Smart metering

A teneur de l’art. 17a al. 1 de la loi fédérale du 23 mars 2007 sur l’approvisionnement en électricité (LApEl ; RS 734.7), un système de mesure intelligent installé chez le consommateur final, le producteur ou l’agent de stockage, est une installation servant à enregistrer l’énergie électrique qui permet une transmission bidirectionnelle des données et qui enregistre le flux d’énergie effectif et sa variation en temps réel.

C’est la consécration, en droit fédéral suisse, du smart metering, soit d’un système de mesure intelligent qui ne se limite pas à l’appareil de mesure proprement dit mais comprend la totalité de l’installation, donc et y compris les instruments de communication et de transmission des données récoltées (FF 2013 6848, 6933). Il est à noter qu’il peut exister d’autres bases légales concernant le smart metering en droit cantonal et communal pour les entités ou services de droit public.

Le Conseil fédéral écrit, avec un sens consommé de l’understatement, que l’introduction et l’exploitation de tels systèmes de mesure intelligents chez le consommateur final peut s’avérer « délicat » sous l’angle du droit de la protection des données (FF 2013 6935), raison pour laquelle il soumet les traitements en lien avec ces systèmes de mesure à la loi fédérale sur la protection des données (LPD), dont une nouvelle mouture s’applique d’ailleurs dès le 1^er septembre 2023 (FF 2020 7937) (art. 17c al. 1 LApEl).

Protection des données

La nouvelle loi sur la protection des données introduit plusieurs changements importants en termes de droits des personnes concernées et d’obligations des responsables de traitement. On en prendra deux exemples. Le droit de la protection des données n’est ainsi plus applicable directement aux personnes morales (art. 1 LPD), ce qui contraint le législateur à préciser qu’il le sera désormais par analogie (art. 17c al. 1 2^e phr. LApEl), alors qu’il aurait pu se contenter des garanties de l’art. 13 al. 2 Cst. Le nouveau droit renforce également considérablement les obligations d’information à charge du responsable de traitement (art. 19 ss LPD), qui devra communiquer, à l’occasion de la collecte des données, au moins l’identité et les coordonnées du responsable de traitement, la finalité du traitement et les destinataires des données.

Le renvoi de la LApEl à la LPD n’avait, jusqu’ici, que peut attiré l’attention des auteurs. Or deux décisions récentes, en Allemagne et en Suisse, rendues en matière de compteurs d’eau intelligents, peuvent illustrer les conséquences pratiques de l’application du droit de la protection des données au smart metering.

Données personnelles

La première question que soulèvent ces décisions est celle de l’existence ou non de données personnelles. Une chose en effet est de déclarer que la loi sur la protection des données s’appliquerait, une autre serait de vérifier que les éléments traités par les smart meters sont bien des données au sens de la loi.

Il importe ici de rappeler que les données personnelles sont « toutes les informations concernant une personne physique identifiée ou identifiable » (art. 5 let. a LPD). Est réputée identifiable la personne physique qui peut être identifiée, directement ou indirectement, c’est-à-dire par corrélation d’informations tirées des circonstances ou du contexte. L’identification peut résulter d’un seul élément (numéro de téléphone, d’immeuble, numéro AVS, empreintes digitales) ou du recoupement de plusieurs informations (adresse, date de naissance et état civil). Une possibilité purement théorique qu’une personne soit identifiée n’est pas suffisante. Il convient de prendre en compte dans chaque cas d’espèce l’ensemble des moyens raisonnablement susceptibles d’être utilisés pour identifier la personne. Le caractère raisonnable des moyens en question doit être évalué au regard de l’ensemble des circonstances, telles que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de leur évolution.

Il est donc intéressant de citer ici l’arrêt du Bayerischer Verwaltungsgerichtshof du 27 septembre 2022 (VGH München – 4 BV 21.2328) selon lequel les données d’un compteur d’eau sont des données personnelles, même si plusieurs personnes partagent le compteur, dans la mesure où il est possible d’en tirer des conclusions sur la consommation des individus en cause relativement facilement avec peu d’informations complémentaires. En d’autres termes, les données issues du smart metering, qui peuvent agréger plusieurs données et consommateurs potentiels, par exemple en lien avec un bâtiment ou une installation, restent des données personnelles soumises au droit de la protection des données si les personnes concernées et leur consommation sont identifiables sans efforts excessifs.

Minimisation et évitement

La seconde question est celle de l’application du principe de proportionnalité (art. 6 al. 2 LPD), singulièrement sous l’angle de la Datenvermeidung (évitement des données : on ne récolte pas de données si elles ne sont pas nécessaires) et de la Datensparsamkeit (minimisation ou économicité des données : si elles sont nécessaires on en récolte le minimum).  Il a ainsi été jugé dans un ATF 147 I 346 dans une affaire relative à un règlement communal sur l’eau que les données relatives à la consommation d’eau sont des données personnelles dont le traitement à des fins de facturation est conforme au droit à l’autodétermination informationnelle (art. 13 al. 2 Cst.). En revanche, leur collecte, leur conservation pendant 252 jours sur un compteur d’eau et leur émission par radio toutes les 30 ou 45 secondes sans but défini sont contraires aux principes de l’évitement et de la minimisation de données et constituent par conséquent une atteinte disproportionnée.

Il en résulte très clairement que l’examen du smart metering dans ses composantes, ses modalités, ses résultats, ses intentions, que sais-je encore, pourra être effectué par le juge qui appliquera les principes du droit de la protection des données, soit via l’art. 17c al. 1 LApEl et la LPD, soit – pour les entités cantonales ou communales, via l’art. 13 al. 2 Cst, et ce quelles que soient les limites apparentes données à l’information en rapport avec ces systèmes qui découleraient de l’art. 8 OApEl.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)