Émergence des réseaux intelligents et connectés : vos données sont-elles en sécurité ?

-
Mouvement majeur au sein de la transition énergétique, le développement des Smart grids et du Big Data se traduit aujourd’hui de manière concrète pour le consommateur par le déploiement de matériel Machine-to-Machine, au travers de compteurs communicants tels que Linky pour l'électricité et Gazpar pour le gaz naturel. Ces smart meters captent et transfèrent un nombre important de données, qui peuvent présenter un caractère personnel. En effet, la granularité fine des données telles que la consommation d'énergie permet parfois – via des statistiques et des algorithmes – d'identifier la situation et les habitudes de vie des consommateurs : horaires, comportements, etc. Si la sensibilité au caractère privé d’une donnée est fortement déterminée par des facteurs politico-sociologiques, elle est aussi dépendante d’une relation de confiance mutuelle entre parties prenantes. Actuellement, il émerge une prise de conscience à l’échelle européenne et française de l’importance de la sécurité liée aux données personnelles, qui se manifeste d’abord par la création d’un cadre légal adapté

Une gouvernance en cours d'élaboration en Europe et en France

Historiquement, l’utilisation des données digitales et des fichiers informatiques est régie par la loi Informatique et Libertés du 6 janvier 1978. Cette loi définit en particulier ce qu’est une donnée à caractère personnel et charge la CNIL de réglementer et de surveiller le bon usage de ces données. Les données mesurées par les smart meters sont considérées comme des données à caractère personnel car leur fréquence de relève permet de modéliser les habitudes de vie des consommateurs. La manipulation croissante de ces données a favorisé l'émergence de nouveaux règlements et directives spécifiques et adaptés – à l'instar du règlement (UE) 2016/679 à caractère obligatoire et de la directive 2002/58/CE – et de nouvelles instances européennes comme le Contrôleur Européen de la Protection des Données (CEPD). Même si ces réglementations semblent arriver tardivement et sont logiquement peu coercitives du fait de leur nouveauté, on peut saluer les efforts fournis par l’Allemagne, les Pays-Bas, le Royaume-Uni et la France qui s’illustrent par leur proactivité en matière de niveau d’exigence de protection des données. En France, la loi « Protection des données à caractère personnel », adoptée le 14 avril 2016, formalise sur notre territoire les critères à observer en matière de protection des données, et prône la communication et la transparence vis-à-vis du consommateur.


Cette loi alourdit la responsabilité de l'entreprise en cas de défaillance. Elle implique l’apparition de nouveaux processus de contrôle des données dans l’entreprise et de nouveaux rôles tels que les DPO (Data Protection Officer). Ces derniers sont notamment en charge de la bonne application du règlement quant aux données personnelles et l'usage qui en est fait. En particulier :
  • La pertinence des données doit être vérifiée au préalable, puis les données doivent être sécurisées via une approche par les risques et/ou une étude d'impact sur la vie privée ;
  • La conservation des données est limitée dans le temps et l'espace, de même que leur nombre de sauvegardes ;
  • Certaines données doivent être archivées et leur consultation tracée et sécurisée ;
  • Les clients doivent pouvoir accéder, consulter, rectifier, compléter ou supprimer les données les concernant.
Les entreprises ne respectant pas ces processus s’exposent théoriquement à des sanctions pénales, des sanctions administratives de la CNIL et des amendes pouvant s’élever à 20 millions d'euros ou à 4% de leur chiffre d'affaires annuel mondial.

Au sein de l'entreprise, les outils internes de pilotage de la sécurité des données reposent entre autres sur :
  • Des règles d’authentification des utilisateurs et des moyens de contrôle des permissions d’accès aux données ;
  • Un engagement de confidentialité à signer ;
  • La traçabilité et la gestion des incidents ;
  • La sécurité des postes de travail ainsi que la sécurité des locaux, du réseau informatique interne, ou encore des serveurs.
Ces axes de pilotage ne semblent pas nouveaux mais sont encore perfectibles au sein des grands acteurs de l'énergie. On peut néanmoins citer l'exemple de la société néerlandaise Alliander, gestionnaire d'une partie du réseau de distribution d'énergie – avec 3 millions de clients et 1 million de smart meters installés– qui est la première entreprise de son secteur à obtenir en 2011 une certification Data Privacy & Security. Cette initiative de mise en place d’une certification est un pas vers l’application concrète de la législation.

Vers une sécurisation des flux de données

Au-delà des exigences liées à la gouvernance des données au sein de l'entreprise, l’expérience de déploiement de smart meters aux Pays-Bas en 2008 donne une liste non exhaustive des autres critères d'évaluation intervenant dans la protection des données associées. Ces derniers concernent en particulier la sécurité des transferts de données entre les compteurs et les infrastructures de stockage du distributeur.

Le compteur Linky d'Enedis utilise le CPL (Courant Porteur en Ligne) qui repose sur un système d'appairage boîtier-récepteur assurant la sécurité du canal de communication. Le compteur Gazpar de GRDF exploite quant à lui la radiofréquence couplée à des étiquettes d'identification (Radio Frequency Identification) pour protéger le transfert. D'autres technologies sont également utilisées en Europe – tels que le protocole SSL (Secure Socket Layer) adopté par Vattenfall. Aucune de ces technologies ne présente un risque zéro face au piratage éventuel, mais elles sont ce qui se fait de mieux en matière de cybersécurité actuellement.

Toutes ces technologies de transfert prennent en charge des données anonymisées et chiffrées. Ces mesures de sécurité sont nécessaires pour éviter une ré-identification des consommateurs et des usages détournés des données en cas de piratage durant leur transfert. Quelle que soit la solution retenue, le consommateur final est rarement à même de juger du respect des exigences de sécurité quant au transfert de données. En revanche, les clients seront beaucoup plus sensibles à la communication et à la transparence du fournisseur ou du distributeur vis-à-vis des données collectées et exploitées.

Une évolution tangible des mentalités

Des enquêtes menées au Royaume-Uni et parues en 2012 ont montré une évolution de la sensibilité des clients en matière de données, propice à un meilleur échange des données entre utilisateurs et prestataires. De manière générale, la circulation des données est mieux acceptée sous deux conditions. Premièrement, le consommateur doit ressentir qu'il garde le contrôle de sa vie privée et de ses données : il doit se sentir impliqué, pouvoir choisir quand et avec qui il les partage et pouvoir modifier ses choix à tout moment. La deuxième condition est la confiance. L'un des leviers permettant d'établir cette confiance est la transparence de l'information entre le client et le gestionnaire des données. Dans le cas des smart meters au Royaume-Uni, il apparaît qu’une fois informés des fins d’utilisation des données et des bénéfices qui peuvent en être tirés, les consommateurs étaient plus enclins à accepter l’installation de l’appareil. En outre, les entreprises doivent être en mesure de répondre sans hésitation aux interrogations de leurs clients : elles doivent pouvoir leur indiquer quelles sont les données en leur possession, quelles sont celles qui sont manipulées, par qui et dans quel but.

La relation de confiance doit cependant être à double sens. Ainsi, le gestionnaire doit pouvoir s’assurer de l’honnêteté du consommateur. Dans le cas des smart meters, les technologies de chiffrement des données et de transmission du signal doivent permettre la mise en place de procédés de détection des fraudes, par exemple. Les entreprises souhaitant manipuler des données issues de compteurs communicants doivent se servir de ces critères pour documenter leurs démarches, communiquer auprès de leurs clients et former leur personnel.

Outre le respect des réglementations techniques et les performances technologiques des appareils et des protocoles de traitement des données, les efforts doivent donc se tourner en priorité vers le développement d’une confiance réciproque entre clients et gestionnaires. Car c'est principalement cette dernière qui permettra aux entreprises le développement de leur activité et aux consommateurs l'utilisation de nouveaux services, en échange de cette monnaie virtuelle qu'est la donnée client.


Posts les plus consultés de ce blog

Quantum AI - Part 2 - The dice have been cast!

-
Image
Previously, in the Quantum AI column, we have seen that quantum computing would theoretically enable some complex machine learning algorithms to be executed in a “reasonable” time (less than several years…). But what is so different about quantum computers compared to today’s computers? The purpose of this article is not to go into theoretical details but to simply illustrate – as faithfully as possible – the fundamental differences between classical and quantum computers, especially with a quantum algorithm example. Understanding the bit concept with the coin analogy To understand why calculations are potentially much faster in a quantum computer, let’s recall the general functioning of conventional computers. They use bits to code information and are made of electronic circuits so that, when the current flows through the circuit, the bit is worth 1, otherwise the bit is worth 0. You can also consider the electrical voltage rather than the current, the approach will remain th...
Lire la suite

IA Quantique - Partie 4 - Le rôle clé du DataOps

-
Image
Cet article est le quatrième d’une chronique sur l’IA quantique. Précédemment, on a pu voir que : Partie 1 : l’informatique quantique permettra d’accélérer sensiblement l’exécution de certains algorithmes de machine learning et de traitements cryptographiques ; Partie 2 : les phénomènes quantiques (superposition et intrication) responsables de la parallélisation intrinsèque des calculs ne peuvent être exploités que pendant une très courte période dans des conditions d’isolation strictes (problème de décohérence) ; Partie 3 : malgré toutes ses promesses, l’IA quantique ne sera probablement pas en mesure de donner naissance à une conscience artificielle ou une prétendue IA forte ; Dans ce nouveau chapitre, je souhaite vous partager mon point de vue sur la mise en oeuvre théorique d’un dispositif quantique de production en entreprise. Cela peut par exemple être un processus décisionnel (BI) ou de machine learning reposant sur une infrastructure composée à la fois de machines c...
Lire la suite

Quantum AI - Part 3 - The rise of the AIs

-
Image
Previously, in the Quantum AI column, we have seen that quantum computing would theoretically be able to significantly increase the execution speed of some Machine Learning algorithms. This is due to the phenomena at the core of such computers (like states superposition, qubits entanglement, superposed states decoherence, immediate wave function collapse) that enable parallel calculations by storing several (superposed) information within a single particle. By considerably speeding up algorithmic processing, quantum will make AI solve new problems. Some people go even further and say it could enable the design of an artificial brain as efficient as that of humans, especially able to integrate abstract concepts such as consciousness and feelings. The question that then arises is whether quantum AI would be more likely to become “strong AI” (artificial general intelligence)… First of all, what is human intelligence? Before looking at the complementarities between quantum and strong ...
Lire la suite