VOTRE COMPTEUR ÉLECTRIQUE INTELLIGENT ENREGISTRE-T-IL VOTRE VIE PRIVÉE À VOTRE INSU ?
LA CJUE SAISIE D’UNE QUESTION QUI CONCERNE CHAQUE CONSOMMATEUR EUROPÉEN.
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
LA MOTIVATION DE LA JURIDICTION DE RENVOI
1. LE CADRE NORMATIF DE RÉFÉRENCE
La juridiction de renvoi, le Landesgericht St. Pölten statuant en appel, fonde son renvoi préjudiciel sur une conviction centrale : les règles nationales de transposition de la directive 2019/944 ne peuvent être interprétées isolément de l’ensemble normatif formé par le RGPD, la directive ePrivacy 2002/58/CE, la directive MID 2014/32/UE et la Charte des droits fondamentaux. Elle souligne que « dans le cadre de l’interprétation des dispositions nationales, les juridictions doivent prendre en considération aussi largement que possible le texte et la finalité des directives et interpréter conformément aux notions de droit de l’Union les notions juridiques qui figurent à la fois dans les directives et les dispositions de droit national », ajoutant que « l’obligation d’interprétation conforme aux directives ne se limite pas aux dispositions adoptées aux fins de la transposition d’une directive, mais elle porte sur l’ensemble des règles de droit en vigueur dans l’État membre ».
La juridiction de renvoi relève qu’il résulte des normes européennes, « en particulier de l’article 20 de la directive 2019/944, qu’une attention particulière doit être accordée à la sécurité des systèmes intelligents de mesure et de la communication des données, en tenant dûment compte des meilleures techniques disponibles pour garantir le plus haut niveau de protection en matière de cybersécurité, tout en gardant à l’esprit les coûts et le principe de proportionnalité, et que le respect de la vie privée des clients finals et la protection de leurs données revêt une importance particulière conformément aux règles de l’Union applicables en matière de protection des données ». Elle en déduit l’existence d’une « obligation globale de conseil et d’information envers le client final avant ou au moment de l’installation de systèmes intelligents de mesure, notamment en ce qui concerne la collecte et le traitement de données à caractère personnel » au sens de l’article 5, §3, de la directive 2002/58.
2. LA NATURE DES DONNÉES TRAITÉES PAR LE COMPTEUR INTELLIGENT
Le Landesgericht St. Pölten qualifie les informations relatives à la consommation d’énergie dans un ménage de données à caractère personnel au sens de l’article 4, §1, du Datenschutzgesetz autrichien et de l’article 4 du RGPD. Il motive cette qualification en relevant que « l’installation du client spécifiée, à savoir l’identification du point de comptage, permet d’attribuer un code d’identité unique au client et rend celui-ci clairement identifiable ». Plus significativement, il juge que « l’instrument de mesure (intelligent) (y compris un compteur “opt-out”) génère, par l’utilisation d’un mécanisme logique, des informations pouvant être directement et indirectement saisies de manière analytique concernant du matériel juridiquement protégé en vertu de l’article 4 du RGPD ».
La juridiction de renvoi développe un raisonnement structuré autour de la notion de « data-tracking » : « il en résulte une possibilité d’exploitation des données au moyen du “data-tracking” (suivi des données) qui, par la simple installation d’un instrument de mesure (intelligent), quelle que soit sa configuration, donne un aperçu détaillé de la vie privée de chaque consommateur final ». Elle insiste sur le fait que « l’interface bidirectionnelle de communication et donc l’accès à distance permettent d’intervenir à tout moment dans le logiciel et de consulter à tout moment des données récentes, sans possibilité de contrôle », ajoutant avec acuité que « la déconnexion de fonctions au moyen d’une intervention dans le logiciel ne change en rien la nature de l’appareil telle que définie par la loi, d’autant plus que cette intervention peut être annulée à tout moment grâce à la connexion à distance ; dès lors, la problématique de la protection des données persiste ».
3. LA QUESTION DU CONSENTEMENT ET L’ARRÊT PLANET49 (C-673/17)
La juridiction de renvoi convoque expressément la jurisprudence Planet49 (arrêt du 1er octobre 2019, C-673/17, EU:C:2019:801) pour poser la question centrale de la validité du consentement dans un mécanisme opt-out. Elle expose que « la question se pose de savoir, eu égard à la jurisprudence de la Cour de justice de l’Union européenne (arrêt C-673/17), s’il y a violation du RGPD lorsque le consentement au traitement des données est déjà prévu par défaut sur l’appareil et doit d’abord être annulé par le client, celui-ci ne pouvant donc influer sur le traitement de ses données qu’a posteriori, par un comportement actif ».
Le tribunal rappelle que la Cour a jugé dans Planet49 que le consentement n’est pas valablement donné lorsque le stockage d’informations ou l’accès à des informations déjà stockées dans l’équipement terminal de l’utilisateur est autorisé au moyen d’une case cochée par défaut que cet utilisateur doit décocher pour refuser de donner son consentement. La juridiction de renvoi en tire une analogie directe avec la configuration opt-out du compteur intelligent, qui « n’est pas activée par défaut sur l’appareil » et que « le client devrait faire une démarche active pour demander »*. Elle conclut que ce mécanisme soulève une difficulté sérieuse au regard de l’exigence de consentement préalable, libre et éclairé telle que consacrée à l’article 7 du RGPD.
4. L’ASYMÉTRIE INFORMATIONNELLE ET LE DÉFICIT DE CONTRÔLE
La juridiction de renvoi identifie une asymétrie informationnelle structurelle comme le cœur du problème soumis à la Cour. Elle constate que « le consommateur final est totalement privé d’informations sur l’instrument de mesure intelligent qui doit être installé chez lui, où il devrait, malgré cette ignorance, agir au préalable pour pouvoir obtenir une configuration “opt-out” de l’appareil et où il n’est cependant pas en mesure de contrôler par la suite si cette configuration “opt-out” est effectivement toujours respectée ». La juridiction ajoute que « la chambre de céans estime que le simple affichage sur l’écran contrôlé par la requérante peut difficilement être considéré comme une garantie suffisante pour le client au sens du RGPD ».
Elle pointe spécifiquement la portée de l’article 84a, §1, de l’EIWOG, qui autorise le gestionnaire de réseau à accéder, « dans des cas particuliers justifiés », aux données du compteur intelligent sans le consentement du consommateur. La juridiction relève que cette disposition « permet l’accès à distance du gestionnaire de réseau en cas de survenance d’un cas particulier, sans suffisamment spécifier, d’un point de vue temporel et pratique, l’obligation d’information du consommateur final (qui doit en être informé “dans les meilleurs délais”) », ce qui maintient une incertitude permanente pour le consommateur quant aux accès réellement effectués. Elle signale en outre que « la requérante déclencherait manuellement régulièrement la transmission de données, ce qui prouverait que (y compris en cas de configuration “opt-out”) la requérante peut à tout moment accéder aux données, ce dont le client n’est pas informé ».
5. LES VULNÉRABILITÉS DE SÉCURITÉ ET LA TRANSMISSION NON CRYPTÉE
La juridiction de renvoi enregistre, sans les trancher — puisqu’il s’agit précisément de l’objet du renvoi —, les allégations techniques de la défenderesse relatives aux défaillances de sécurité. Elle note que « les données seraient en partie transmises de manière non cryptée, l’adresse MAC serait transmise de manière non cryptée, de même que les adresses source et cible », ce qui « constituerait une violation de la protection des données, car les données pourraient ainsi être clairement attribuées à une personne ». Elle relève également la vulnérabilité CPL Sniffer : « il serait possible, dans toutes les maisons, à l’aide d’un appareil approprié (“CPL Sniffer”), de lire et d’enregistrer les données des compteurs intelligents voisins, voire de tous les compteurs intelligents se trouvant sur le même réseau de transformateurs (en fonction de leur position dans la topologie du réseau) ».
6. LA PORTÉE UNIVERSELLE DU PROBLÈME
La juridiction de renvoi souligne la dimension systémique de l’affaire en relevant que « les problèmes exposés concernent l’ensemble des consommateurs finals, y compris donc ceux qui n’injectent pas activement d’énergie ». Elle rappelle que l’un des « principaux objectifs de la directive 2009/72, conformément à son annexe I […] ainsi qu’à l’article 19, §2, et à l’article 20, sous c), d) et e), de la directive 2019/944, est la participation active des clients au marché de l’électricité », mais que cette participation ne saurait justifier le maintien d’un régime d’information et de contrôle insuffisant au regard du droit fondamental à la protection des données.
EU:C:2025:967)
1. MÉTHODE ET STRUCTURE DE L’ANALYSE
L’Avocat général Andrea Biondi présente ses conclusions le 11 décembre 2025, sous l’intitulé « Renvoi préjudiciel – Énergie – Fourniture d’électricité – Instruments de mesure – Compteur intelligent – Droit de refus du consommateur – Sécurité des données transmises par les compteurs intelligents ». Il structure son analyse en quatre parties, traitant successivement du cadre juridique applicable (I), de la recevabilité des questions (II), des réponses aux questions sur la directive ePrivacy (III-A) et sur le RGPD et la Charte (III-B), avant de formuler sa proposition de réponse conclusive (IV).
2. SUR LA QUATRIÈME QUESTION PRÉJUDICIELLE — LA NOTION DE RÉSEAU DE COMMUNICATIONS ÉLECTRONIQUES (ART. 5 § 3 DIRECTIVE EPRIVACY)
L’Avocat général adopte une position restrictive sur le champ d’application de la directive 2002/58/CE. Il estime que la notion de « réseau de communications électroniques » au sens de l’article 5, §3, de cette directive ne s’applique pas à un réseau électrique par lequel sont transmises des données de consommation, métadonnées et numéros d’identification personnels aux fins de la directive 2019/944.
Il fonde cette conclusion sur deux critères cumulatifs tirés de la structure et de la finalité de la directive ePrivacy : le caractère public du réseau et la propriété du compteur. Il propose ainsi à la Cour de répondre que « la notion de “réseau de communications électroniques” ne s’applique pas à un réseau électrique par lequel sont transmises des données (données de consommation, métadonnées, numéros d’identification personnels) aux fins de l’article 20, sous b) et c), et de l’article 23, §3, de la directive 2019/944, lorsque le réseau électrique n’est pas public et que le compteur intelligent n’est pas la propriété du consommateur ».
Ce raisonnement, bien que cohérent avec une lecture littérale de la directive ePrivacy, ne tient pas compte des développements doctrinaux et des lignes directrices des autorités de protection des données sur le champ d’application fonctionnel de la directive 2002/58, qui ont progressivement élargi la notion de réseau de communications aux infrastructures de transmission de données quelle qu’en soit la nature physique. Cette position restrictive de l’Avocat Général laisse sans réponse la question de fond relative à la protection du domicile du consommateur contre les accès non sollicités à son terminal de mesure.
3. SUR LA CINQUIÈME QUESTION PRÉJUDICIELLE — L’ARTICLE 13 RGPD, LA CHARTE ET LA TRANSPARENCE DE L’ACCÈS EXCEPTIONNEL (ART. 84A EIWOG)
L’Avocat général recentre l’analyse de la cinquième question préjudicielle sur le seul article 13 du RGPD, écartant la pertinence de l’article 5, §1, sous f), et de l’article 32, §2, du même règlement. Il justifie cet écartement en ces termes : « je ne suis pas entièrement convaincu que l’article 5, §1, sous f), et l’article 32, §2, soient pertinents en l’espèce », au motif que « la question posée par la juridiction de renvoi concernerait l’obligation pour le gestionnaire d’informer le consommateur lorsqu’il consulte les données dans un “cas particulier justifié” ».
Ce faisant, l’Avocat Général concentre toute l’analyse sur l’obligation d’information a priori incombant au responsable de traitement au titre de l’article 13 RGPD. Il rappelle que cette disposition « énumère les informations que le responsable du traitement (en l’espèce, le gestionnaire) doit fournir à la personne concernée (le consommateur), “au moment où les données en question sont obtenues” », incluant notamment « les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique dudit traitement ». Il précise toutefois que « en vertu du §4 du même article, cette obligation d’information est exclue lorsque, et dans la mesure où, la personne concernée dispose déjà de ces informations ».
4. LA LECTURE DE L’ARTICLE 84A, §1, DE L’EIWOG AU PRISME DE L’ARTICLE 13 RGPD
L’Avocat général développe un raisonnement conditionnellement favorable à la compatibilité du droit autrichien avec le RGPD. Il relève que l’article 84a, §1, de l’EIWOG « prévoit expressément la finalité pour laquelle les gestionnaires de réseau peuvent accéder à des données au moyen du compteur intelligent, dans des cas “particuliers justifiés” », à savoir « maintenir une exploitation sûre et efficace du réseau », et qu’il dispose en outre que « les données concernées doivent être effacées sans délai dès qu’elles ne sont plus nécessaires à la réalisation de l’objectif » et que « [e]n cas de consultation des valeurs de consommation par quart d’heure sans consentement, le consommateur final doit en être informé dans les meilleurs délais ».
L’Avocat Général note ensuite que « l’article 84a, §1, de l’EIWOG est reproduit dans les conditions générales d’accès au réseau de Netz Niederösterreich GmbH, qui peuvent être considérées comme reprises dans le contrat conclu avec le consommateur au moment de l’installation du compteur intelligent ou avant cette date ». Il en conclut que « l’article 84a de l’EIWOG prévoit expressément la finalité pour laquelle l’accès aurait lieu et dispose que les données doivent être effacées lorsqu’elles ne sont plus nécessaires », garantissant ainsi un accès « sécurisé » au sens de l’article 23 de la directive 2019/944.
5. LA CONCLUSION CONDITIONNELLE ET LE RÔLE DU RÈGLEMENT DATA ACT (UE) 2023/2854
L’Avocat général parvient à une conclusion conditionnelle de compatibilité : « la législation autrichienne, en l’espèce l’article 84a, §1, de l’EIWOG, n’est pas contraire au RGPD, à la condition que le consommateur soit informé de la finalité particulière prévue par cette disposition ». Il étend cette compatibilité à la Charte en jugeant que « la législation autrichienne n’est pas contraire à l’article 7 ni à l’article 8, paragraphes 1 et 2, de la Charte ».
Il ouvre néanmoins une perspective d’évolution normative en mentionnant que « le législateur de l’Union a récemment renforcé le niveau de protection des données à caractère personnel des consommateurs, en adoptant le règlement (UE) 2023/2854 qui, tout en s’appliquant à partir du 12 septembre 2025, renforce, pour les utilisateurs de “produits connectés”, la garantie d’un accès en temps utile aux données générées par ces instruments ». Cette mention du Data Act constitue une reconnaissance implicite des limites du cadre juridique existant au moment des faits.
APPRÉCIATION CRITIQUE DE LA MOTIVATION DE L’AVOCAT GÉNÉRAL
UNE LACUNE SIGNIFICATIVE
La motivation de l’Avocat général présente une lacune analytique centrale : elle n’aborde à aucun moment la question du fondement juridique du traitement au sens de l’article 6 du RGPD. Or, la licéité du traitement de données par le compteur intelligent — qu’il soit en configuration standard, opt-in ou opt-out — suppose l’existence d’une base légale parmi celles énumérées à l’article 6, §1, du RGPD. La juridiction de renvoi n’avait certes pas posé cette question de manière autonome, mais l’analyse de l’article 13 RGPD — relatif aux informations à fournir sur « la base juridique du traitement » — aurait logiquement conduit à identifier cette base. En s’abstenant de le faire, l’Avocat Général prive sa réponse d’une partie essentielle de son fondement.
UNE GARANTIE SUFFISANTE ?
La réponse conditionnelle proposée — selon laquelle la compatibilité avec l’article 13 RGPD est subordonnée à « l’information préalable » du consommateur — soulève la question de l’effectivité de cette garantie dans un contexte d’asymétrie informationnelle structurelle. L’information contractuelle incorporée par référence aux conditions générales, que l’Avocat Général juge suffisante en renvoyant à l’article 84a de l’EIWOG reproduit dans les CGU de Netz Niederösterreich, peut difficilement être assimilée à une information « claire et complète » au sens de la jurisprudence Planet49 (C-673/17, EU:C:2019:801) et des lignes directrices du CEPD sur la transparence (Guidelines 2/2018). L’Avocat Général ne s’interroge pas sur le caractère effectivement accessible, intelligible et non noyé dans un corpus contractuel, de cette information.
UNE COHÉRENCE DISCUTABLE
En excluant le réseau électrique du champ d’application de la directive ePrivacy au motif que le réseau « n’est pas public » et que le compteur « n’est pas la propriété du consommateur », l’Avocat général adopte une lecture formaliste qui entre en tension avec la finalité de protection des terminaux consacrée à l’article 5, §3, de la directive 2002/58. Cette disposition a précisément pour objet de protéger l’équipement terminal de l’utilisateur contre des accès non consentis, indépendamment de la nature publique ou privée du réseau de transmission. La Cour, dans son arrêt Orange Romania (C-61/19, EU:C:2020:901), et l’EDPB dans ses avis successifs, ont souligné la nécessité d’une interprétation fonctionnelle des notions d’équipement terminal et de réseau électronique.
RAPPEL DES DISPOSITIFS
EU:C:2025:967)
« L’article 5, §3, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques doit être interprété en ce sens que :
la notion de “réseau de communications électroniques” ne s’applique pas à un réseau électrique par lequel sont transmises des données (données de consommation, métadonnées, numéros d’identification personnels) aux fins de l’article 20, sous b) et c), et de l’article 23, §3, de la directive (UE) 2019/944 du Parlement européen et du Conseil, du 5 juin 2019, concernant des règles communes pour le marché intérieur de l’électricité et modifiant la directive 2012/27/UE, lorsque le réseau électrique n’est pas public et que le compteur intelligent n’est pas la propriété du consommateur.
L’article 13 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, lu à la lumière de l’article 7 et de l’article 8, paragraphes 1 et 2, de la Charte des droits fondamentaux de l’Union européenne, doit être interprété en ce sens que :
il ne s’oppose pas à une législation nationale selon laquelle seule la configuration de l’intervalle de lecture doit être visible par le consommateur final, et non le fait que, le cas échéant, le gestionnaire de réseau a conclu à l’existence d’un “cas particulier justifié” et a consulté les données du consommateur final avant l’intervalle fixé, lorsque le consommateur a été informé au préalable dans cette éventualité particulière.»
POINTS ESSENTIELS
L’affaire C-468/24, Netz Niederösterreich GmbH c. SR, pose à la CJUE six questions préjudicielles issues d’un litige autrichien dans lequel une consommatrice refuse le remplacement de son compteur électrique mécanique — dont l’étalonnage est échu — par un compteur intelligent numérique, invoquant des violations du RGPD (articles 5 § 1 f), 13 et 32 § 2), de la directive ePrivacy 2002/58/CE (article 5 § 3), de la directive 2019/944 sur le marché intérieur de l’électricité (articles 20, 21, 22 et 23) et de la Charte des droits fondamentaux (articles 7 et 8) ;
le Landesgericht St. Pölten, saisi en appel, fonde son renvoi sur la constatation d’une asymétrie informationnelle structurelle — la configuration opt-out n’étant pas activée par défaut, l’accès à distance restant techniquement possible y compris via l’article 84a EIWOG, les données (dont l’adresse MAC) étant transmises de manière non cryptée et interceptables par CPL Sniffer — et sur la jurisprudence Planet49 (C-673/17), dont il tire que le mécanisme opt-out imposant une démarche active a posteriori viole l’exigence de consentement préalable, libre et éclairé.
25.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats