VOTRE COMPTEUR ÉLECTRIQUE INTELLIGENT ENREGISTRE-T-IL VOTRE VIE PRIVÉE À VOTRE INSU ?
LA CJUE SAISIE D’UNE QUESTION QUI CONCERNE CHAQUE CONSOMMATEUR EUROPÉEN.
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
PRÉSENTATION GÉNÉRALE ET ENJEUX DE L’AFFAIRE
L’affaire C-468/24 Netz Niederösterreich s’inscrit dans un contentieux emblématique de la modernisation des infrastructures énergétiques européennes : le déploiement obligatoire des compteurs intelligents (smart meters) dans le secteur de la distribution d’électricité. En apparence, il s’agit d’un litige civil ordinaire entre un gestionnaire de réseau électrique et un consommateur récalcitrant. En réalité, cette affaire soulève des questions d’une portée considérable à la croisée du droit de l’énergie, du droit à la protection des données à caractère personnel, du droit à la vie privée garanti par la Charte des droits fondamentaux de l’Union européenne, et du droit de la responsabilité du fait des produits défectueux.
Le Landesgericht St. Pölten (tribunal régional de St. Pölten, Autriche), statuant en appel, a saisi la Cour de justice de l’Union européenne de six questions préjudicielles articulées autour d’un conflit normatif fondamental : le déploiement systématique de compteurs intelligents, tel qu’imposé par la directive (UE) 2019/944 et mis en œuvre par la législation autrichienne (EIWOG et IME-VO), est-il compatible avec les exigences de protection des données personnelles du RGPD, les garanties de vie privée de la Charte et les prescriptions de cybersécurité applicables, dès lors que le consommateur final n’a pas la maîtrise effective des données collectées par l’instrument de mesure installé à son domicile ?
La défenderesse SR, consommatrice résidant à Kogl (Autriche), s’oppose au remplacement de son compteur mécanique — dont l’étalonnage a expiré le 31 décembre 2023 — par un compteur intelligent que le gestionnaire de réseau Netz Niederösterreich GmbH entend installer en application de l’article 83, §1, de l’EIWOG. Elle conteste à la fois la compatibilité du dispositif avec le RGPD, les risques pour sa santé liés aux champs électromagnétiques, et l’impossibilité pratique de vérifier si la configuration « opt-out » est effectivement respectée.
LA COLLISION ENTRE DROIT DE L’ÉNERGIE ET DROIT DES DONNÉES PERSONNELLES
A. UN PRISME INÉDIT DANS LA JURISPRUDENCE DE LA COUR
Ce qui distingue fondamentalement l’affaire C-468/24 des précédents préjudiciels portant sur le RGPD est son terrain d’application sectoriel. Jusqu’à présent, la jurisprudence de la Cour sur le RGPD s’est déployée principalement dans les domaines du numérique (réseaux sociaux, moteurs de recherche, places de marché en ligne), du secteur bancaire et financier, ou des procédures administratives. L’affaire C-468/24 est l’une des rares — sinon la première — à confronter directement la logique du déploiement des infrastructures énergétiques intelligentes aux impératifs du RGPD.
La directive 2019/944 — dont l’article 22 est au cœur de la première question préjudicielle — impose le déploiement de systèmes intelligents de mesure pour favoriser la « participation active des clients au marché de l’électricité ». Cette obligation de déploiement est en tension irréductible avec le droit des consommateurs à la protection de leurs données personnelles. Les compteurs intelligents, par nature, collectent, enregistrent et transmettent des données de consommation à intervalles réguliers, des métadonnées et des numéros d’identification personnels. Ces données, dès lors qu’elles permettent d’identifier un individu, constituent des données à caractère personnel au sens de l’article 4, point 1, du RGPD, et leur traitement doit satisfaire à l’ensemble des principes posés par l’article 5 du RGPD.
UNE PROTECTION ILLUSOIRE ?
Le litige révèle une tension structurelle dans le mécanisme de déploiement autrichien. La législation nationale prévoit une configuration dite « opt-out » permettant au consommateur de désactiver les fonctions de collecte de données granulaires. Cependant, ainsi que la défenderesse le souligne — et que la juridiction de renvoi reprend à son compte dans la demande de décision préjudicielle —, cette garantie est doublement problématique.
D’une part, la configuration opt-out n’est pas activée par défaut : « les instruments de mesure ne disposeraient pas d’une configuration “opt-out” par défaut ; le client devrait faire une démarche active pour la demander ». D’autre part, même en configuration opt-out, la défenderesse expose que « plusieurs blocs de données par seconde circuleraient ainsi également dans les appareils ayant une configuration “opt-out” » et que « tout compteur intelligent (y compris en cas de configuration “opt-out”) serait un amplificateur dans le sens précédemment exposé ». En d’autres termes, l’opt-out ne supprime pas intégralement la transmission de données — notamment les données d’état et d’identification — mais réduit seulement la granularité des données de consommation transmises.
Plus fondamentalement encore, le consommateur « ne pourrait par la suite jamais vérifier si — pour quelque raison que ce soit — un accès n’a pas tout de même eu lieu », dès lors que l’article 84a, §1, de l’EIWOG autorise le gestionnaire de réseau, en cas de « nécessité technique », à accéder aux données du compteur intelligent même avant l’intervalle de lecture convenu. La juridiction de renvoi relève avec une acuité particulière que : « le simple affichage sur l’écran contrôlé par la requérante peut difficilement être considéré comme une garantie suffisante pour le client au sens du RGPD ».
TRANSMISSION NON CRYPTÉE ET VULNÉRABILITÉS SYSTÉMIQUES
La défenderesse développe également une argumentation relative à l’insuffisance des mesures de sécurité des données. Elle expose que « les données seraient en partie transmises de manière non cryptée, l’adresse MAC serait transmise de manière non cryptée, de même que les adresses source et cible », et qu’« il serait possible, dans toutes les maisons, à l’aide d’un appareil approprié (“CPL Sniffer”), de lire et d’enregistrer les données des compteurs intelligents voisins ». Ces éléments factuels mettent en cause la conformité du dispositif avec l’article 5, §1, sous f), du RGPD (principe d’intégrité et de confidentialité) et avec l’article 32, §2, du RGPD (mesures de sécurité appropriées).
LE TRAITEMENT DES QUESTIONS PAR L’AVOCAT GÉNÉRAL
EU:C:2025:967)
Les conclusions de l’Avocat général, présentées le 11 décembre 2025, apportent une réponse sélective aux six questions préjudicielles. L’Avocat général concentre son analyse sur les questions les plus directement liées au RGPD et à la directive 2002/58/CE (directive ePrivacy), tout en renvoyant implicitement les questions relatives au droit de l’énergie (questions 1 à 3) à une appréciation par la Cour.
Sur la quatrième question (qualification du réseau électrique comme « réseau de communications électroniques »), l’Avocat général adopte une position restrictive. Il propose à la Cour de juger que « la notion de “réseau de communications électroniques” ne s’applique pas à un réseau électrique par lequel sont transmises des données […] lorsque le réseau électrique n’est pas public et que le compteur intelligent n’est pas la propriété du consommateur ». Cette interprétation, fondée sur la nature propriétaire et non publique du réseau, exclut l’application de la directive ePrivacy au cas d’espèce.
Sur la cinquième question (obligation d’information au titre de l’article 13 du RGPD), l’Avocat général adopte une position conditionnelle mais favorable au gestionnaire de réseau. Il estime que l’article 13 du RGPD « ne s’oppose pas à une législation nationale selon laquelle seule la configuration de l’intervalle de lecture doit être visible par le consommateur final […] lorsque le consommateur a été informé au préalable dans cette éventualité particulière ». La conformité de la législation autrichienne au RGPD est ainsi conditionnée à une information préalable adéquate du consommateur sur les finalités particulières de l’accès anticipé aux données.
B. UNE APPROCHE CONDITIONNELLE PRÉOCCUPANTE
La position de l’Avocat général appelle plusieurs observations critiques. En subordonnant la conformité de la législation autrichienne au RGPD à une simple information préalable du consommateur sur la finalité de l’article 84a, §1, de l’EIWOG, l’Avocat général paraît réduire la portée du RGPD à une exigence de transparence formelle, sans examiner si le fondement juridique du traitement est valide au sens de l’article 6 du RGPD. Cette lacune est substantielle : une information préalable ne saurait, à elle seule, légitimer un traitement dont la base juridique n’est pas clairement établie.
Par ailleurs, l’Avocat général prend acte — avec une prudence explicite — des inquiétudes du consommateur sur la « protection effective de ses données à caractère personnel, en particulier lorsqu’elles sont transmises au moyen de dispositifs tels que les compteurs d’électricité », et mentionne l’adoption du règlement (UE) 2023/2854 (Data Act) applicable à partir du 12 septembre 2025. Ce renvoi au Data Act illustre les limites du cadre normatif actuel pour appréhender les spécificités de l’IoT énergétique.
CONTEXTUALISATION JURISPRUDENTIELLE
A. JURISPRUDENCES ANTÉRIEURES PERTINENTES
L’affaire C-468/24 s’inscrit dans la continuité d’une jurisprudence qui a progressivement élargi la conception du « réseau de communications électroniques » au titre de la directive ePrivacy, tout en consolidant les obligations des responsables de traitement en matière de transparence et de sécurité des données. Dans l’arrêt C-311/18 (Schrems II, 16 juillet 2020), la Cour a affirmé avec force l’exigence d’un niveau de protection substantiellement équivalent des données à caractère personnel, y compris dans les contextes de transfert à des entités qui n’en sont pas les propriétaires initiaux. Transposé à la problématique des compteurs intelligents, ce principe implique que la simple opérabilité technique d’une configuration opt-out ne suffit pas à garantir un niveau de protection adéquat si les données continuent à être accessibles à distance sans contrôle effectif du consommateur.
Plus récemment, dans l’arrêt C-307/22 (FT c. DW, 26 octobre 2023), la Cour a réaffirmé le droit d’accès de la personne concernée aux données la concernant comme un droit fondamental dont la restriction doit être justifiée par des motifs impérieux. L’arrêt C-526/24 (Brillen Rottler, 19 mars 2026) est venu préciser les conditions dans lesquelles une demande d’accès peut être qualifiée d’abusive, traçant ainsi les limites du droit d’accès — un arrêt postérieur à la présente demande préjudicielle mais dont les enseignements sont directement pertinents pour apprécier la portée des droits des personnes concernées dans le contexte des compteurs intelligents.
B. PROLONGEMENTS JURISPRUDENTIELS ATTENDUS
La décision à venir dans l’affaire C-468/24 devrait compléter utilement la jurisprudence issue de l’affaire C-48/23 (Alajärven Sähkö e.a., 6 mars 2025) relative au marché intérieur de l’électricité et à l’indépendance des autorités de régulation nationales, en y ajoutant une dimension protection des données personnelles. La Cour sera nécessairement amenée à préciser l’articulation entre l’article 22 de la directive 2019/944 — qui prévoit le droit au compteur classique — et les droits fondamentaux garantis par la Charte, clarifiant ainsi dans quelle mesure un consommateur peut s’opposer à l’installation d’un compteur intelligent au nom de la protection de ses données personnelles.
POINTS ESSENTIELS
L’affaire C-468/24, Netz Niederösterreich GmbH c. SR, pose à la CJUE six questions préjudicielles issues d’un litige autrichien dans lequel une consommatrice refuse le remplacement de son compteur électrique mécanique — dont l’étalonnage est échu — par un compteur intelligent numérique, invoquant des violations du RGPD (articles 5 § 1 f), 13 et 32 § 2), de la directive ePrivacy 2002/58/CE (article 5 § 3), de la directive 2019/944 sur le marché intérieur de l’électricité (articles 20, 21, 22 et 23) et de la Charte des droits fondamentaux (articles 7 et 8) ;
le Landesgericht St. Pölten, saisi en appel, fonde son renvoi sur la constatation d’une asymétrie informationnelle structurelle — la configuration opt-out n’étant pas activée par défaut, l’accès à distance restant techniquement possible y compris via l’article 84a EIWOG, les données (dont l’adresse MAC) étant transmises de manière non cryptée et interceptables par CPL Sniffer — et sur la jurisprudence Planet49 (C-673/17), dont il tire que le mécanisme opt-out imposant une démarche active a posteriori viole l’exigence de consentement préalable, libre et éclairé.
25.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats