Association AES , IT pour EAE , Sécurité

Une politique des données pour le secteur énergétique

Digitalisation

27.04.2018

Au vu des nouvelles possibilités en matière de collecte et de traitement des données, il est nécessaire d’établir des réglementations et des directives spécifiques à la branche afin de pouvoir tenir compte des lois nationales et européennes sur la protection des données. C’est pourquoi un groupe de travail de l’AES élabore actuellement une politique des données correspondante.

Du fait de la digitalisation croissante, de plus en plus de données importantes pour les activités commerciales, ainsi que leur traitement générateur de valeur ajoutée se retrouvent au centre des activités des entreprises. Les innovations techniques, un volume de données encore jamais atteint et de nouvelles possibilités de mise en relation et d’analyse des données servent de base à un large éventail d’évolutions commerciales possibles pouvant aller de solutions complémentaires jusqu’à des modèles d’affaires disruptifs dans les branches les plus variées. Dans le secteur énergétique aussi, le traitement des informations devient réellement un facteur stratégique de réussite et un critère de distinction par rapport à la concurrence.

2007 avait sonné le début d’une nouvelle ère numérique, inaugurée par les entreprises «Gafa» (Google, Amazon, Facebook, Apple) et d’autres acteurs du marché. Ces sociétés s’étaient lancées dans la collecte, le traitement et le stockage systématiques d’énormes quantités de données, ce qui avait par la suite soulevé nombre de questions telles que «Qu’advient-il de nos données?» ou «Quels droits et obligations sont liés à ces données?». Au vu de cette évolution, l’UE a décidé d’adopter un nouveau Règlement général sur la protection des données (RGPD) afin d’adapter la loi existante au nouveau monde numérique et de protéger les droits des personnes et leur sphère privée. Le RGPD entrera en vigueur en mai 2018 dans tous les États de l’UE.

Les EAE sont elles aussi concernées

Le RGPD a des répercussions directes sur la Suisse et sur les entreprises helvétiques, qu’elles disposent ou non d’un siège ou d’une succursale dans l’UE. Outre l’influence envers la Loi suisse sur la protection des données (LPD), il faut tenir compte du «marché cible» du RGPD. Ce principe étend le champ d’application territorial, ce qui signifie que le champ d’application inclut aussi les entreprises dont le siège se trouve en Suisse dans la mesure où elles proposent leurs marchandises et leurs prestations de services de façon ciblée (contre paiement ou non) à des personnes qui se trouvent dans l’UE ou que le traitement des données qu’elles effectuent sert à l’observation du comportement de personnes au sein de l’UE – par exemple pour établir un profil ou réaliser un suivi (tracking).

Jusqu’à présent, les exigences en matière de protection des données étaient jugées équivalentes en Suisse et dans les pays de l’UE. Si, à l’avenir, un échange de données relatives aux personnes doit rester possible au-delà des frontières, la Loi suisse sur la protection des données doit prendre en compte les exigences plus sévères provenant de l’UE. Afin de maintenir cette conformité par rapport à l’UE, il est prévu que la révision de la Loi sur la protection des données soit réalisée en deux étapes, la première étape devant vraisemblablement contenir les adaptations au droit européen qui s’imposent .[1]

Comment la branche peut-elle se préparer à cette évolution?

Afin de garantir un traitement des données bien réglé, conforme à la loi et le plus homogène possible au sein de la branche, il s’agit d’établir une politique des données utile pour l’interaction entre les acteurs du marché. Cette politique doit décrire les principes relatifs aux problématiques importantes telles que l’utilisation des données, leur protection et leur sécurité, ainsi que la gouvernance les régissant. Une politique des données constitue un cadre global pour le traitement des données pertinentes, ainsi que pour l’échange de données entre les acteurs du marché ou les rôles dans le paysage énergétique.

Exemple pratique: un flux de données de mesure

Prenons l’exemple d’un flux de données de mesure pour présenter schématiquement les défis que recèle le traitement de données pour une EAE.

Les aspects importants de la politique de données à l’exemple de la mesure de flux de données.

Un smart meter établit les courbes de charge par périodes de 15 minutes et les sauvegarde dans l’appareil pendant au moins 60 jours. Les données peuvent être consultées via des interfaces, tant depuis un système de traitement des données du gestionnaire de réseau que directement, par le consommateur final, le producteur des données ou encore un tiers mandaté. De tels profils de charge avec attribution à un client sont considérés comme des données personnelles au sens de la Loi sur la protection des données et doivent donc être particulièrement protégées du point de vue de leur confidentialité, de leur intégrité et de leur disponibilité.

Pour la transmission de données depuis le smart meter vers le système de traitement des données, différentes technologies de communication peuvent être utilisées, avec pour chacune d’entre elles des mesures différentes pour respecter la sécurité et la protection des données. Il s’agit de protéger les données contre la modification et le détournement lors de leur transfert.

Le traitement des données dans les systèmes centraux est aujourd’hui souvent réparti sur plusieurs applications. Lors du relevé des données de mesure, on vérifie principalement leur intégrité. Étant donné que cette étape ne requiert aucune information directe sur les clients, l’aspect «protection des données» est moins critique.

Ensuite, les données sont transférées dans un système de gestion des données de compteur (Meter Data Management, MDM) ou dans un système de gestion des données énergétiques (Energy Data Management, EDM). Ces données sont complétées notamment par des données sur les clients et sur les contrats. Les droits d’accès aux systèmes correspondants doivent être accordés de façon restrictive, car des données à caractère personnel sont concernées ainsi que des aspects de séparation des domaines d’activité doivent être pris en compte. Dans une entreprise, la gestion des données, de leur génération à leur suppression, doit être réglée en conformité avec la loi et être adaptée aux changements qui ont lieu.

Les données de mesure de clients ayant accès au marché doivent être fournies par le gestionnaire de réseau aux acteurs du marché autorisés, sans discrimination, ainsi qu’à des systèmes tiers. La fourniture doit être effectuée en l’état et ne doit pas être visible par des personnes non autorisées.

Aujourd’hui, les processus client sont en grande partie exécutés via des portails. Généralement, les solutions de portail disposent de nombreuses données de clients et de contrats et permettent la visualisation des données de mesure. Les informations doivent être protégées contre les accès non autorisés. Cela vaut non seulement vis-à-vis de tiers, mais aussi en interne, afin de respecter les prescriptions en matière de protection des données et de séparation des domaines d’activité.

Dans la vente, on travaille souvent avec des systèmes CRM qui sont également intégrés dans le paysage informatique de l’EAE. L’utilisation de l’ensemble des données relatives à la personne pour de nouvelles activités commerciales doit se faire dans le cadre des prescriptions légales.

Cet exemple montre que l’accès aux données, leur traitement et leur sécurité posent divers défis dans le secteur énergétique.

Le groupe de travail Data Policy de l’AES aborde trois thèmes centraux autor desquels sont structurés les défis cités ci-dessus: l’utilisation des données, la conformité à la politique des données (data compliance) et la gouvernance des données (data governance). L’accent est mis sur les données relatives aux personnes pour lesquelles la législation sur la protection des données de l’UE (RGPD) et celle de la Suisse (LPD) fournissent des directives de base.

Le thème central de l’utilisation des données traite des droits d’utilisation concernant les objets de données. On analyse plus avant les exigences des acteurs du marché impliqués par rapport aux différents objets de données et on clarifie l’usage prévu de ces objets.

Concernant la conformité à la politique des données, on examine de plus près les règles et les directives relatives au traitement des données en distinguant les données personnelles et non personnelles.

Quant au thème central de la gouvernance des données, il permet d’établir des mécanismes autorisant le pilotage, la mise en œuvre, le développement à long terme et l’actualisation de réglementations d’une politique de données pour une entreprise. Ces réglementations sont valables aussi bien pour le traitement de données interne à l’entreprise que pour l’échange de données interentreprises.

Fait également partie de la gouvernance des données la définition, au sein d’une entreprise, de rôles ou de fonctions qui traitent du thème de la politique des données. Les rôles correspondants sont par exemple établis dans les domaines de la sécurité de l’information, de la gestion des données ou de la protection des données. Leurs compétences comprennent – selon le secteur d’activité – la définition et l’application de directives ou la surveillance du respect des directives existantes.

La préparation est essentielle

La digitalisation apporte aux entreprises de la branche énergétique de multiples opportunités et possibilités d’étendre les modèles d’affaires ou d’en créer de nouveaux. Le traitement des données utilisées à cet effet renferme cependant des défis auxquels les entreprises doivent se préparer minutieusement. Ces défis sont en partie la conséquence de la RGPD de l’UE.

Pour pouvoir exploiter les avantages du nouveau monde numérique, les acteurs du marché de l’énergie doivent réfléchir à l’introduction et à l’application d’une politique des données adaptée et conforme à la loi dans leur entreprise. Une politique générale des données sera préparée dans le courant de cette année par le groupe de travail compétent de l’AES, spécialement créé dans ce but.

Référence

[1]   «Législation sur la protection des données: révision en deux étapes», communiqué de presse de la Confédération du 12 janvier 2018; question Fiala «Double incrimination du fait de l’application du règlement général de l’UE sur la protection des données».

F_1805_henry_f.pdf
Auteur
Stéphane Henry

est Président du groupe de travail Data Policy de l’AES.

Cet article a été rédigé au nom du groupe de travail Data Policy de l’AES.

Commentaire

Veuillez calculer 3 plus 7.
Article Infrastructure , Mobilité

Arrivée des bus électriques

Arrivée des bus électriques

Tendance mondiale, stratégies locales.

Radomír Novotný
Article Infrastructure , Mobilité , Stockage d’énergie

Plus de puissance pour les camions électriques

Plus de puissance pour les camions électriques

Le MCS repousse les limites de la recharge ultrarapide.

Valentin Gay
Article Mobilité , Réseaux énergétiques , Stockage d’énergie

Des stations de recharge au service du réseau

Des stations de recharge au service du réseau

Projet pilote et de démonstration.

Dr. Benedikt Vogel
Article Mobilité , Réseaux énergétiques , Stockage d’énergie

Meilleures pratiques pour la recharge

Meilleures pratiques pour la recharge

Comprendre la dégradation des batteries Li-ion.

Bruno Lemoine , Paula Aguirre , Dr Priscilla Caliandro
Article Automatisation , Mobilité , Sécurité

Vers une mobilité connectée et sécurisée

Vers une mobilité connectée et sécurisée

Assurer la fiabilité des communications entre véhicules et infrastructure.

Michael Mäder , Gabriel Python , Denis Rosset