Consentement RGPD énergie : le guide complet pour les professionnels

Introduction

‍

Dans le secteur de l'énergie, l'accès aux informations de consommation est devenu un enjeu stratégique pour assurer la qualité du service et accompagner la transition énergétique. Que vous soyez bureau d'études, gestionnaire de patrimoine, courtier ou exploitant chauffagiste, vous devez accéder aux consommations électriques et gazières de vos contacts pour optimiser leur performance et protéger leurs intérêts. Cette collecte nécessite de respecter un cadre réglementaire strict : le Règlement Général sur la Protection des Données (RGPD) et la réglementation en vigueur imposée par les gestionnaires de réseaux de distribution.

‍

L'accord éclairé est au cœur de cette conformité et de la protection des données RGPD. Sans lui, impossible d'accéder légalement aux courbes de charge des compteurs communicants (compteurs Linky pour l'électricité, Gazpar pour le gaz) ou aux index détaillés. Pour les professionnels, maîtriser le recueil et la gestion de ces autorisations est une obligation légale qui conditionne votre activité et permet d'assurer la sécurité des informations de vos clients.

Ce guide vous explique comment obtenir, gérer et documenter les autorisations d'accès aux consommations énergétiques tout en restant conforme au RGPD, et vous présente les outils et services mis à disposition par les gestionnaires pour faciliter cette démarche.

‍

‍

Le consentement RGPD pour la collecte des données énergétiques

‍

‍

Le cadre légal applicable

‍

Le règlement général sur la protection des données, adopté par le Parlement européen le 27 avril 2016, est entré en vigueur le 25 mai 2018. Il impose aux responsables du traitement de respecter plusieurs principes fondamentaux pour toute collecte de données à caractère personnel.

La loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée en 2018, complète ce dispositif. Elle précise que toute personne physique dispose de droits sur ses informations personnelles, y compris ses données de consommation d'électricité et de gaz.

Les principes de licéité : vous devez disposer d'une base légale pour traiter les informations. Cette base peut être le consentement éclairé, l'exécution d'un contrat de fourniture, une obligation légale, ou un intérêt légitime à condition de ne pas porter atteinte aux droits et libertés de la personne concernée.

La finalité déterminée : définissez précisément l'utilisation prévue. Par exemple : optimisation tarifaire, conformité au décret tertiaire, ou développement d'une offre d'énergie verte adaptée au foyer.

La minimisation : collectez uniquement ce qui est strictement nécessaire. Si vous n'avez besoin que d'index mensuels pour conseiller votre client, ne demandez pas l'accès aux courbes horaires du compteur communicant Linky.

‍

Qui est responsable du traitement ?

‍

Dans le secteur de l'énergie, plusieurs acteurs interviennent avec des rôles différents :

Les fournisseurs d'énergie (EDF, TotalEnergies, Engie, etc.) sont responsables du traitement pour les informations collectées dans le cadre du contrat d'énergie souscrit par le client. Ils collectent directement ou indirectement les données nécessaires à la facturation et à la gestion de l'abonnement.

Les gestionnaires de réseaux (Enedis pour l'électricité, GRDF pour le gaz) traitent les informations dans le cadre de leurs missions de service public : comptage, dépannage, raccordement. Ils collectent de manière indirecte certaines données transmises par les fournisseurs.

Les professionnels tiers (courtiers, bureaux d'études, exploitants) deviennent responsables du traitement dès lors qu'ils collectent des informations pour leur propre compte. Vous devez alors respecter l'intégralité des obligations RGPD, y compris l'obtention du consentement éclairé.

‍

Les sanctions en cas de manquement

‍

La Commission Nationale de l'Informatique et des Libertés (CNIL), autorité de contrôle en France, peut prononcer des sanctions administratives en cas de non-conformité. Depuis l'entrée en vigueur du RGPD, ces sanctions ont considérablement augmenté.

- Les montants : jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Cette capacité de sanction dissuasive vise à garantir le respect des droits fondamentaux.

- Les conséquences : au-delà de l'aspect financier, un manquement peut gravement nuire à votre réputation professionnelle. La CNIL publie certaines décisions de sanction, ce qui impacte directement la confiance de vos clients et prospects.

- Les risques spécifiques : accéder aux données de consommation sans autorisation valide, ne pas respecter la durée de conservation annoncée, ou ne pas permettre l'exercice des droits constituent des manquements graves pouvant entraîner des sanctions.

- La non-conformité dans une situation quotidienne : une organisation qui collecte des données à des fins de prospection commerciale sans avoir obtenu d'accord explicite s'expose à des sanctions. De même, ne pas informer le consommateur de la nature et de la finalité du traitement constitue une violation des règles en vigueur. Les professionnels doivent être particulièrement vigilants sur ces points pour éviter tout risque juridique.

‍

‍

Consentement Enedis vs GRDF vs réseaux de chaleur

‍

‍

Les spécificités Enedis pour l'électricité

‍

Enedis, gestionnaire du réseau public de distribution d'électricité, impose des exigences strictes pour l'accès aux données des compteurs Linky via son API (notamment le service M023).

Les contrôles réguliers : Enedis réalise des audits périodiques des entreprises accédant à ses systèmes. Ces contrôles vérifient que vous disposez d'autorisations valides pour chaque Point De Livraison (PDL) consulté.

Les mentions obligatoires : votre formulaire doit préciser explicitement que vous allez accéder aux données collectées par Enedis, gestionnaire du réseau de distribution. Vous devez indiquer les finalités du traitement et informer la personne concernée de ses droits.

La durée de conservation : Enedis conserve les données de consommation pendant une durée adaptée à ses missions. Pour votre part, vous devez définir une durée proportionnée à votre finalité et la mentionner clairement. À compter de la date de fin de la mission ou de résiliation du contrat, vous disposez d'un délai limité pour archiver ou supprimer.

L'espace client Enedis : les usagers peuvent consulter leurs consommations via l'espace personnel enedis.fr. Ils peuvent également y gérer les autorisations d'accès accordées aux tiers professionnels. Informez vos contacts de cette possibilité pour renforcer la transparence.

Plus d'informations sur la politique de protection des données personnelles d'Enedis.

‍

Les particularités GRDF pour le gaz

‍

GRDF, gestionnaire du réseau de distribution de gaz naturel, a mis en place un cadre similaire mais avec quelques spécificités pour les compteurs communicants Gazpar. Le fonctionnement du système GRDF ADICT (Accès aux Données Individuelles de Consommation et Techniques) permet une mise à disposition sécurisée des informations.

Le Point de Comptage et d'Estimation (PCE) : équivalent du PDL pour l'électricité, le PCE identifie chaque compteur de gaz. Vous devez recueillir cette référence lors de l'autorisation.

Les données disponibles : GRDF propose plusieurs niveaux de granularité (semestrielles, mensuelles, quotidiennes, voire horaires pour certains compteurs). Adaptez votre demande au niveau réellement nécessaire pour respecter le principe de minimisation. Ces données sont transmises via l'Espace Client GRDF ou via l'API GRDF ADICT pour les organisations souhaitant industrialiser leur suivi.

La procédure d'autorisation : GRDF exige que le titulaire du contrat de fourniture de gaz valide explicitement l'accès. Cette validation peut se faire via l'espace client GRDF ou directement par votre formulaire si celui-ci respecte le cadre défini. Un accès multi-utilisateur et multisite est possible après contractualisation avec GRDF.

La transmission sécurisée : GRDF a mis en place un système de transmission des données respectant la protection des données RGPD. L'accès peut se faire de deux façons :

• Via l'Espace Client : une interface 100% digitale permettant d'importer en masse vos PCE et d'exporter les données de votre choix. Lors de contrôles de sécurité, une interface dédiée permet d'échanger avec GRDF pour déposer les preuves demandées.
• Via l'API GRDF ADICT : un flux automatisé et sécurisé pour intégrer les données brutes (format JSON) directement dans vos systèmes d'information.

L'aide à la mise en œuvre : GRDF propose un accompagnement à chaque étape, avec des ateliers fonctionnels et techniques pour les utilisateurs de l'API. Cette aide facilite l'intégration des données de consommation dans votre organisation et garantit le bon fonctionnement de la collecte.

Consultez les informations de GRDF sur l'accès aux données de consommation pour les entreprises.

‍

Les réseaux de chaleur urbains

‍

Les réseaux de chaleur présentent des spécificités différentes car ils ne dépendent pas d'Enedis ou GRDF, mais d'exploitants locaux (délégataires de service public ou régies).

La diversité des exploitants : chaque réseau de chaleur a son propre exploitant. Les procédures d'accès aux données de consommation peuvent varier d'un réseau à l'autre.

Le cadre RGPD reste identique : même si les acteurs changent, vos obligations en tant que responsable du traitement restent les mêmes. Vous devez obtenir le consentement éclairé, respecter les finalités, et permettre l'exercice des droits.

Les opportunités de développement : avec la transition énergétique et le développement des réseaux de chaleur verte (biomasse, géothermie), de nouvelles opportunités émergent pour les professionnels. L'accès aux données de consommation thermique devient un enjeu pour optimiser ces installations.

‍

‍

Comment obtenir le consentement client pour accéder aux données

‍

‍

Les critères d'un consentement éclairé valide

‍

Le RGPD, dans son article 4, définit précisément ce qu'est un consentement valide. Pour être juridiquement opposable, l'accord doit répondre à quatre critères cumulatifs :

- Libre : l'usager doit pouvoir refuser sans subir de préjudice. Vous ne pouvez pas subordonner la fourniture d'un service essentiel à l'acceptation d'un traitement qui n'est pas strictement nécessaire.

- Spécifique : chaque finalité nécessite un accord distinct. Si vous collectez pour optimiser l'abonnement ET réaliser un audit énergétique, listez clairement ces deux usages avec possibilité d'accepter séparément.

- Éclairé : la personne physique doit comprendre à quoi elle consent. Utilisez un langage clair et accessible. Indiquez : qui collecte, quelles informations, pourquoi, pendant combien de temps, qui y aura accès, et quels sont les droits.

- Univoque : l'accord doit résulter d'une action positive (cocher une case, cliquer sur "J'accepte"). Par défaut, aucune case ne doit être pré-cochée. Le silence ou l'inaction ne constituent pas une validation.

‍

Les mentions obligatoires dans votre formulaire

‍

Pour être conforme au règlement (UE) n° 2016/679 et à la loi informatique et libertés, incluez impérativement :

1- L'identité du responsable de traitement : raison sociale, adresse, et contact dédié pour exercer les droits (par exemple : dpo@votreentreprise.fr). Précisez également votre site internet principal.

2- Les coordonnées du délégué à la protection : si vous en avez désigné un, mentionnez ses coordonnées. Pour les structures de plus de 250 salariés ou traitant des données sensibles à grande échelle, cette désignation est obligatoire.

3- Les finalités précises et la nature du traitement : expliquez concrètement l'utilisation. Exemples :

• "Analyser vos courbes de charge pour vous proposer une offre d'électricité adaptée à votre profil de consommation"
• "Suivre l'atteinte de vos objectifs dans le cadre du décret tertiaire et vous conseiller sur les actions d'amélioration, notamment en matière de travaux d'optimisation énergétique"
• "Dimensionner l'installation de panneaux photovoltaïques ou de bornes de recharge pour votre foyer ou entreprise, avec un plan d'intervention adapté"
• "Vous apporter une aide personnalisée pour réduire vos consommations et améliorer votre satisfaction"

4- Les catégories d'informations collectées : précisez clairement :

• Données d'identification : nom, prénom, adresse e-mail, numéro de téléphone
• Données de comptage : PDL/PCE, puissance souscrite, option tarifaire
• Données de consommation : index relevés, courbes de charge journalières, quotidiennes ou horaires du compteur communicant
• Données relatives au contrat : nom du fournisseur, date de souscription, conditions particulières
• Données de navigation sur le site si applicable

5- La durée de conservation : indiquez la période précise. Par exemple : "Conservation des données pendant toute la durée du contrat de prestation puis archivage pendant 3 ans à compter de la date de fin de contrat, conformément aux obligations comptables et fiscales."

6- La base légale : précisez si vous vous fondez sur le consentement, l'exécution d'un contrat de fourniture, ou un intérêt légitime. En cas d'intérêt légitime, expliquez pourquoi il est justifié et comment vous garantissez la protection des droits de la personne.

7- Les destinataires et la transmission : listez qui aura accès (collaborateurs internes, sous-traitants). Si vous faites appel à des prestataires pour l'hébergement ou l'analyse, mentionnez-le. Précisez si les données restent dans l'Union Européenne. Indiquez également si vous envisagez une transmission à des tiers pour de la prospection commerciale (auquel cas un accord spécifique est nécessaire).

8- Les droits : rappelez les droits d'accès, de rectification, d'effacement, de limitation du traitement, de portabilité et d'opposition. Indiquez la procédure pour les exercer : adresse postale, e-mail dédié, formulaire en ligne disponible sur votre site. Précisez que vous êtes à disposition pour répondre à toute question sur le traitement de leurs données.

9- Le droit de retrait : précisez que la personne peut retirer son accord à tout moment, et que ce retrait ne remet pas en cause la licéité du traitement effectué avant cette date. Expliquez que le retrait peut avoir pour conséquence la résiliation de certains services si l'accès aux données est indispensable à leur fourniture.

10- Le droit de réclamation : mentionnez la possibilité d'introduire une réclamation auprès de la CNIL (3 Place de Fontenoy, 75007 Paris) si la personne estime que ses droits ne sont pas respectés.

‍

Le processus de recueil étape par étape

‍

Étape 1 - Préparation du formulaire : rédigez votre document en incluant toutes les mentions obligatoires. Vérifiez que le langage reste compréhensible. Pour un foyer, évitez le jargon technique excessif. Faites valider par un juriste si possible.

Étape 2 - Identification : collectez les informations d'identification nécessaires. Pour une personne physique : nom, prénom, adresse e-mail, téléphone. Pour une société : raison sociale, SIRET, nom du représentant légal ou de la personne habilitée.

Étape 3 - Références compteurs : demandez les PDL (14 chiffres pour l'électricité) et PCE (14 chiffres pour le gaz). Ces identifiants sont indispensables. Ils figurent sur les factures ou sont consultables dans l'espace client du fournisseur d'énergie.

Étape 4 - Validation : obtenez une action positive claire. Pour un formulaire numérique : case à cocher non pré-cochée + bouton "J'accepte et je valide". Pour du papier : case à cocher + signature manuscrite + date.

Étape 5 - Confirmation : envoyez immédiatement une confirmation par e-mail récapitulant l'accord, les finalités, la durée, et les droits. Incluez un lien permettant de retirer facilement l'autorisation. Conservez la preuve de cet envoi (accusé de lecture si possible).

Étape 6 - Horodatage et archivage : enregistrez la date et l'heure précises. Archivez une copie du formulaire complété dans un espace sécurisé (serveur avec accès restreint, chiffrement, sauvegardes régulières). Cette archive doit être accessible rapidement en cas de contrôle.

‍

Cas particulier : déménagement et changement de titulaire

‍

Lors d'un déménagement, le titulaire du contrat change. Vos autorisations ne sont pas automatiquement transférées au nouveau titulaire. Cette situation nécessite une attention particulière pour maintenir la conformité.

Résiliation du contrat : lorsque votre client réside dans un logement et déménage, il procède à une résiliation du contrat d'énergie. À compter de la date de résiliation, vous devez cesser de collecter les données de ce PDL/PCE sauf si vous avez obtenu l'accord du nouveau titulaire. Le consommateur peut résilier son contrat en contactant son fournisseur, et cette résiliation entraîne automatiquement la fin de votre autorisation d'accès.

Nouveau titulaire : le nouveau résident doit donner son propre accord. Ne présumez jamais d'une autorisation tacite. Contactez systématiquement le nouveau titulaire pour obtenir un accord explicite si vous souhaitez poursuivre la collecte. Expliquez-lui la nature du service proposé et les bénéfices associés.

Information du sortant : informez votre ancien client que vous cessez de collecter ses données à compter de la date de résiliation. Proposez-lui de les supprimer ou de les anonymiser, sauf si vous avez une obligation de conservation (par exemple pour justifier d'une prestation effectuée en cas de contentieux). Cette démarche renforce la confiance et démontre votre respect de la vie privée.

‍

‍

Gérer les consentements : espaces clients et formulaires

‍

‍

Les outils de gestion pour les professionnels

‍

L'espace client personnalisé : développez un espace en ligne où vos clients peuvent consulter les autorisations qu'ils vous ont accordées, modifier leur périmètre, ou les retirer. Cette interface renforce la transparence et facilite l'exercice des droits. L'utilisateur doit pouvoir y accéder facilement depuis votre site principal, avec une navigation intuitive.

Le tableau de bord interne pour votre organisation : créez un outil centralisé pour vos équipes, listant tous les accords en cours avec : identité du client, PDL/PCE associés, date d'accord, finalités, date d'expiration, statut. Cet outil doit permettre des recherches rapides et des exports pour les audits. Il constitue la principale ressource pour assurer le suivi de la conformité au quotidien.

Les formulaires évolutifs : préparez plusieurs versions de formulaires adaptés à vos différentes offres. Par exemple : un formulaire pour l'optimisation tarifaire, un autre pour le suivi décret tertiaire, un troisième pour le dimensionnement d'installations renouvelables. Chaque formulaire doit mentionner précisément les finalités correspondantes et être disponible en ligne sur votre site pour faciliter la collecte.

Les outils de contrôle qualité : mettez en place des procédures de vérification régulière pour garantir que :

• Chaque accès aux données correspond bien à une autorisation valide
• Les durées de conservation sont respectées
• Les demandes de retrait sont traitées dans les délais
• Les frais éventuels liés au service sont clairement communiqués au consommateur

Cette organisation rigoureuse permet d'assurer la satisfaction de vos clients tout en maintenant la conformité réglementaire.

‍

La gestion du retrait et de l'opposition

‍

Le RGPD garantit le droit de retrait à tout moment. Mettez en place un processus simple et réactif.

Canal dédié : proposez au moins un moyen clair (adresse e-mail dédiée, formulaire en ligne, mention dans l'espace client, numéro vert avec conseiller). Ce canal doit être mentionné dans votre formulaire initial et rappelé régulièrement.

Délai de traitement : traitez la demande sous un mois maximum (trois mois si complexité exceptionnelle, mais informez le demandeur dans le premier mois). Dans la pratique, visez quelques jours pour montrer votre réactivité.

Cessation immédiate : dès validation de la demande, cessez toute collecte via les API. Révoquez les accès aux systèmes Enedis/GRDF pour les compteurs concernés.

Conservation limitée : si le retrait est votre seule base légale, supprimez les données par défaut. Vous pouvez les conserver uniquement si vous avez une autre base légale (obligation légale, intérêt légitime pour la gestion d'un contentieux en cours).

Confirmation : envoyez une confirmation de prise en compte du retrait, en précisant les actions réalisées et le délai de suppression effective des données dans vos systèmes (prendre en compte les délais de purge des sauvegardes).

‍

La durée de conservation et le renouvellement

‍

Définir une durée adaptée : la durée de conservation doit être proportionnée à la finalité. Exemples :

• Audit ponctuel : 6 mois après remise du rapport
• Suivi annuel : durée du contrat de prestation + 1 an
• Conformité réglementaire : durée imposée par la loi (ex : décret tertiaire sur plusieurs années)

Archivage intermédiaire : après la durée active, vous pouvez archiver les données dans un espace à accès restreint pendant la durée nécessaire (obligations fiscales, comptables, gestion des contentieux). L'accès doit être tracé et justifié.

Suppression définitive : au terme de la durée totale (active + archivage), supprimez définitivement les données. Documentez cette suppression (date, méthode, personne responsable) pour pouvoir en justifier en cas de contrôle.

Renouvellement proactif : avant expiration, contactez vos clients pour leur proposer de renouveler l'autorisation. Expliquez les bénéfices (continuité du service, accès aux nouvelles fonctionnalités). Ne continuez jamais la collecte sans renouvellement valide.

‍

La documentation et la traçabilité (registre RGPD)

‍

Le registre des activités de traitement : obligation pour toute structure de plus de 250 salariés, recommandée pour toutes. Ce registre documente chaque traitement : finalité, catégories de données, destinataires, durée de conservation, mesures de sécurité.

Le registre des autorisations : base centralisée listant chaque accord avec : identité, PDL/PCE, date, finalités, durée, statut. Mise à jour en temps réel obligatoire.

L'archivage des formulaires : conservez une copie de chaque formulaire complété (PDF horodaté pour le numérique, scan pour le papier). Stockage sécurisé avec accès tracé.

Les logs d'accès : tracez chaque consultation des données : qui, quand, quel PDL/PCE, quelle finalité. Ces logs sont essentiels pour prouver que vous n'accédez qu'aux données autorisées et pour détecter d'éventuelles anomalies.

L'analyse d'impact (PIA) : si votre traitement présente un risque élevé pour les droits et libertés (grande échelle, données sensibles, profilage), réalisez une Analyse d'Impact relative à la Protection des Données (AIPD). Documentez les risques identifiés et les mesures d'atténuation mises en place.

‍

Les solutions automatisées pour la conformité

‍

Les limites du manuel : gérer avec Excel ou papier présente des risques d'erreur, de perte, de non-conformité involontaire. Pour un volume significatif, l'automatisation devient indispensable.

Les plateformes conformes : des solutions comme Homeys intègrent nativement la gestion complète des autorisations. La collecte automatisée dématérialise le processus : formulaire digital conforme, horodatage certifié, archivage sécurisé, interconnexion native avec les API Enedis/GRDF.

Les audits réussis : Homeys a passé avec succès les contrôles d'Enedis et GRDF. La traçabilité complète garantit votre conformité face aux risques de sanctions. Les mesures de sécurité (chiffrement, accès restreints, sauvegardes) respectent les exigences du RGPD.

L'intégration dans vos outils : que vous utilisiez Energy Analytics pour l'analyse ou Energy Management pour l'optimisation, la gestion est transparente. Les autorisations sont vérifiées automatiquement avant chaque accès aux données.

Le gain opérationnel : automatiser permet de se concentrer sur votre métier (conseil, optimisation, développement d'offres vertes) tout en garantissant la conformité. Plus de risque d'oubli, de dépassement de durée, ou d'accès non autorisé.

‍

‍

Conclusion

‍

‍

Le respect du RGPD pour l'accès aux données de consommation énergétique est un pilier de la relation de confiance entre les professionnels et leurs clients. En respectant les exigences du règlement général sur la protection des données personnelles et les contraintes des réseaux de distribution, vous protégez à la fois vos usagers et votre société.

La mise en conformité repose sur des principes clairs : transparence de l'information, liberté de l'accord, documentation rigoureuse, respect des droits fondamentaux. Les outils numériques modernes permettent d'automatiser ces processus, réduisant les risques et la charge de travail.

Pour les professionnels traitant un volume significatif, s'équiper d'une solution conforme et éprouvée est un investissement rentable. Vous pouvez vous concentrer sur votre cœur de métier - conseiller vos clients, développer des offres vertes adaptées, accompagner la transition énergétique - tout en ayant la garantie que la dimension réglementaire est maîtrisée.

La conformité RGPD n'est pas un état figé : la réglementation évolue, les recommandations de la CNIL se précisent, les technologies progressent. Restez informé, actualisez vos pratiques, considérez la protection de la vie privée comme un processus d'amélioration continue. Cette rigueur, loin d'être une contrainte, devient un avantage concurrentiel face aux manquements de certains acteurs.

En adoptant une démarche proactive, vous transformez une obligation légale en atout commercial. Vos clients seront rassurés de confier leurs données à un professionnel sérieux, et vous serez armé pour réussir les audits des autorités et des réseaux de distribution, comme le démontrent les contrôles réussis de solutions conformes.

‍

‍

‍