VOTRE COMPTEUR ÉLECTRIQUE INTELLIGENT ENREGISTRE-T-IL VOTRE VIE PRIVÉE À VOTRE INSU ?
LA CJUE SAISIE D’UNE QUESTION QUI CONCERNE CHAQUE CONSOMMATEUR EUROPÉEN.
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
I.
L’affaire C-468/24, Netz Niederösterreich GmbH c/ SR, est née d’un litige en apparence banal entre un gestionnaire de réseau électrique autrichien et une consommatrice refusant le remplacement de son vieux compteur analogique par un compteur intelligent dit « opt-out ». Derrière ce différend de voisinage se profile une question d’une portée considérable pour des millions de consommateurs européens : l’installation forcée d’un compteur communicant constitue-t-elle une violation du RGPD et des droits fondamentaux à la vie privée ?
Le Landesgericht St. Pölten (tribunal régional de St. Pölten, Autriche) a saisi la Cour de justice de six questions préjudicielles le 3 juillet 2024. Il lui demande, en substance, d’interpréter les obligations issues de la directive sur le marché intérieur de l’électricité (directive 2019/944), de la directive sur les instruments de mesure (directive 2014/32), de la directive ePrivacy (2002/58/CE) et du RGPD dans leur application aux compteurs intelligents.
Le litige au principal : un compteur, six questions
Netz Niederösterreich GmbH, gestionnaire du réseau électrique de Basse-Autriche, souhaite remplacer le compteur mécanique périmé de sa cliente — périmé métriquement depuis fin 2023 — par un compteur intelligent configuré en mode « opt-out ». Cette configuration est censée désactiver la collecte continue des données de consommation, ne transmettant les relevés qu’une fois par an à distance. La cliente refuse. Elle invoque la protection de ses données personnelles, des risques de pollution électromagnétique et le non-respect des règles légales applicables.
La juridiction autrichienne, confrontée à l’imbrication complexe de plusieurs actes du droit de l’Union, décide de demander à la Cour si : (1) la directive électricité oblige le gestionnaire à respecter le souhait du client de ne pas recevoir de compteur intelligent et à lui fournir un compteur classique ; (2) la directive sur les instruments de mesure impose des exigences de sécurité des données ; (3) la directive ePrivacy s’applique aux données transmises via le réseau électrique CPL ; (4) le RGPD s’oppose aux règles autrichiennes sur la visibilité des accès à distance aux données du compteur.
II.
Ce que la défenderesse reproche concrètement
La consommatrice, SR, développe des griefs techniques précis. Premièrement, même en configuration opt-out, chaque compteur intelligent sert de répéteur dans le réseau CPL : il transmet en permanence des blocs de données (métadonnées, adresses MAC, informations d’état) sans en informer le consommateur. Deuxièmement, l’adresse MAC — identifiant unique de l’appareil permettant d’identifier la personne — est transmise de manière non chiffrée, interceptable par tout tiers disposant d’un CPL Sniffer sur le même réseau de transformateurs. Troisièmement, la loi autrichienne (article 84a, paragraphe 1, EIWOG) autorise le gestionnaire à accéder à distance aux données du compteur en cas de « cas particulier justifié », sans que le consommateur puisse vérifier si un tel accès a eu lieu ni en avoir été préalablement informé.
L’arrêté ministériel autrichien (IME-VO) ne rend visible pour le consommateur sur l’écran du compteur que la configuration de l’intervalle de lecture — mais pas l’information relative à un éventuel accès anticipé aux données. La défenderesse soutient que cette opacité viole l’obligation d’information de l’article 13 du RGPD et le principe d’intégrité et de confidentialité de l’article 5, paragraphe 1, sous f), du même règlement.
La qualification des données : enjeu central
Pour que le RGPD s’applique, encore faut-il que les données traitées par le compteur constituent des « données à caractère personnel » au sens de l’article 4 du règlement. La juridiction autrichienne, s’appuyant sur l’arrêt Planet49 (C-673/17), répond affirmativement : le numéro de point de comptage associé à une adresse identifie de manière unique le consommateur. Les données de consommation révèlent des informations sur les habitudes de vie, les rythmes d’occupation du domicile, voire l’utilisation d’appareils médicaux connectés. La transmission non chiffrée de l’adresse MAC confirme le caractère personnel des données concernées.
L’enjeu ePrivacy : le réseau électrique, un réseau de communications ?
La quatrième question — portant sur l’applicabilité de la directive ePrivacy — est peut-être la plus novatrice. La directive 2002/58/CE soumet à un régime de consentement strict tout accès à des informations stockées dans l’« équipement terminal » d’un abonné via un « réseau de communications électroniques ». La défenderesse soutient que le réseau CPL utilisé par le compteur intelligent relève de cette définition. Si la Cour valide cette analyse, le déploiement de tout compteur intelligent communicant nécessiterait un consentement préalable informé du consommateur — ce qui remettrait fondamentalement en cause les modèles de déploiement obligatoire en vigueur dans de nombreux États membres.
III.
Les enjeux pour les responsables de traitement dans le secteur de l’énergie
L’affaire C-468/24 mérite l’attention des directions générales et des directions juridiques des entreprises de distribution d’énergie, mais aussi de toute entreprise déployant des dispositifs IoT communicants chez ses clients. Plusieurs alertes pratiques s’imposent.
DIRECTION GÉNÉRALE / DIRECTION JURIDIQUE — GESTIONNAIRES DE RÉSEAUX
La Cour est invitée à préciser que le déploiement de compteurs intelligents constitue un traitement de données à caractère personnel soumis à l’ensemble du RGPD. Cela implique : la réalisation d’une AIPD (analyse d’impact relative à la protection des données) avant tout déploiement à grande échelle, conformément à l’article 35 RGPD ; la mise en place de mesures techniques appropriées garantissant le chiffrement des communications entre les compteurs et les systèmes centraux, conformément à l’article 32 ; l’information préalable et complète des consommateurs sur les finalités, les destinataires et les modalités d’accès à leurs données de consommation, conformément à l’article 13 ; et la mise en place d’un mécanisme documenté et traçable pour tout accès anticipé aux données, accessible au consommateur sur demande.
DIRECTION DES RESSOURCES HUMAINES / CONFORMITÉ
Les entreprises dont les activités impliquent le traitement de données générées par des objets connectés (IoT) installés chez leurs clients — qu’il s’agisse de compteurs d’énergie, de dispositifs de télémétrie, de bornes de recharge ou d’équipements de télésurveillance — doivent dès à présent évaluer si leurs processus internes satisfont aux exigences de transparence et de sécurité du RGPD. La décision attendue de la Cour dans C-468/24 constituera une référence jurisprudentielle directement applicable à ces traitements.
Stade procédural et prochaine étape
À la date des présentes synthèses, seules les conclusions de l’Avocat général du 11 décembre 2025 (ECLI:EU:C:2025:967) sont disponibles, la Cour n’ayant pas encore rendu son arrêt. L’affaire reste donc pendante devant la formation de jugement compétente. L’arrêt, dont l’échéance est attendue dans le courant de l’année 2026, tranchera de manière définitive les six questions préjudicielles et fixera le cadre applicable au déploiement des compteurs intelligents dans l’ensemble de l’Union européenne.
POINTS ESSENTIELS
26.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats