Plus de 38 millions de compteurs Linky sont installés en France. Chacun transmet vos données de consommation électrique vers les serveurs d'Enedis via un réseau appartenant à un opérateur privé. Les informations collectées peuvent révéler vos heures de lever, vos absences, le nombre de personnes présentes dans votre logement.
La chaîne technique complète n'a jamais été clairement expliquée au grand public. Et pendant qu'Enedis répète que la souveraineté est un critère "essentiel", l'entreprise recrute des experts en cybersécurité pour piloter un projet de migration vers Amazon Web Services.
CPL, GPRS, concentrateurs : comment vos données quittent votre compteur
Le chemin que parcourent vos données entre le boîtier vert et les serveurs d'Enedis comporte trois étapes.
Étape 1 : du compteur au concentrateur.
Le compteur Linky ne transmet pas ses données par Wi-Fi ou par Internet. Il utilise le CPL, Courant Porteur en Ligne. Concrètement, le signal de données est superposé au courant électrique 50 Hz qui circule déjà dans vos fils. Ce sont vos propres câbles électriques qui servent de canal de transmission. Les données remontent ainsi jusqu'à un "concentrateur" installé dans le poste de transformation de votre quartier. Un concentrateur regroupe les relevés d'environ 100 compteurs voisins.
Étape 2 : du concentrateur à Enedis.
Pour envoyer les données agrégées vers le système central d'Enedis, le concentrateur utilise le réseau GPRS d'Orange (souvenez-vous, la 2G - PDF), sur la fréquence 900 MHz. Le concentrateur est équipé d'un modem GSM intégré (PDF). Vos données de consommation électrique transitent donc par le réseau téléphonique mobile d'un opérateur privé coté en Bourse, dont l'État français détient environ 23% du capital.
Les concentrateurs sont fabriqués par deux sociétés : Cahors et Landis+Gyr. Les compteurs eux-mêmes sont produits par Sagemcom, Itron, Landis+Gyr, ZIV, Cahors et Elster.
Étape 3 : le Centre de Traitement Linky.
C'est là que les données arrivent. Enedis désigne cette infrastructure sous le nom de "Système d'Information Linky". Ni la localisation exacte des centres de données, ni la liste des prestataires d'hébergement par couche applicative ne sont rendues publiques par l'entreprise. La chaîne de transmission est chiffrée et a été certifiée par l'ANSSI en juin 2019 selon Enedis (PDF).
Orange n'est pas Enedis. Et Enedis n'est pas l'État. Enedis est une filiale d'EDF, elle-même détenue à 100% par l'État. Oui, il y a un chiffrement réel, mais Enedis dépend quand même d'un tiers commercial pour le transport des données, un aspect qui, lui, n'est pas vraiment mis en avant.
De la consommation électrique à la donnée personnelle
Il y a deux niveaux dans ce que collecte Linky. Le premier concerne le total de kilowattheures consommés sur la journée. Ce relevé est transmis automatiquement, sans consentement requis. C'est la base nécessaire à la facturation.
Le second niveau est bien plus granulaire puisqu'il affiche la courbe de charge. C'est un relevé de votre consommation toutes les trente minutes, voire toutes les dix minutes. Ces mesures rapprochées permettent de reconstituer le fil de vos activités dans la journée. La CNIL l'a expliqué clairement dès 2012 dans sa délibération n°2012-404 :
"Une courbe de charge avec un pas de 10 minutes permet notamment d'identifier les heures de lever et de coucher, les heures ou périodes d'absence, ou encore, sous certaines conditions, le volume d'eau chaude consommée par jour, le nombre de personnes présentes dans le logement."
Forcément, un pic de consommation à 7h du matin indique une heure de réveil. Et une consommation nulle plusieurs jours de suite signale logiquement une absence.
Une collecte par opt-in
Par défaut, la courbe de charge est enregistrée en local dans le compteur. Elle ne peut être remontée vers les serveurs d'Enedis qu'avec votre consentement explicite. C'est donc un opt-in puisque vous devez activer la transmission depuis votre espace client Enedis en cochant une case. Le décret n°2017-948 du 10 mai 2017 a formalisé ce principe, en précisant que :
"La courbe de charge d'électricité est enregistrée, au pas horaire, dans la mémoire du dispositif de comptage, sauf si le consommateur s'y oppose. À la demande du consommateur, la courbe de charge est collectée dans le système informatique du gestionnaire de réseau et mise à sa disposition".
Toutefois, en février 2020, la CNIL a mis en demeure EDF et Engie. Le recueil du consentement pour la courbe de charge avait été jugé "ni spécifique ni suffisamment éclairé". Une seule case à cocher regroupait plusieurs finalités distinctes. Les deux fournisseurs se sont ensuite mis en conformité.
Mais l'opt-in n'est plus systématique
Mais, il y a quelques semaines, les choses ont changé. Le décret n° 2026-339 du 30 avril 2026, publié au Journal officiel le 5 mai, autorise Enedis à collecter les courbes de charge d'un échantillon de consommateurs résidentiels sans recueil préalable de leur consentement individuel.
L'objectif est de tester des "signaux tarifaires", autrement dit, des variations de prix selon l'heure, pour observer si les ménages adaptent leur consommation. L'expérimentation concerne les abonnés en option "Base" avec une puissance souscrite de 6 kilovoltampères. Le dispositif n'est pas généralisé à l'ensemble du parc. Mais dans ce cas précis, la courbe de charge peut donc être collectée sans opt-in.
Le Datahub Enedis : qui accède concrètement à vos données ?
Enedis n'est pas le seul acteur à recevoir vos données. L'entreprise a structuré un écosystème de partage autour d'une plateforme qu'elle appelle le Datahub, accessible à des tiers sous contrat. Ce Datahub regroupe quatre services.
Le premier, SGE Tiers, est l'interface qui transmet vos données de consommation journalières à votre fournisseur d'énergie. Ce transfert est automatique. Il ne requiert pas de consentement séparé : il est inhérent à votre contrat de fourniture. EDF, Engie, TotalEnergies et les autres fournisseurs actifs en France y ont accès.
Le deuxième service, Data Connect, est une API ouverte à des acteurs tiers avec votre consentement. Une application de gestion d'énergie, un agrégateur de consommation, ou une startup d'efficacité énergétique peut signer un contrat avec Enedis et accéder à vos données si vous l'y autorisez. L'inscription nécessite un numéro SIRET. La liste des sociétés actives sur cette API n'est pas rendue publique par Enedis.
Le troisième service, Dataconsoelec, permet des transmissions ponctuelles de données par email à des tiers professionnels, avec votre accord. Le quatrième, Données Aval, autorise des tiers à piloter des équipements connectés via le compteur.
Quand un utilisateur télécharge une application de suivi de consommation (comme TotalEnergies Conso Live, Ekwateur Livewatt ou un agrégateur généraliste) et qu'il "active son suivi Linky", il autorise un transfert de données vers les serveurs de cette société. L'hébergement, les prestataires cloud, et les durées de conservation varient selon chaque acteur.
Si, l'ANSSI a certifié la chaîne de transmission jusqu'au système d'Enedis. Ce qui se passe ensuite relève de la conformité RGPD de chaque tiers.
Souveraineté : Enedis tient-elle un double discours ?
Enedis n'a pas rendu publique l'architecture de son système d'information central, ni la localisation de ses centres de données, ni les prestataires cloud impliqués dans chaque couche applicative. Non, ce n'est pas une obligation légale. Mais cela signifie aussi qu'il est impossible de vérifier de l'extérieur où vos données s'arrêtent, et surtout, sous quelle juridiction elles se trouvent.
En avril 2025, l'AFP a rapporté qu'un cadre de la direction des systèmes d'information d'Enedis avait indiqué, sous couvert d'anonymat, que l'entreprise envisageait de migrer une partie de ses applications vers le cloud d'Amazon. "Si on met toutes nos données ailleurs, on va faire comment pour progresser en intelligence artificielle ?", affirmait-il ainsi. En réponse officielle, Enedis a confirmé "étudier la potentielle migration de certaines applications non stratégiques vers une solution cloud", tout en qualifiant la souveraineté de critère "essentiel". L'entreprise n'a pas précisé le prestataire visé.
Reste que depuis 2024, Enedis a publié plusieurs offres d'emploi qui ont de quoi faire tiquer. Nous avons trouvé une annonce à la recherche d'un Expert Architecture AWS pour "concevoir et déployer des architectures cloud AWS pour des projets stratégiques". En parallèle, l'entreprise a publié des annonces pour des Experts Cyber confirmés pour AWS et Microsoft Azure.
Amazon et Microsoft étant toutes les deux des entreprises américaines, elles sont assujetties au Cloud Act, adopté par le Congrès américain le 23 mars 2018. Cette loi permet aux autorités américaines d'obtenir, sur ordre d'un tribunal américain, des données hébergées par des entreprises soumises au droit américain. Cela inclut des données stockées sur des serveurs situés hors des États-Unis. Et donc chez nous.
Seule la qualification SecNumCloud, délivrée par l'ANSSI, garantit qu'un prestataire cloud ne doit pas répondre à ces demandes extraterritoriales. OVHcloud, Orange Business, ou encore Scaleway détiennent cette qualification. Mais ce n'est pas le cas de Microsoft ni d'Amazon.
Dans le cas d'Enedis, l'ANSSI a certifié la chaîne de transmission des données, du compteur jusqu'à l'entrée du Système d'Information Linky. Autrement dit, cela porte sur le transport, sur le chiffrement, sur les protocoles. Mais cela n'inclut pas l'infrastructure d'hébergement qui reçoit ces données à l'arrivée, ni les prestataires cloud éventuellement impliqués dans les couches applicatives internes. Ce sont deux périmètres distincts.
Au final, Enedis gère les données de consommation de 38 millions de foyers français. Ces données sont sensibles au sens de la CNIL. L'entreprise affirme que la souveraineté est un critère essentiel pour elle. Mais elle semble construire en parallèle les compétences internes nécessaires à une migration vers un prestataire qui ne satisfait pas les exigences de l'ANSSI en matière de souveraineté des données.
