VOTRE COMPTEUR ÉLECTRIQUE INTELLIGENT ENREGISTRE-T-IL VOTRE VIE PRIVÉE À VOTRE INSU ?
LA CJUE SAISIE D’UNE QUESTION QUI CONCERNE CHAQUE CONSOMMATEUR EUROPÉEN.
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
COMPRENDRE LES ENJEUX DU COMPTEUR INTELLIGENT
La nature des données collectées et les risques d’identification. Le consommateur final doit impérativement prendre conscience que les données générées par un compteur intelligent — même en configuration opt-out — constituent des données à caractère personnel au sens de l’article 4 du RGPD. La juridiction de renvoi a expressément relevé que « l’installation du client spécifiée, à savoir l’identification du point de comptage, permet d’attribuer un code d’identité unique au client et rend celui-ci clairement identifiable » et que « l’instrument de mesure (intelligent) (y compris un compteur “opt-out”) génère, par l’utilisation d’un mécanisme logique, des informations pouvant être directement et indirectement saisies de manière analytique concernant du matériel juridiquement protégé en vertu de l’article 4 du RGPD ». Les données de consommation permettent en effet, par data-tracking, de reconstituer les habitudes de vie, les présences et absences au domicile, les rythmes quotidiens : leur protection relève directement du droit fondamental à la vie privée garanti par l’article 7 de la Charte des droits fondamentaux de l’Union européenne.
La configuration opt-out ne supprime pas le risque de traitement. Contrairement à ce que suggère la présentation commerciale des gestionnaires de réseau, la configuration opt-out ne désactive pas le compteur intelligent dans sa totalité : elle limite seulement la fréquence des transmissions automatiques. La juridiction de renvoi a documenté que « la déconnexion de fonctions au moyen d’une intervention dans le logiciel ne change en rien la nature de l’appareil telle que définie par la loi, d’autant plus que cette intervention peut être annulée à tout moment grâce à la connexion à distance ; dès lors, la problématique de la protection des données persiste ». Les consommateurs doivent donc traiter le compteur numérique en configuration opt-out comme un appareil conservant des capacités de télécommunication et d’accès à distance — et non comme un simple compteur mécanique.
EXIGER L’INFORMATION PRÉALABLE (ART. 13 RGPD)
Le droit à l’information avant l’installation. En vertu de l’article 13 du RGPD, le gestionnaire de réseau, en sa qualité de responsable du traitement, est tenu de fournir au consommateur — au moment où les données sont collectées, et donc avant ou au plus tard lors de l’installation du compteur — l’ensemble des informations suivantes : (a) son identité et ses coordonnées ; (b) les coordonnées du délégué à la protection des données (DPO) ; (c) les finalités du traitement et sa base juridique ; (d) les destinataires des données ; (e) la durée de conservation ; (f) l’existence de droits d’accès, de rectification, d’effacement et d’opposition.
L’information sur l’accès exceptionnel (art. 84a EIWOG). Le consommateur a le droit d’être informé de l’existence et de la portée de l’article 84a, §1, de l’EIWOG, qui autorise le gestionnaire à accéder à ses données de consommation par quart d’heure sans son consentement « dans des cas particuliers justifiés » aux fins de maintenir une exploitation sûre et efficace du réseau. L’Avocat général a conditionné la compatibilité de cette disposition avec le RGPD à « la condition que le consommateur soit informé au préalable de la finalité particulière prévue par cette disposition ». Le consommateur qui n’aurait pas reçu cette information spécifique dans les conditions générales ou dans une notice d’information distincte et explicite est en droit de contester la licéité des accès effectués et d’exercer son droit d’accès au titre de l’article 15 du RGPD.
La vigilance sur les conditions générales. L’Avocat Général Biondi a admis que l’information résultant de la reproduction de l’article 84a EIWOG dans les conditions générales du contrat de réseau pouvait suffire. Le consommateur doit néanmoins vérifier que ces conditions générales lui ont été effectivement communiquées, dans une formulation « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » conformément à l’article 14, § 1, du règlement 2018/1725 (et par analogie, l’article 12 du RGPD) et aux Lignes directrices CEPD sur la transparence (Guidelines 2/2018, WP 260, rev. 01). La simple référence à un texte légal reproduit in extenso dans des CGU ne satisfait pas, en soi, à l’exigence de transparence effective.
EXERCER LE DROIT DE REFUS ET L’OPT-OUT
Le droit de refus prévu par l’article 83 de l’EIWOG. Le droit autrichien reconnaît expressément, à l’article 83, §1, de l’EIWOG, le droit du consommateur final de refuser l’installation d’un instrument de mesure intelligent. Ce refus est opposable au gestionnaire de réseau et doit être respecté. La défenderesse SR dans l’affaire C-468/24 a exercé ce droit : bien que le Bezirksgericht Tulln lui ait donné tort en première instance, le renvoi préjudiciel révèle que la compatibilité de la réponse nationale à ce refus avec le droit de l’Union est précisément en question.
La demande d’activation de l’opt-out. Si un compteur intelligent est ou sera installé, le consommateur doit impérativement formuler par écrit sa demande d’activation de la configuration opt-out avant l’installation, afin de conserver une trace de cette démarche. Il doit en outre exiger confirmation écrite de la part du gestionnaire que la configuration a bien été activée. La simple indication sur l’écran du compteur, contrôlé par le gestionnaire, a été jugée insuffisante par la juridiction de renvoi : « la chambre de céans estime que le simple affichage sur l’écran contrôlé par la requérante peut difficilement être considéré comme une garantie suffisante pour le client au sens du RGPD ».
Le suivi effectif de la configuration. Le consommateur ne dispose d’aucun moyen technique indépendant pour vérifier si la configuration opt-out est durablement maintenue. Cette impossibilité de contrôle constitue l’un des points névralgiques de l’affaire. Il est conseillé de demander périodiquement au gestionnaire, dans le cadre de l’exercice du droit d’accès (art. 15 RGPD), confirmation écrite que la configuration opt-out est active et qu’aucun accès exceptionnel au titre de l’article 84a EIWOG n’a été effectué depuis la dernière vérification. Toute réponse évasive ou refus de répondre constitue un indice d’une violation potentielle de l’article 5, §2, du RGPD (principe de responsabilité/accountability).
EXERCER LES DROITS RGPD FACE AU GESTIONNAIRE
Le droit d’accès (art. 15 RGPD). Le consommateur est en droit de demander au gestionnaire de réseau, en sa qualité de responsable du traitement : (1) confirmation de l’existence d’un traitement de ses données ; (2) copie des données traitées ; (3) les finalités du traitement ; (4) les destinataires auxquels les données ont été communiquées ; (5) la durée de conservation prévue ; (6) l’existence d’accès exceptionnels effectués au titre de l’article 84a EIWOG, avec leur date, leur justification et leur durée.
Le droit à la limitation du traitement (art. 18 RGPD). En cas de contestation de l’exactitude ou de la licéité du traitement, le consommateur peut demander la limitation du traitement pendant la durée de la vérification. Cette mesure peut s’avérer particulièrement utile pour geler toute transmission de données dans l’attente de la décision de la CJUE sur l’affaire C-468/24.
Le droit d’opposition (art. 21 RGPD). Si le traitement est fondé sur l’article 6, §1, sous e) ou f), du RGPD (exécution d’une mission d’intérêt public ou intérêts légitimes), le consommateur peut s’opposer au traitement pour des raisons tenant à sa situation particulière. Cette voie est ouverte indépendamment de la question du consentement.
La réclamation auprès de l’autorité de contrôle. En Autriche, le consommateur peut adresser une réclamation à la Datenschutzbehörde (DSB — autorité autrichienne de protection des données), laquelle est compétente pour statuer sur la conformité du traitement avec le RGPD, y compris l’adéquation des mesures de sécurité au titre des articles 5, §1, sous f), et 32 du RGPD. En France, une réclamation analogue serait adressée à la CNIL. La procédure de réclamation est gratuite (art. 77 RGPD).
LA QUESTION DE LA SÉCURITÉ DES TRANSMISSIONS
La vulnérabilité CPL Sniffer. Le consommateur qui soupçonne que ses données sont transmises de manière non cryptée — y compris l’adresse MAC, les adresses source et cible — peut solliciter une expertise technique indépendante du mode de transmission utilisé par le compteur intelligent installé à son domicile. La défenderesse SR avait documenté la possibilité d’intercepter les données à l’aide d’un CPL Sniffer, accessible dans toutes les maisons se trouvant sur le même réseau de transformateurs. Cette vulnérabilité, si elle est avérée, constitue une violation de l’article 5, §1, sous f), et de l’article 32, §2, du RGPD, qui imposent des mesures techniques et organisationnelles garantissant « une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite ».
La charge de la preuve incombe au gestionnaire. En application du principe d’accountability (art. 5, § 2 RGPD) et de la jurisprudence MediaMarktSaturn (C-687/21, EU:C:2024:72, points 43-45), c’est au responsable du traitement qu’il incombe de prouver le caractère approprié de ses mesures de sécurité. Le consommateur n’a pas à démontrer l’existence de la faille : il lui suffit de soulever le grief de manière circonstanciée (description du risque CPL Sniffer, références à la demande de décision préjudicielle C-468/24) pour contraindre le gestionnaire à fournir la preuve contraire.
PERSPECTIVES OUVERTES PAR LE DATA ACT (RÈGLEMENT (UE) 2023/2854)
L’Avocat général Biondi a expressément relevé que le règlement (UE) 2023/2854 dit Data Act, applicable depuis le 12 septembre 2025, « renforce, pour les utilisateurs de “produits connectés”, la garantie d’un accès en temps utile aux données générées par ces instruments ». Le compteur intelligent constituant un produit connecté au sens du Data Act, le consommateur bénéficie désormais, en sus du RGPD, d’un droit renforcé d’accès à ses données de consommation en temps utile et sans frais supplémentaires. Ce corpus normatif nouveau devra être invoqué en complément des droits RGPD dans toute réclamation ou procédure postérieure au 12 septembre 2025.
POINTS ESSENTIELS
L’affaire C-468/24, Netz Niederösterreich GmbH c. SR, pose à la CJUE six questions préjudicielles issues d’un litige autrichien dans lequel une consommatrice refuse le remplacement de son compteur électrique mécanique — dont l’étalonnage est échu — par un compteur intelligent numérique, invoquant des violations du RGPD (articles 5 § 1 f), 13 et 32 § 2), de la directive ePrivacy 2002/58/CE (article 5 § 3), de la directive 2019/944 sur le marché intérieur de l’électricité (articles 20, 21, 22 et 23) et de la Charte des droits fondamentaux (articles 7 et 8) ;
le Landesgericht St. Pölten, saisi en appel, fonde son renvoi sur la constatation d’une asymétrie informationnelle structurelle — la configuration opt-out n’étant pas activée par défaut, l’accès à distance restant techniquement possible y compris via l’article 84a EIWOG, les données (dont l’adresse MAC) étant transmises de manière non cryptée et interceptables par CPL Sniffer — et sur la jurisprudence Planet49 (C-673/17), dont il tire que le mécanisme opt-out imposant une démarche active a posteriori viole l’exigence de consentement préalable, libre et éclairé.
25.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats