettre en de l’appréhension à un moment donné des
place et les destinataires des informations. technologies et usages associés et feront
Elles ont vocation à être portées au ni- l’objet d’un bilan annuel. Leur caractère
veau européen, tant par la FIEEC que par souple et évolutif doit donc être souligné.

RAPPEL
La Loi Informatique et Libertés

La loi Informatique et Libertés du 6 janvier est soumise à un certain nombre d’obligations

1978 modifiée s’applique dès lors qu’il est pro- légales (, information des personnes quant
cédé à un traitement de données à caractère au traitement mis en place, voire recueil du
personnel : consentement, mise en place de modalités
• Constitue un traitement de données per- d’exercice du droit d’accès et de suppression
sonnelles toute opération (collecte, enregistre- des données, mesures de sécurité, formalités
ment, conservation, modification, extraction, préalables à effectuer auprès de la CNIL …).
consultation, utilisation, communication, in- La loi Informatique et Libertés ne s’applique
terconnexion, destruction…) portant sur des pas dans le cas des traitements mis en œuvre
données personnelles. pour l’exercice d’activités exclusivement person-
• Constitue une donnée à caractère person- nelles (comme les traitements décrits dans la
nel toute information relative à une personne fiche n°1) ou lorsque les données traitées sont
physique identifiée ou qui peut être identifiée, anonymes, c’est-à-dire lorsqu’elles ne peuvent
directement ou indirectement ainsi. pas être associées directement ou indirectement
Ainsi, sont des données personnelles toutes à une personne physique en isolant un foyer.
les données qui, seules ou combinées entre Pour déterminer le mécanisme à mettre en
elles, peuvent être rattachées à un usager iden- place pour obtenir des données anonymes, le
tifié ou identifiable, un client ou un abonné prestataire doit s’interroger quant à la possibi-
(températures, consommation d’électricité ou de lité de ré-identifier les personnes à partir des
gaz, volume d’eau chaude consommé, état des données obtenues. Il est ainsi nécessaire de
appareils électriques…). Les données person- prendre en considération la volumétrie des don-
nelles ne sont donc pas uniquement les données nées, leur précision, le nombre de personnes
nominatives (nom et prénom en outre). concernées, etc. Les mécanismes d’anony-
En outre, même si les données peuvent misation doivent donc être définis au cas par
concerner en pratique plusieurs personnes ap- cas. À titre d’exemple, l’agrégation des don-
partenant à un même foyer, la CNIL considère nées permettant de reconstituer les courbes de
que ce sont des données personnelles dans la charges issues de dix foyers indépendants ayant
mesure où elles sont rattachées à une personne le même profil peut être considérée comme
physique identifiée (l’abonné). anonyme. De la même manière, un profil de
La mise en place d’un traitement de don- consommation moyen réalisé sur la base de la
nées personnelles doit respecter la loi Infor- moyenne des courbes de charge est également
matique et Libertés. En effet, toute personne considéré comme un traitement de données
qui souhaite traiter des données personnelles anonymes.

Édition mai 2014 cnil.fr

PACK DE CONFORMITÉ
SUR LES COMPTEURS COMMUNICANTS

PÉRIMÈTRE DES 3 SCHÉMAS D’INNOVATION

Scénario n°1 « IN  IN » : la gestion des Scénario n°2 « IN  OUT » : la gestion
données collectées dans le logement sans des données collectées dans le logement et
communication vers l’extérieur. transmises à l’extérieur.
Dans ce scénario, les données collectées Dans ce scénario, les données collectées :
dans le logement restent sous la maîtrise • sortent du logement pour être transmises
unique de l’usager et ne sont pas destinées à un ou des prestataires, que cette sortie soit
à être collectées ou réutilisées par un tiers, ce matériellement effectuée par la personne ou par
qui peut correspondre à deux cas : un prestataire lui-même ;
1. Les applications purement « IN  IN » : • sont traitées par le prestataire pour propo-
plusieurs produits ou solutions commu- ser un service à la personne sans pour autant
niquent entre eux sans sortie de données déclencher une action dans le logement.
vers l’extérieur.
2. Les applications qui impliquent une Scénario n°3 « IN  OUT  IN » : la ges-
sortie des données du logement sans que tion des données collectées dans le logement
ces données ne soient transmises pour ré- et transmises à l’extérieur pour permettre un
utilisation à des tiers. Sont ainsi concernées pilotage à distance de certains équipements
les applications pour lesquelles les données : du logement. 
• restent confinées sur des réseaux de Dans ce scénario, les données :
communications intégralement sous la Maî- • sortent du logement pour être transmises
trise de l’usager (type Wifi ou autre réseau à un ou des prestataires, que cette sortie soit
local) ; matériellement effectuée par la personne ou par
• circulent sur des réseaux de télécom- un prestataire lui-même ;
munications ouverts au public (type ADSL, • sont traitées par le prestataire pour pro-
fibre, GSM). poser un service à la personne impliquant une
interaction avec le logement dans un objectif
de pilotage énergétique des équipements du
logement.

LEXIQUE

Personne concernée : la personne concernée est la personne à laquelle se rattachent les

données qui sont collectées et traitées. Cette personne pourra également être identifiée dans les
fiches pratiques comme l’usager, l’abonné, le client ou le locataire, selon les cas.

Prestataire : le prestataire est celui qui a conclu directement le contrat avec la personne
concernée. En tant que responsable de traitement, il doit respecter l’ensemble des obligations
imposées par la loi Informatique et Libertés (notamment réalisation des formalités préalables
auprès de la CNIL, information ou recueil du consentement de la personne concernée, mise en
place de mesures de sécurité adaptées).

Sous-traitant : le sous-traitant est celui à qui le prestataire a confié la réalisation de tout ou

partie de la prestation. Il collecte et traite les données uniquement au nom et pour le compte du
prestataire. Seule pèse sur lui l’obligation d’assurer la sécurité et la confidentialité des données
collectées.

Édition mai 2014 cnil.fr

PACK DE CONFORMITÉ
SUR LES COMPTEURS COMMUNICANTS

Partenaire commercial : le partenaire commercial est celui à qui le prestataire transmet

des données personnelles. Il collecte et traite les données pour son propre compte. Il est donc
également responsable de traitement pour les données qui lui sont transmises. Il doit, à ce titre,
respecter l’ensemble des obligations imposées par la loi Informatique et Libertés (notamment
réalisation des formalités préalables auprès de la CNIL, information ou recueil du consentement
de la personne concernée, mise en place de mesures de sécurité adaptées).

Tiers : le tiers est toute personne autre que la personne concernée, qu’il s’agisse d’un
prestataire, sous-traitant, ou partenaire commercial.

MENTION TYPE D’INFORMATION ET DE RECUEIL

DE CONSENTEMENT DES PERSONNES CONCERNÉES

Les informations recueillies via le présent appareil par____________ (Veuillez indiquer l’identité
du responsable de traitement) font l’objet d’un traitement informatique destiné à_______________
(Veuillez préciser la finalité).

(Conformément aux articles 39 et suivants de la loi n° 78-17 du 6 janvier 1978 modifiée

relative à l’informatique, aux fichiers et aux libertés) vous pouvez obtenir communication et, le
cas échéant, rectification ou suppression des informations vous concernant, en vous adressant
au service________________ (Veuillez citer le nom et les coordonnées du service concerné).

Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données
vous concernant.

Si vous acceptez que vos données soient transmises à_____________ (Précisez les catégories
de destinataires) pour________________ (Veuillez préciser la finalité : par exemple, « recevoir des
propositions commerciales par voie électronique »), merci de cocher la case ci-contre :

 (Cette case ne doit pas être pré-cochée)

Édition mai 2014 cnil.fr

SCÉNARIO N°1 / « IN  IN »
LA GESTION DES DONNÉES
COLLECTÉES DANS LE LOGEMENT SANS
COMMUNICATION VERS L’EXTÉRIEUR

PÉRIMÈTRE

Dans ce scénario, les données col- restent confinées sur des réseaux
lectées dans le logement restent sous la de communications intégralement sous
maîtrise unique de l’usager et ne sont pas la Maîtrise de la personne (type Wifi ou
destinées à être réutilisées par un tiers, autre réseau local),
ce qui peut correspondre à deux cas : ou circulent sur des réseaux de télé-
1. Les applications purement communications ouverts au public (type
« IN  IN »: plusieurs produits ou solu- ADSL, fibre, GSM).
tions communiquent entre eux à l’inté- Par exemple : une application smart-
rieur du logement, sans aucune sortie de phone utilisée par la personne qui com-
données vers l’extérieur ; munique directement avec du matériel
Par exemple : communication entre le installé dans son domicile.
thermostat et le chauffage, gestion du
chauffage zone par zone, mise en veille Le fait que les données passent sur
de la maison au départ de l’occupant, les réseaux gérés par des opérateurs de
déploiement des volets roulants en fonc- communications électroniques ne pose
tion du niveau d’ensoleillement ou de pas de difficultés dans la mesure où ces
la température ambiante dans la zone opérateurs ont des obligations renforcées
déterminée par un capteur. quand à ce qu’ils peuvent faire avec ces
données de trafic. Ceci n’est cependant
2. Les applications qui impliquent valable que si l’opérateur en question agit
une sortie des données du logement, bien en tant que fournisseur du service de
sans que ces données ne soient trans- communication électronique. À l’inverse,
mises à des tiers. Sont ainsi concernées si l’opérateur souhaite fournir un autre
les applications pour lesquelles les don- service, les recommandations applicables
nées : sont celles des scénarios 2 ou 3.

Édition mai 2014 cnil.fr

SCÉNARIO N°1 / « IN  IN »
LA GESTION DES DONNÉES COLLECTÉES DANS
LE LOGEMENT SANS COMMUNICATION VERS L’EXTÉRIEUR

ANALYSE DES TRAITEMENTS DE DONNÉES PERSONNELLES

AU REGARD DE LA LOI INFORMATIQUE ET LIBERTÉS

La mise en place d’un traitement de propriétaire/bailleur d’installer un appareil

données personnelles doit respecter la loi dans le logement permettant d’informer
Informatique et Libertés. En effet, toute per- l’occupant sur sa consommation, mais ce
sonne qui souhaite traiter des données per- dernier peut ne pas souhaiter bénéficier de
sonnelles est soumise à un certain nombre cette information.
d’obligations légales, sauf dans le cas des Le consentement doit être une manifes-
traitements mis en œuvre pour l’exercice tation de volonté libre, spécifique et infor-
d’activités exclusivement personnelles, ce mée de la personne à ce que des données
qui est le cas dans le scénario présenté dans à caractère personnel la concernant fassent
cette fiche. l’objet d’un traitement (par exemple, case à
Dans la mesure où dans ce scénario les cocher non pré-cochée, branchement d’un
dispositifs restent sous la maîtrise unique produit dans le logement).
de la personne, la principale problématique
s’avère être celle de la sécurité des données.
Données collectées
Seules peuvent être collectées les don-
Finalités poursuivies par les traitements : nées personnelles nécessaires à la finalité
Finalité 1 : gestion des équipements et poursuivie par le traitement. Dans le cas
information sur la consommation : la per- d’un contrat de prestation de service sous-
sonne souhaite obtenir des informations sur crit par la personne, les seules données
sa consommation d’énergie ou faire commu- pouvant être collectées sont celles qui sont
niquer plusieurs appareils de son logement indispensables à la fourniture du service en
afin d’obtenir des services de domotique ou question.
d’efficacité énergétique. Elle installe pour cela
un ou plusieurs produits (un écosystème) ;
Finalité 2 : information sur la consom- Durée de conservation
mation dans les logements neufs au titre La durée de conservation des données
de la Réglementation Thermique 2012 (RT collectées est déterminée par la personne
2012) : l’occupant du logement est informé elle-même puisqu’elle maîtrise le système.
sur sa consommation d’énergie au moyen Ainsi, la personne doit être en mesure
d’appareils installés dans son logement. de supprimer les données personnelles
collectées par les dispositifs installés dans
son logement, et ce à tout moment (et no-
Base légale tamment lorsque la personne déménage
La base légale du traitement est le ou qu’est requise une opération de service
consentement de la personne : après vente impliquant qu’un tiers puisse
Pour la finalité 1, le recueil de ce avoir accès aux données : mise à jour, répa-
consentement se fera lors de la souscription ration…). Cette suppression peut s’effectuer
du contrat par la personne concernée au- au moyen d’un système prévu dans le dis-
près d’un prestataire pour que ce dernier lui positif lui-même (bouton, débranchement…)
fournisse un service déterminé. Le consen- ou par tout autre moyen mis à disposition
tement sera donc recueilli au moment de la de la personne.
signature du contrat ; En tout état de cause, lorsque le pres-
Pour la finalité 2, l’occupant du loge- tataire récupère un dispositif qui n’a pas
ment doit pouvoir maîtriser le système. Ainsi vocation à être réinstallé chez la personne,
il doit être en mesure de pouvoir désactiver il doit systématiquement supprimer les
lui-même le système ou pouvoir en faire la données contenues dans ce dispositif. Alors
demande. En effet, la RT 2012 impose au qu’une telle suppression des données est

Édition mai 2014 cnil.fr

SCÉNARIO N°1 / « IN  IN »
LA GESTION DES DONNÉES COLLECTÉES DANS
LE LOGEMENT SANS COMMUNICATION VERS L’EXTÉRIEUR

indispensable pour les produits recondition- de transmettre ces données à un autre

nables, elle peut s’opérer par la destruction système dans un format électronique cou-
du dispositif lui-même pour les produits en ramment utilisé.
fin de vie.

Sécurité
Destinataires Le prestataire doit mettre en place des me-
Dans la mesure où dans ce scénario il n’y sures permettant de garantir la sécurité et la
a pas de communications vers l’extérieur, la confidentialité des données traitées par les
personne concernée peut seule avoir accès appareils qu’il fournit à la personne, et doit
aux données. prendre toutes les précautions utiles pour en
empêcher la prise de contrôle par toute per-
sonne non autorisée, notamment en :
Information et droits des personnes  chiffrant tous les échanges de données
Dans la mesure où les traitements sont mis avec des algorithmes à l’état de l’art,
en œuvre pour l’exercice d’activités exclusi- protégeant les clés de chiffrement de
vement personnelles, il n’y a pas d’obligation toute divulgation accidentelle,
d’informer la personne quant à ces traitements. authentifiant les appareils destinataires
Cependant, pour la finalité 2 (appareils des données,
installés dans le logement au titre de la RT subordonnant l’accès aux fonctionna-
2012), la personne doit être informée de la lités de contrôle de l’installation à une au-
présence de ces dispositifs et des moyens thentification fiable de l’utilisateur (mot de
pour les désactiver. De même, dès lors que passe, certificat électronique, …).
ces appareils permettent de collecter d’autres Les mesures ainsi mises en place doivent
données que celles prévues réglementaire- être adaptées au niveau de sensibilité des
ment, il est nécessaire d’en informer spécifi- données et aux capacités de contrôle des
quement la personne et de lui permettre de appareils.
désactiver cette partie du dispositif.
En outre, le prestataire doit mener une
étude d’impact sur la possibilité pour les Formalités préalables
personnes : Dans la mesure où les traitements sont
d’obtenir une copie des données dans mis en œuvre pour l’exercice d’activités ex-
un format électronique couramment utilisé clusivement personnelles, il n’y a pas de
et permettant la réutilisation des données ; formalités à effectuer auprès de la CNIL.

Édition mai 2014 cnil.fr

SCÉNARIO N°2 / « IN  OUT »
LA GESTION DES DONNÉES
COLLECTÉES DANS LE LOGEMENT
ET TRANSMISES À L’EXTÉRIEUR

PÉRIMÈTRE

Ce scénario couvre les cas dans les- En pratique, les données peuvent être
quels les données : collectées et traitées par le prestataire qui
sortent du logement pour être trans- a conclu directement le contrat avec la
mises à un ou des prestataires, que cette personne ou par d’autres tiers à qui ce
sortie soit matériellement effectuée par la prestataire a confié la réalisation de tout
personne ou par un prestataire lui-même ; ou partie de la prestation (les sous-trai-
sont traitées par le prestataire pour tants) ou transmis des données (parte-
proposer un service à la personne sans naires commerciaux).
pour autant déclencher une action dans
le logement.
Par exemple : proposition par un pres-
tataire d’un nouveau contrat électrique
après analyse des consommations.

TRANSMISSION DE DONNÉES AU SERVEUR

Édition mai 2014 cnil.fr

SCÉNARIO N°2 / « IN  OUT »
LA GESTION DES DONNÉES COLLECTÉES
DANS LE LOGEMENT ET TRANSMISES À L’EXTÉRIEUR

ANALYSE DES TRAITEMENTS DE DONNÉES PERSONNELLES

AU REGARD DE LA LOI INFORMATIQUE ET LIBERTÉS

La mise en place d’un traitement de Pour les finalités 1 et 2 (suivi de la

données personnelles doit respecter la loi consommation et réalisation de bilan éner-
Informatique et Libertés. En effet, toute per- gétique), le recueil de ce consentement sera
sonne qui souhaite traiter des données per- recueilli lors de la souscription du contrat
sonnelles est soumise à un certain nombre par la personne concernée auprès d’un pres-
d’obligations légales. tataire pour que ce dernier lui fournisse un
service déterminé. Le consentement sera
donc recueilli au moment de la signature
du contrat ;
Finalités poursuivies par les traitements
Pour la finalité 3 (suivi de la consomma-
(liste non exhaustive)
tion par les bailleurs sociaux), les bailleurs so-
Finalité 1 : suivi de la consommation ciaux ne peuvent de droit accéder aux données
du  logement : la personne contracte avec un de consommation du locataire, ils doivent
prestataire qui lui fournit un service d’infor- donc obtenir le consentement de ce dernier.
mation sur sa consommation. Dans ce cas, Ils peuvent cependant accéder librement aux
les données de consommation sont transmises données anonymisées de l’immeuble ;
au prestataire pour être traitées et/ou héber- Pour la finalité 4 (prospection commer-
gées, puis mises à disposition de la personne ciale), le prestataire peut librement utiliser
via un affichage déporté ou une plateforme les données de la personne (son client) qui
spécifique ; sont strictement nécessaires à la réalisation
Finalité 2 : réalisation de bilans énergé- des opérations de prospection commerciale,
tiques : la personne contracte avec un presta- sauf opposition de celle-ci. En revanche, la
taire qui analyse ses données de consomma- CNIL recommande de recueillir systématique-
tion et lui fournit un bilan de sa consommation ment le consentement de la personne avant
pour lui proposer des travaux d’isolation, de toute transmission des données à un autre
nouveaux équipements moins énergivores, prestataire.
etc ; Pour la finalité 5 (optimisation des mo-
Finalité 3 : suivi de la consommation dèles), dans la mesure où les données anony-
par les bailleurs sociaux : les bailleurs sociaux misées ne sont pas des données personnelles,
accèdent aux données de consommation afin elles peuvent être librement utilisées.
d’aider le locataire à réduire sa consommation Pour mémoire, le consentement doit être
d’énergie ; une manifestation de volonté libre, spéci-
Finalité 4 : prospection commerciale : le fique et informée de la personne à ce que des
prestataire utilise les données personnelles de données à caractère personnel la concernant
la personne pour procéder à des opérations de fassent l’objet d’un traitement (par exemple,
prospection commerciale pour son compte ; case à cocher non pré-cochée, branchement
Finalité 5 : optimisation des modèles : un d’un produit dans le logement).
prestataire ou un bailleur social utilise les don-
nées de consommation de la personne pour
établir des statistiques (données anonymisées Données collectées
ou agrégées ne permettant pas l’identification Seules peuvent être collectées les don-
d’une personne physique). nées personnelles nécessaires à la finalité
poursuivie par le traitement. Dans le cas
d’un contrat de prestation de service sous-
Base légale crit par la personne, les seules données
Pour les finalités 1 à 3, la base légale du pouvant être collectées sont celles qui sont
traitement est le consentement de la per- indispensables à la fourniture du service en
sonne : question.

Édition mai 2014 cnil.fr

SCÉNARIO N°2 / « IN  OUT »
LA GESTION DES DONNÉES COLLECTÉES
DANS LE LOGEMENT ET TRANSMISES À L’EXTÉRIEUR

Durée de conservation an sous forme détaillée, puis doivent être

Pour les finalités 1 et 2 (nécessitant agrégées pour le reste de la durée du bail.
la conclusion d’un contrat de prestation de Pour la finalité 4 (prospection commer-
service), il convient de distinguer deux types ciale) : les données collectées et conservées
de données : au titre des finalités 1 et 2, lorsqu’elles
• Les données commerciales (identité de sont strictement nécessaires à la réalisation
la personne, données relatives aux tran- d’opérations de prospection commerciale,
sactions, aux moyens de paiement…) : peuvent être conservées par le prestataire
ces données peuvent être conservées pendant un délai de trois ans à compter de
pendant toute la durée du contrat. la fin de la relation commerciale ;
À l’issue du contrat, elles peuvent faire Pour la finalité 5 (optimisation des
l’objet d’un archivage physique (sur modèles) : dans la mesure où les données
support distinct : CD-ROM, etc.) ou anonymisées ne sont pas des données per-
logique (par gestion des habilitations) sonnelles, elles peuvent être conservées
pour prévenir d’éventuels contentieux. pendant une durée illimitée.
Puis, à l’issue des durées de prescrip-
tion légale, les données doivent être
supprimées ou anonymisées. Destinataires
•L  es données de consommation pro- En principe, peuvent seuls avoir accès
prement dites : ces données doivent aux données le prestataire et la personne
être conservées pendant une durée concernée.
proportionnée par rapport à la finalité Cependant, le prestataire peut être ame-
poursuivie : né à transmettre les données de la personne
- Lorsque le contrat est conclu pour à un sous-traitant ou à un partenaire com-
une durée déterminée (prestation « one mercial.
shot ») : les données de consommation Transmission des données à un sous-trai-
peuvent être conservées pendant toute tant : le prestataire peut librement transmettre
la durée du contrat. des données personnelles à un sous-traitant,
 Par exemple, pour la finalité 2 (bilan auquel il fait appel pour participer à l’exécu-
énergétique), les données peuvent être tion du service proposé à la personne.
conservées jusqu’à la fourniture à la Dans cette hypothèse, le prestataire, en
personne du résultat de l’analyse. tant que responsable de traitement, reste res-
- Lorsque le contrat est conclu pour ponsable des conditions de traitement des
une durée indéterminée : les données données par son sous-traitant. De son côté, le
peuvent être conservées pendant une sous-traitant a pour seule obligation d’assurer
durée limitée sous forme détaillée, puis la sécurité et la confidentialité des données.
doivent être agrégées pour le reste de Transmission des données à un parte-
la durée du contrat. naire commercial :
Par exemple, pour la finalité 1 (sui- •S  i les données transmises sont des
vi de la consommation), il semble données anonymes (notamment fina-
raisonnable de pouvoir conserver les lité 5) : le prestataire peut librement
données détaillées pendant trois ans, transmettre les données à un partenaire
avant agrégation. commercial. Ni le prestataire, ni le par-
À l’issue du contrat, dans la mesure où tenaire commercial n’ont alors d’obliga-
les données de consommation détaillées et tion au regard de la loi Informatique et
agrégées ne servent pas à la facturation du Libertés, celle-ci étant pas applicable
service, elles doivent être supprimées ou aux données anonymes ;
anonymisées. •S  i les données transmises sont des don-
Pour la finalité 3 (suivi de la consom- nées personnelles :
mation par les bailleurs sociaux) : les don- - Pour les finalités 1 à 3, le prestataire
nées peuvent être conservées pendant un doit recueillir le consentement de la per-

Édition mai 2014 cnil.fr

SCÉNARIO N°2 / « IN  OUT »
LA GESTION DES DONNÉES COLLECTÉES
DANS LE LOGEMENT ET TRANSMISES À L’EXTÉRIEUR

sonne avant toute transmission de ses En outre, le prestataire doit mener une
données au partenaire commercial (par étude d’impact sur la possibilité pour les
exemple, via une case à cocher non personnes :
pré-cochée ou, lorsque cela est techni- d’obtenir une copie des données dans
quement possible, via un dispositif phy- un format électronique couramment utilisé
sique ou logique accessible du logement et permettant la réutilisation des données ;
par la personne) ; de transmettre ces données à un autre
- Pour la finalité 4 (prospection commer- système dans un format électronique cou-
ciale), la CNIL recommande de recueillir ramment utilisé.
systématiquement le consentement de la
personne.
Dans les deux cas, le partenaire commer- Sécurité
cial devient à son tour responsable de traite- Le prestataire doit mettre en place des me-
ment pour le traitement des données qui lui sures permettant de garantir la sécurité et la
sont transmises et est soumis à l’ensemble confidentialité des données traitées par les
des dispositions de la loi Informatique et appareils qu’il fournit à la personne, et doit
Libertés.. prendre toutes les précautions utiles pour en
empêcher la prise de contrôle par une per-
sonne non autorisée, notamment en :
Information et droits des personnes  chiffrant tous les échanges de données
La personne doit être informée, préalable- avec des algorithmes à l’état de l’art,
ment à la mise en œuvre du traitement, de protégeant les clés de chiffrement de
l’identité du responsable de traitement, de la toute divulgation accidentelle,
finalité du traitement, des destinataires des authentifiant les appareils destinataires
données, ainsi que des droits dont elle dis- des données,
pose au titre de la loi Informatique et Liber- subordonnant l’accès aux fonctionna-
tés. Cette information pourrait être effectuée lités de contrôle de l’installation à une au-
lors de la signature du contrat de prestation thentification fiable de l’utilisateur (mot de
de service par la personne concernée. passe, certificat électronique, …).
Par ailleurs, la personne dispose d’un droit Les mesures ainsi mises en place doivent
d’accès, de rectification et de suppression de être adaptées au niveau de sensibilité des
ses données. Le prestataire doit permettre à données.
la personne d’exercer son droit d’accès de la Concernant les mesures à mettre en place
façon la plus efficace possible, sachant que au niveau des infrastructures externes au lo-
l’intégralité des données personnelles que dé- gement, le prestataire doit mener une étude
tient le prestataire est concernée par ce droit. des risques engendrés par le traitement afin
Pour les finalités 1 à 3, la personne peut de déterminer et de mettre en œuvre les
également retirer son consentement en ré- mesures nécessaires à la protection de la
siliant le contrat qu’elle a conclu avec le vie privée des personnes. La CNIL met à
prestataire, ce qui doit conduire à l’arrêt du disposition une méthode de ce type sur son
traitement. Les données doivent alors être site web (http://www.cnil.fr/les-themes/
supprimées, anonymisées ou archivées. securite/), mais d’autres méthodes équiva-
Pour la finalité 4 (prospection commerciale), lentes peuvent être utilisées.
la personne doit être mise en mesure de
s’opposer, sans frais, au traitement de ses
données par le prestataire. Pour la finalité 5 Formalités préalables
(optimisation des modèles), dans la mesure Le prestataire doit effectuer une déclara-
où les données anonymisées ne sont pas des tion normale auprès de la CNIL. Cette dé-
données personnelles, les personnes n’ont claration doit être effectuée sur le site de la
pas à être informées. CNIL (www.cnil.fr).

Édition mai 2014 cnil.fr

SCÉNARIO N°3 / « IN  OUT  IN»
LA GESTION DES DONNÉES COLLECTÉES
DANS LE LOGEMENT ET TRANSMISES
À L’EXTÉRIEUR POUR PERMETTRE UN
PILOTAGE À DISTANCE DE CERTAINS
ÉQUIPEMENTS DU LOGEMENT

PÉRIMÈTRE

Ce scénario couvre les cas dans les- d’eau chaude sanitaire, l’enclenchement
quels les données : de sa pompe à chaleur, le déclenchement
sortent du logement pour être trans- de sa machine à laver ou le chargement
mises à un ou des prestataires, que cette de son véhicule électrique au moment où
sortie soit matériellement effectuée par la l’électricité est la moins chère.
personne ou par un prestataire lui-même ;
sont traitées par le prestataire pour En pratique, les données peuvent être
proposer un service à la personne impli- collectées et traitées par le prestataire qui
quant une interaction avec le logement a conclu directement le contrat avec la
dans un objectif de pilotage énergétique personne (le prestataire) ou par d’autres
des équipements du logement. prestataires à qui ce prestataire a confié
Par exemple : service permettant à la la réalisation de tout ou partie de la pres-
personne de commander la production tation (les sous-traitants).

ÉMISSION D’UNE ACTION À PARTIR DU SERVEUR

TRANSMISSION DE DONNÉES AU SERVEUR

Édition mai 2014 cnil.fr

SCÉNARIO N°3 / « IN  OUT IN »
LA GESTION DES DONNÉES COLLECTÉES DANS LE LOGEMENT
ET TRANSMISES À L’EXTÉRIEUR POUR PERMETTRE UN PILOTAGE
À DISTANCE DE CERTAINS ÉQUIPEMENTS DU LOGEMENT

ANALYSE DES TRAITEMENTS DE DONNÉES PERSONNELLES

AU REGARD DE LA LOI INFORMATIQUE ET LIBERTÉS

La mise en place d’un traitement de né. Le consentement sera donc recueilli au

données personnelles doit respecter la loi moment de la signature du contrat.
Informatique et Libertés. En effet, toute per- Pour la finalité 3 (prospection commer-
sonne qui souhaite traiter des données per- ciale), le prestataire peut librement utiliser
sonnelles est soumise à un certain nombre les données de la personne (son client) qui
d’obligations légales. sont strictement nécessaires à la réalisation
des opérations de prospection commerciale,
sauf opposition de celle-ci. En revanche, la
Finalités poursuivies par les traitements CNIL recommande de recueillir systémati-
(liste non exhaustive) quement le consentement de la personne
Finalités poursuivies par les traitements avant toute transmission des données à un
(liste non exhaustive) : autre prestataire.
Finalité 1 : effacement de la consomma- Le consentement doit être une manifes-
tion du logement : la personne contracte avec tation de volonté libre, spécifique et infor-
un prestataire qui lui fournit un service d’effa- mée de la personne à ce que des données
cement, permettant d’activer ou de désactiver à caractère personnel la concernant fassent
à distance certains équipements du logement l’objet d’un traitement (par exemple, case à
dans certaines situations identifiées et ainsi cocher non pré-cochée, branchement d’un
de décaler leur consommation. Dans ce cas, produit dans le logement).
les données sont transmises au prestataire qui
les traite pour déterminer quand il convient
d’intervenir sur les équipements du logement Données collectées
(par exemple : service permettant d’éteindre Seules peuvent être collectées les don-
le chauffage au-dessus de 19 degrés lors d’un nées personnelles nécessaires à la finalité
pic de consommation) ; poursuivie par le traitement. Dans le cas
Finalité 2 : efficacité énergétique du lo- d’un contrat de prestation de service sous-
gement : la personne contracte avec un pres- crit par la personne, les seules données
tataire qui lui fournit un service permettant pouvant être collectées sont celles qui sont
d’améliorer l’efficacité énergétique de son lo- indispensables à la fourniture du service en
gement en agissant sur différents équipements question.
du logement. Dans ce cas, des données sont
transmises au prestataire qui les traite pour Durée de conservation
déterminer l’action à mener dans le logement Pour les finalités 1 et 2 (nécessitant
(par exemple : service permettant de fermer la conclusion d’un contrat de prestation de
les volets en cas d’absence du logement). service), il convient de distinguer deux types
Finalité 3 : prospection commerciale : de données :
le prestataire utilise les données personnelles • Les données commerciales (identité de
de la personne pour procéder à des opérations la personne, données relatives aux tran-
de prospection commerciale pour son compte. sactions, aux moyens de paiement…) :
ces données peuvent être conservées
pendant toute la durée du contrat.
Base légale À l’issue du contrat, elles peuvent faire
Pour les finalités 1 et 2 (effacement et ef- l’objet d’un archivage physique (sur
ficacité énergétique), la base légale du trai- support distinct : CD-ROM, etc.) ou
tement est le consentement de la personne. logique (par gestion des habilitations)
Le recueil de ce consentement se fera lors pour prévenir d’éventuels contentieux.
de la souscription du contrat par la personne Puis, à l’issue des durées de prescrip-
concernée auprès d’un prestataire pour que tion légale, les données doivent être
ce dernier lui fournisse un service détermi- supprimées ou anonymisées.

Édition mai 2014 cnil.fr

SCÉNARIO N°3 / « IN  OUT IN »
LA GESTION DES DONNÉES COLLECTÉES DANS LE LOGEMENT
ET TRANSMISES À L’EXTÉRIEUR POUR PERMETTRE UN PILOTAGE
À DISTANCE DE CERTAINS ÉQUIPEMENTS DU LOGEMENT

• L es données de consommation pro- Transmission des données à un parte-

prement dites et les données de naire commercial :
commande (données relatives aux • Si les données transmises sont des don-
demandes d’action sur les équi- nées anonymes : le prestataire peut li-
pements du logement et résultats brement transmettre les données à un
éventuels de ces actions) : ces don- partenaire commercial. Ni le presta-
nées doivent être conservées pen- taire, ni le partenaire commercial n’ont
dant une durée limitée sous forme alors d’obligation au regard de la loi
détaillée, puis doivent être agrégées Informatique et Libertés, celle-ci étant
pour le reste de la durée du contrat. pas applicable aux données anonymes ;
En l’espèce, il semble raisonnable de • Si les données transmises sont des don-
pouvoir conserver les données détaillées nées personnelles :
pendant trois ans, avant agrégation. - Pour les finalités 1 et 2, le prestataire
À l’issue du contrat, dans la mesure doit recueillir le consentement de la per-
où les données de consommation dé- sonne avant toute transmission de ses
taillées et agrégées ne servent pas à la données au partenaire commercial (par
facturation du service, elles doivent être exemple, via une case à cocher non
supprimées ou anonymisées. pré-cochée ou, lorsque cela est techni-
Pour la finalité 3 (prospection com- quement possible, via un dispositif phy-
merciale) : les données collectées et sique ou logique accessible du logement
conservées au titre des finalités 1 et 2, par la personne) ;
lorsqu’elles sont et strictement nécessaires - Pour la finalité 3 (prospection com-
à la réalisation d’opérations de prospec- merciale), la CNIL recommande
tion commerciale, peuvent être conservées de recueillir systématiquement
par le prestataire pendant un délai de trois le consentement de la personne.
ans à compter de la fin de la relation com- Dans les deux cas, le partenaire commer-
merciale. cial devient à son tour responsable de
traitement pour le traitement des données
qui lui sont transmises et est soumis à
Destinataires l’ensemble des dispositions de la loi In-
En principe, peuvent seuls avoir accès formatique et Libertés.
aux données le prestataire et la personne
concernée.
Cependant, le responsable de traitement Information et droits des personnes 
peut être amené à transmettre les données La personne doit être informée, préalable-
de la personne à un sous-traitant ou un par- ment à la mise en œuvre du traitement, de
tenaire commercial. l’identité du responsable de traitement, de la
finalité du traitement, des destinataires des
Transmission des données à un données, ainsi que des droits dont elle dis-
sous-traitant : le prestataire peut librement pose au titre de la loi Informatique et Liber-
transmettre des données personnelles à un tés. Cette information pourrait être effectuée
sous-traitant, auquel il fait appel pour par- lors de la signature du contrat de prestation
ticiper à l’exécution du service proposé à la de service par la personne concernée.
personne. Par ailleurs, la personne dispose d’un
Dans cette hypothèse, le prestataire, en droit d’accès, de rectification et de sup-
tant que responsable de traitement, reste pression de ses données. Le prestataire
responsable des conditions de traitement doit permettre à la personne d’exercer son
des données par son sous-traitant. De son droit d’accès de la façon la plus efficace pos-
côté, le sous-traitant a pour seule obligation sible, sachant que l’intégralité des données
d’assurer la sécurité et la confidentialité des personnelles que détient le prestataire est
données. concernée par ce droit.

Édition mai 2014 cnil.fr

SCÉNARIO N°3 / « IN  OUT IN »
LA GESTION DES DONNÉES COLLECTÉES DANS LE LOGEMENT
ET TRANSMISES À L’EXTÉRIEUR POUR PERMETTRE UN PILOTAGE
À DISTANCE DE CERTAINS ÉQUIPEMENTS DU LOGEMENT

Pour les finalités 1 et 2, la personne peut Les mesures ainsi mises en place doivent
également retirer son consentement en résiliant être adaptées au niveau de sensibilité des
le contrat qu’elle a conclu avec le prestataire, données et aux capacités de contrôle des
ce qui doit conduire à l’arrêt du traitement. Les appareils.
données doivent alors être supprimées, anony- Concernant les mesures à mettre en place
misées ou archivées. Pour la finalité 3 (pros- au niveau des infrastructures externes au lo-
pection commerciale), la personne doit être gement, le prestataire doit mener une étude
mise en mesure de s’opposer, sans frais, au des risques engendrés par le traitement afin
traitement de ses données par le prestataire. de déterminer et de mettre en œuvre les me-
Par ailleurs, le prestataire doit prévoir une sures nécessaires à la protection de la vie
fonctionnalité de débrayage manuel du dis- privée des personnes. La CNIL met à dispo-
positif permettant à la personne de contre- sition une méthode de ce type sur son site
carrer les actions menées à distance sur les web (http://www.cnil.fr/les-themes/securite/),
équipements de son logement (exemple : mais d’autres méthodes équivalentes peuvent
relancer le chauffage qui a été coupé dans être utilisées.
le cadre d’une prestation d’effacement). Enfin, le prestataire doit développer ses
Enfin, le prestataire doit mener une produits et services en intégrant dès l’ori-
étude d’impact sur la possibilité pour les gine la problématique des données person-
personnes : nelles (privacy by design). À tout le moins,
d’obtenir une copie des données dans le produit ou service doit limiter la sortie du
un format électronique couramment utilisé logement des données à ce qui est stricte-
et permettant la réutilisation des données ; ment nécessaire à la fourniture du service, et
de transmettre ces données à un autre privilégier les décisions prises localement à
système dans un format électronique cou- celles réalisées à l’extérieur du logement. Le
ramment utilisé. prestataire doit également favoriser une ano-
nymisation des données le plus tôt possible
dans la chaine de collecte. Dès lors que les
Sécurité données sont anonymes, il est rappelé que
Le prestataire doit mettre en place des me- la loi Informatique et Libertés ne s’applique
sures permettant de garantir la sécurité et la plus et que les données peuvent donc être
confidentialité des données traitées par les conservées et échangées de façon illimitée.
appareils qu’il fournit à la personne, et doit
prendre toutes précautions utiles pour en em-
pêcher la prise de contrôle par une personne Formalités préalables
non autorisée, notamment en : Le prestataire doit effectuer une déclara-
chiffrant tous les échanges de données tion normale auprès de la CNIL. Cette dé-
avec des algorithmes à l’état de l’art, claration doit être effectuée sur le site de la
protégeant les clés de chiffrement de CNIL (www.cnil.fr).
toute divulgation accidentelle,
authentifiant les appareils destinataires
des données,
subordonnant l’accès aux fonctionnalités
de contrôle de l’installation à une authenti-
fication fiable de l’utilisateur (mot de passe,
certificat électronique, …).

Édition mai 2014 cnil.fr