VOTRE COMPTEUR ÉLECTRIQUE INTELLIGENT ENREGISTRE-T-IL VOTRE VIE PRIVÉE À VOTRE INSU ?
LA CJUE SAISIE D’UNE QUESTION QUI CONCERNE CHAQUE CONSOMMATEUR EUROPÉEN.
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
Renvoi préjudiciel — Landesgericht St. Pölten (Autriche) — 3 juillet 2024
I.
L’affaire C-468/24, Netz Niederösterreich, cristallise une tension structurelle entre la politique énergétique de l’Union européenne — fondée sur le déploiement généralisé des compteurs communicants dits « intelligents » — et les exigences impératives du règlement (UE) 2016/679 (RGPD) en matière de protection des données à caractère personnel. Elle soumet à la Cour de justice, par voie de renvoi préjudiciel du Landesgericht St. Pölten (Autriche) en date du 3 juillet 2024, six questions d’une portée considérable, articulant le droit sectoriel de l’électricité (directive (UE) 2019/944 concernant des règles communes pour le marché intérieur de l’électricité), le droit de la mesure (directive 2014/32/UE), la directive ePrivacy 2002/58/CE et le RGPD, dans un contexte factuel précis et révélateur.
Contexte factuel et litige au principal
La requérante, Netz Niederösterreich GmbH, est le gestionnaire du réseau électrique de Basse-Autriche. Elle entend procéder au remplacement du compteur électromécanique analogique installé au domicile de la défenderesse, SR, dont l’étalonnage a expiré le 31 décembre 2023, par un compteur intelligent dit « opt-out ». La défenderesse s’y oppose résolument, invoquant des griefs pluriels tenant à la protection de ses données personnelles, à des risques de pollution électromagnétique et à la violation des exigences légales applicables aux instruments de mesure.
Le litige s’est développé en deux temps. Le Bezirksgericht Tulln (tribunal de district de Tulln), statuant en première instance, a fait droit au recours de la gestionnaire de réseau, estimant que le contrat d’utilisation du réseau en vigueur entre les parties obligeait la défenderesse à tolérer la dépose et le remplacement de l’ancien compteur. Sur appel de la défenderesse, le Landesgericht St. Pölten, constatant que la résolution de l’affaire impliquait l’interprétation de plusieurs actes du droit de l’Union, a décidé de surseoir à statuer et de soumettre à la Cour six questions préjudicielles couvrant à la fois la directive marchés de l’électricité, la directive instruments de mesure, la directive ePrivacy et le RGPD.
La nature juridique et technique du compteur « opt-out »
La distinction technique entre les différentes configurations du compteur intelligent constitue un préalable indispensable à la compréhension du litige. La législation autrichienne de transposition (ElWOG/EIWOG, BGBl. I n° 17/2021, et l’arrêté ministériel IME-VO, BGBl II n° 138/2012 dans sa version BGBl II n° 9/2022) distingue trois configurations : la configuration standard (ou « opt-in »), qui transmet les valeurs de consommation par quart d’heure et permet l’enregistrement continu ; la configuration opt-in avancée, permettant au consommateur de demander une lecture plus granulaire ; et la configuration opt-out, dans laquelle les fonctions de stockage et de transmission continue sont prétendument désactivées, de sorte que l’appareil ne transmet les données de relevé qu’une fois par mois ou par an à distance.
La défenderesse conteste la thèse selon laquelle la configuration opt-out transformerait substantiellement le compteur intelligent en un simple compteur numérique neutre au regard de la protection des données. Elle soulève plusieurs arguments techniques d’importance : premièrement, chaque compteur intelligent, y compris en configuration opt-out, sert de répéteur et d’amplificateur pour tous les autres compteurs du même réseau de transformateurs, transmettant plusieurs blocs de données par seconde (métadonnées, informations d’état, adresses MAC) sans que le consommateur en soit informé en temps réel ; deuxièmement, l’accès à distance par le gestionnaire de réseau reste possible à tout moment en vertu de l’article 84a, paragraphe 1, de l’EIWOG, au nom d’un « cas particulier justifié », sans que le consommateur final puisse vérifier si un tel accès a effectivement eu lieu ; troisièmement, les données transmises — notamment l’adresse MAC — le sont de manière non chiffrée, permettant leur interception par des tiers via des dispositifs CPL (courants porteurs en ligne) dénommés « CPL Sniffer ».
L’articulation normative complexe soulevée par la juridiction de renvoi
Les questions relatives à la directive 2019/944
La première question, fondamentale, interroge la portée de l’article 22 de la directive 2019/944, intitulé « Compteurs classiques », dans son rapport avec l’article 83, paragraphe 1, de l’EIWOG. L’article 22 dispose que lorsque les clients finals ne disposent pas de compteurs intelligents, les États membres veillent à ce qu’ils disposent de compteurs classiques mesurant avec précision leur consommation réelle. La défenderesse fait valoir qu’ayant exercé son droit de refus d’un compteur intelligent reconnu à l’article 21, paragraphe 1, et à l’article 83 de l’EIWOG, elle est en droit d’obtenir un « compteur classique » au sens de l’article 22. La question est donc de savoir si la directive impose au gestionnaire de réseau de tenir compte du souhait du consommateur et de lui fournir, en lieu et place d’un compteur intelligent en configuration opt-out, un compteur purement analogique ou mécanique.
La deuxième question porte sur la directive 2014/32/UE relative à la mise à disposition sur le marché des instruments de mesure. Elle vise à déterminer si cette directive, notamment son article 2, paragraphe 1, définissant la notion d’instrument de mesure par référence aux compteurs d’énergie électrique active (MI-003), s’oppose à une disposition nationale (article 7, paragraphe 1, point 31, de l’EIWOG) ne prévoyant pas d’exigences concrètes en matière de sécurité des données des instruments de mesure. Cette question met en lumière une lacune normative patente : la directive 2014/32 impose des exigences de métrologie (précision de la mesure), mais ne contient aucune exigence de cybersécurité ou de protection des données personnelles, laissant ainsi un vide que le RGPD est appelé à combler mais dont la portée en matière d’instruments de mesure physiques reste à préciser.
La troisième question articule les articles 20, sous b) et c), 21, paragraphe 1, sous a), et 23, paragraphe 3, de la directive 2019/944 avec l’article 6, paragraphe 1, de la directive 1999/34/CE modifiant la directive 85/374/CEE sur la responsabilité du fait des produits défectueux. Cette question novatrice tend à déterminer si la notion de « sécurité des systèmes intelligents de mesure » au sens de la directive électricité intègre implicitement une exigence de sécurité au sens du droit de la responsabilité du fait des produits.
Les questions relatives à la directive ePrivacy
La quatrième question est d’une portée systémique considérable : elle vise à déterminer si l’article 5, paragraphe 3, de la directive 2002/58/CE — qui impose le consentement de l’abonné ou de l’utilisateur préalablement au stockage d’informations ou à l’accès à des informations stockées dans l’équipement terminal — s’applique à un réseau électrique par l’intermédiaire duquel transitent des données de consommation et des métadonnées. La défenderesse soutient que le réseau électrique CPL constitue un « réseau de communications électroniques » au sens de l’article 2 de la directive ePrivacy, et que le compteur intelligent est un « équipement terminal » au sens de cette même directive, de sorte que toute collecte de données via ce réseau requiert un consentement préalable informé au sens de l’article 5, paragraphe 3.
Si la Cour venait à confirmer cette analyse, les implications seraient radicales : elle signifierait que l’installation d’un compteur intelligent — même en configuration opt-out — constitue un traitement relevant de la directive ePrivacy exigeant un consentement distinct et préalable, ce qui remettrait fondamentalement en cause les modèles de déploiement obligatoire des compteurs intelligents prévus dans de nombreux États membres.
Les questions relatives au RGPD
La cinquième question constitue le cœur du renvoi en matière de protection des données personnelles. La juridiction autrichienne demande si les articles 5, paragraphe 1, sous f) (principe d’intégrité et de confidentialité), 13 (information de la personne concernée), et 32, paragraphe 2 (mesures techniques et organisationnelles de sécurité), du RGPD, lus à la lumière des articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne, s’opposent à une disposition nationale (article 1er, paragraphe 6, de l’IME-VO autrichien) en vertu de laquelle seule la configuration de l’intervalle de lecture est visible par le consommateur final, à l’exclusion de l’information relative à l’accès anticipé par le gestionnaire de réseau à ses données en cas de « cas particulier justifié » au sens de l’article 84a, paragraphe 1, de l’EIWOG.
Cette question pose en des termes précis l’exigence de transparence découlant de l’article 13 RGPD en matière de compteurs intelligents : le responsable du traitement — en l’occurrence le gestionnaire de réseau, qui collecte, stocke et transmet les données de consommation — respecte-t-il son obligation d’information si le consommateur n’est pas informé de la possibilité d’un accès anticipé à ses données, ni de l’identité des destinataires de cet accès, ni des finalités de ce traitement ponctuel ?
La sixième question, enfin, interroge l’articulation entre la directive 2019/944 et la jurisprudence de la Cour européenne des droits de l’homme relative à l’article 8 CEDH (droit au respect de la vie privée et familiale), telle que visée à l’article 52, paragraphe 3, et au cinquième alinéa du préambule de la Charte. Elle témoigne du souci de la juridiction autrichienne d’intégrer le niveau de protection garanti par la CEDH dans l’interprétation des obligations sectorielles de protection des données issues du droit de l’électricité.
II.
La qualification des données traitées par les compteurs intelligents
Un point central du litige tient à la qualification comme données à caractère personnel des données générées par les compteurs intelligents. La juridiction autrichienne a pris soin de motiver substantiellement ce point dans son ordonnance de renvoi. Elle observe que l’installation du client — identifiée par un numéro de point de comptage unique — permet d’attribuer un code d’identité à la personne et la rend directement identifiable. Les données de consommation, même agrégées à l’échelle journalière ou mensuelle, révèlent des informations sensibles sur le comportement domestique : rythmes de vie, présence ou absence au domicile, utilisation d’appareils électroménagers spécifiques. La transmission de l’adresse MAC de manière non chiffrée aggrave le risque d’identification, cette adresse étant susceptible d’être lue par tout tiers disposant d’un CPL Sniffer sur le même réseau de transformateurs.
Cette analyse s’inscrit dans la droite ligne de la jurisprudence de la Cour en matière d’identifiants techniques : dans l’affaire C-673/17 (Planet49), la Cour a jugé que même le traitement d’éléments d’identification techniques tels que des identifiants en ligne est soumis au RGPD, et que le consentement requis pour leur traitement doit être donné par une mesure proactive, après information complète de la personne concernée. La juridiction autrichienne s’appuie expressément sur cet arrêt pour étayer la thèse selon laquelle l’installation d’un compteur intelligent, même en configuration opt-out, constitue une opération de traitement de données à caractère personnel soumise au RGPD.
Les obligations de sécurité au sens de l’article 32 RGPD
L’article 32, paragraphe 2, du RGPD impose au responsable du traitement de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. La défenderesse soulève deux manquements spécifiques à cette obligation dans le contexte du déploiement du compteur intelligent :
Premièrement, l’absence de chiffrement des données transmises. Les données de consommation, l’adresse MAC et les informations d’état seraient transmises en clair via le réseau CPL, permettant leur interception par des tiers. Ce grief met en cause non seulement la conformité au RGPD mais également au droit de l’électricité, l’article 20, sous b), de la directive 2019/944 imposant que « la sécurité des systèmes intelligents de mesure et de la communication des données respecte les règles de l’Union applicables en matière de sécurité en tenant dûment compte des meilleures techniques disponibles pour garantir le plus haut niveau de protection en matière de cybersécurité ».
Deuxièmement, l’absence de transparence sur les accès aux données. L’article 84a, paragraphe 1, de l’EIWOG autorise le gestionnaire de réseau à accéder aux données du compteur intelligent avant l’intervalle de lecture convenu en cas de « cas particulier justifié », sans obligation d’en informer préalablement le consommateur final. L’IME-VO, dans sa rédaction contestée, n’impose au gestionnaire de réseau de n’afficher sur l’écran du compteur que la configuration de l’intervalle de lecture, et non l’information relative à l’occurrence d’un accès anticipé. La défenderesse déduit de l’article 13 RGPD l’obligation pour le gestionnaire de réseau d’informer la personne concernée, au moment de la collecte des données, de la possibilité d’un tel accès anticipé, de ses conditions et de sa fréquence potentielle.
L’exigence de consentement et la directive ePrivacy
La question de l’applicabilité de la directive ePrivacy au réseau CPL est sans précédent dans la jurisprudence de la Cour. La défenderesse soutient que le réseau électrique, en tant que support de transmission de données numériques codées en fréquences, constitue un « réseau de communications électroniques » et que le compteur intelligent est un « équipement terminal » au sens de la directive 2002/58/CE. Si cette qualification est retenue, l’article 5, paragraphe 3, de la directive ePrivacy impose que tout stockage d’informations ou tout accès à des informations stockées dans l’équipement terminal ne soit permis qu’à la condition que l’abonné ou l’utilisateur ait donné son accord, après avoir été informé de manière claire et complète des finalités du traitement.
Cette thèse n’est pas dépourvue de fondement. Le réseau CPL transmet des données numériques en modulant des signaux à haute fréquence sur le réseau électrique basse tension. Les compteurs intelligents sont des dispositifs communicants qui reçoivent et émettent des données via ce réseau. La directive ePrivacy définit les « réseaux de communications électroniques » de manière fonctionnelle, sans référence à la technologie de transport, et la directive 2018/1972 (Code des communications électroniques européen) a encore élargi cette définition. La Cour devra déterminer si la finalité première d’un réseau électrique (transport d’électricité) exclut sa qualification subsidiaire de réseau de communications électroniques lorsqu’il est utilisé pour la transmission de données de comptage.
L’obligation de fourniture d’un compteur classique
La troisième dimension du litige concerne le droit positif du consommateur à se voir fournir un « compteur classique » lorsqu’il a valablement exercé son droit de refus d’un compteur intelligent. L’article 22 de la directive 2019/944, relatif aux « compteurs classiques », dispose que les États membres veillent à ce que les clients finals en disposent lorsqu’ils ne sont pas équipés de compteurs intelligents. La question est de savoir si la configuration opt-out d’un compteur intelligent — qui désactive certaines fonctionnalités communicantes mais maintient un dispositif numérique avec communication à distance — satisfait à l’exigence d’un « compteur classique » au sens de l’article 22, ou si le consommateur est en droit d’exiger un compteur purement mécanique ou analogique.
Cette question est d’autant plus délicate que le compteur analogique de la défenderesse est périmé métriquement depuis fin 2023. Le gestionnaire de réseau est légalement tenu de le remplacer. S’il doit fournir un compteur « classique » et non un compteur intelligent en configuration opt-out, il doit soit installer un nouveau compteur mécanique (dont la fabrication a pratiquement cessé dans l’Union européenne), soit admettre que l’exercice du droit de refus rend le remplacement techniquement impossible, ce qui créerait une insécurité juridique structurelle dans le déploiement des compteurs intelligents.
III.
L’interférence entre droit sectoriel et RGPD
L’une des questions les plus fondamentales soulevées par C-468/24 est celle de l’articulation entre le droit sectoriel de l’électricité et le RGPD en matière de sécurité des données. L’article 23, paragraphe 3, de la directive 2019/944 dispose que « le traitement de données à caractère personnel dans le cadre de la présente directive est effectué conformément au règlement (UE) 2016/679 ». Cette disposition établit une subordination hiérarchique du droit sectoriel au RGPD en matière de traitement des données, mais n’épuise pas la question de savoir si le droit sectoriel peut, en aval, affaiblir le niveau de protection garanti par le RGPD — ce que la défenderesse soutient être le cas avec l’article 1er, paragraphe 6, de l’IME-VO.
L’article 32, paragraphe 2, du RGPD dispose que lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite. Au regard de cet article, la transmission non chiffrée de données d’identification et de consommation via un réseau CPL susceptible d’être intercepté par des tiers apparaît prima facie insuffisante au regard du standard RGPD, sauf à démontrer que les données concernées ne présentent pas de risque pour les droits et libertés des personnes physiques — ce qui paraît difficile à établir au regard de la sensibilité intrinsèque des données de consommation détaillées.
La tension entre la finalité de déploiement des compteurs et les droits fondamentaux
L’article 19, paragraphe 2, de la directive 2019/944 prévoit que les États membres veillent au déploiement des systèmes intelligents de mesure qui favorisent la participation active des clients au marché de l’électricité. Ce déploiement peut être subordonné à une évaluation coûts-avantages. L’Autriche a procédé à cette évaluation et a décidé de déployer les compteurs intelligents de manière systématique, avec le mécanisme opt-out comme garde-fou pour les consommateurs réticents. Cette politique de déploiement est légalement fondée et poursuit des objectifs d’intérêt général — efficacité énergétique, stabilité du réseau, transition énergétique — que la Cour a reconnus comme susceptibles de justifier des limitations aux droits fondamentaux sous réserve du principe de proportionnalité.
La question est donc de savoir si le mécanisme opt-out, tel que conçu et mis en œuvre par la réglementation autrichienne, constitue une mesure proportionnée au regard des droits fondamentaux reconnus aux articles 7 et 8 de la Charte. Le facteur déterminant est la nature et l’étendue des données réellement traitées en configuration opt-out : si la désactivation des fonctions de stockage est effective et vérifiable, si l’accès à distance est véritablement exceptionnel et documenté, et si les données transmises sont chiffrées, la configuration opt-out peut être considérée comme une mesure proportionnée. Si, en revanche, des données d’identification non chiffrées circulent en permanence, si l’accès à distance peut intervenir à tout moment sans information du consommateur, et si la configuration peut être modifiée à distance sans possibilité de contrôle par l’utilisateur, alors la proportionnalité de la mesure est sérieusement compromise.
Les conclusions de l’Avocat général (ECLI:EU:C:2025:967)
Les conclusions déposées le 11 décembre 2025 (ECLI:EU:C:2025:967) constituent le seul acte juridictionnel disponible à ce stade, aucun arrêt de la Cour n’ayant encore été rendu. L’Avocat général traite de l’articulation entre le droit de l’énergie et le RGPD dans le contexte spécifique des compteurs intelligents, plaçant les enjeux de protection des données au cœur de l’analyse du déploiement des infrastructures communicantes de mesure d’électricité. Les questions relatives à la sécurité des données transmises et au droit du consommateur au refus occupent une place centrale dans son analyse, confirmant que la Cour est invitée à trancher des points de droit inédits à l’intersection du droit de l’énergie, du droit des communications électroniques et du droit des données personnelles.
IV.
Portée pour les gestionnaires de réseaux d’énergie
L’affaire C-468/24 aura une portée pratique déterminante pour les gestionnaires de réseaux de distribution d’électricité dans l’ensemble de l’Union européenne. Si la Cour retient que les données transmises par les compteurs intelligents — même en configuration opt-out — constituent des données à caractère personnel dont le traitement est soumis aux exigences du RGPD, les gestionnaires de réseaux devront procéder à un réexamen complet de leurs programmes de déploiement. Les obligations qui en découlent sont multiples : réalisation d’analyses d’impact relatives à la protection des données (AIPD) pour les programmes de comptage intelligent à grande échelle ; mise en place de mesures techniques de chiffrement de l’ensemble des communications entre les compteurs et les systèmes de gestion des données ; information transparente des consommateurs sur les finalités, les conditions et la fréquence des accès à distance conformément à l’article 13 RGPD ; mise en place de mécanismes permettant aux consommateurs de vérifier si un accès anticipé à leurs données a eu lieu.
Portée pour la politique de transition énergétique
Au-delà du contentieux individuel, C-468/24 soulève la question de la compatibilité des politiques nationales de déploiement systématique des compteurs intelligents avec le corpus juridique de protection des données. La directive 2019/944 ne constitue pas une base juridique autonome permettant de déroger aux exigences du RGPD : son article 23, paragraphe 3, l’affirme explicitement. Les États membres qui ont opté pour un déploiement systématique — comme l’Autriche — devront s’assurer que les exigences de cybersécurité et de protection des données sont effectivement satisfaites, et non simplement déclarées par voie de certification administrative de conformité.
L’enjeu est aussi celui de la confiance des consommateurs dans la transition énergétique numérique. Les compteurs intelligents sont présentés comme un instrument clé de la participation active des clients au marché de l’électricité. Si leur déploiement est associé à des pratiques de collecte de données opaques, non sécurisées et excessives, la résistance des consommateurs — illustrée par le litige autrichien — risque de s’amplifier et de constituer un obstacle sérieux à la réalisation des objectifs de la politique énergétique de l’Union.
Les liens avec la jurisprudence RGPD de la Cour
L’affaire C-468/24 s’inscrit dans une série d’affaires soumises à la Cour et aux autorités nationales de contrôle portant sur les obligations de sécurité des données dans des contextes technologiques spécifiques. Elle peut être rapprochée de C-300/21 (Österreichische Post, mai 2023), dans laquelle la Cour a précisé les conditions d’engagement de la responsabilité civile du responsable du traitement en cas de violation des données, et de l’arrêt C-200/23 (GPC Medical, décembre 2023) sur les obligations du responsable du traitement en matière de sécurité. Elle anticipe par ailleurs les développements attendus sur l’articulation entre RGPD et droit sectoriel dans des domaines à forte intensité de données tels que la santé connectée ou les smart cities.
L’article 32, paragraphe 2, du RGPD sera au cœur de la décision de la Cour : cette disposition constitue une clause d’adéquation technologique ouverte, qui impose une obligation de résultat (assurer un niveau de sécurité approprié au risque) plutôt qu’une obligation de moyen, et qui doit s’appliquer à tout traitement de données à caractère personnel, quelle que soit la technologie de support. L’affaire C-468/24 donne à la Cour l’occasion de préciser les critères d’évaluation du « niveau de sécurité approprié » dans le contexte spécifique des infrastructures énergétiques communicantes, avec des effets potentiellement systémiques sur l’ensemble du déploiement des technologies IoT dans l’Union européenne.
POINTS ESSENTIELS
26.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats