Décret BACS : pourquoi faut-il s'interroger ?

Tribune d'Emmanuel François, président de Data Governance Alliance for Smarter Citizens. 
 

Toute initiative visant à apporter une solution en restant dans une approche en silo, voire corporatiste sans prendre la hauteur ou le recul suffisant pour éviter tout risque de conséquences collatérales susceptibles de nuire même à cette solution et pouvant remettre en cause sa légitimité. 

L’histoire est pavée de tels cas mais aujourd’hui, j’attire votre attention sur le décret n°2020-887 (décret BACS ou Building Automation Control System) entré en vigueur le 22 juillet 2020 et imposant le déploiement de système d'automatisation et de contrôle des équipements électriques en incluant la régulation automatique de la chaleur dans tout bâtiment tertiaire d’une puissance nominale supérieure à 70 kW (à date butoir du 1er janvier 2027).

En effet, si ce décret part d’une initiative tout à fait louable avec l’objectif de contribuer à réduire la consommation énergétique des bâtiments tertiaires en introduisant des automatismes de contrôle et de pilotage à distance des équipements énergivores et de leur apporter des capacités de flexibilité énergétique, je me dois de m’interroger sur les conséquences possibles délétères.  

Première interrogation : Pourquoi reconnaître au propriétaire du système d’automatisation et de contrôle une propriété sur les données produites ? L’article R.11-22-6 énonce : « Les données produites et archivées sont accessibles au propriétaire du système d'automatisation et de contrôle, qui en a la propriété. Or, la loi ne prévoit pas de régime légal de propriété sur la donnée. Comment l’exécutif a-t-il pu ériger un régime de propriété de la donnée au profit des propriétaires de systèmes d’automatisation ? Il faut en effet toujours distinguer la propriété sur une chose - un appareil d’automatisation – et celle sur la propriété sur les données générées.

Deuxième interrogation : Qui vise-t-on par propriétaire du système d’automatisation et de contrôle ? S’agit-il du propriétaire du bâtiment, du fabricant du système d’automatisation et de contrôle ou de son installateur ? La question n’est pas neutre car l’inspection périodique obligatoire sur la vérification et l’évaluation du système d’automatisation (R. 175-5-1) est faite à l’initiative du propriétaire du système d’automatisation et de contrôle qui reçoit le rapport d’inspection et le conserve pendant 10 ans. 

Troisième interrogation : Ce décret devra, en toute logique, être lu à la lumière du DATA ACT, Règlement Européen, applicable aux systèmes IOT et érigeant une obligation de transparence au profit des utilisateurs qui ont notamment le droit d’être informés clairement «si le fabricant qui fournit le produit ou le fournisseur qui fournit le service lié a l’intention d’utiliser lui-même les données ou d’autoriser un tiers à les utiliser et, dans l’affirmative, les finalités pour lesquelles ces données seront utilisées », tout en accordant aux utilisateurs par ailleurs un droit de communication des données générées gratuitement, en continu et en temps réel.

Quatrième interrogation : En imposant le déploiement d’automatismes du bâtiment (GTB) pilotables à distance par des outils numériques sans intégrer de manière détaillée dans le temps leur protection cyber, ce décret expose potentiellement quelques centaines de milliers de bâtiments tertiaires à un risque cyber. Cela représente à la fois un risque pour chaque bâtiment individuellement allant jusqu’à sa neutralisation mais également un risque de shut-downgénéral du réseau énergétique national voire Européen. En effet, pris au global, le parc tertiaire concerné représente une puissance nominale globale en période de pointe de près de 35 Gigawatts. Or juste la prise de contrôle de 10% de ce parc, soit une variation subite de 3.5 Gigawatts, entrainerait l’écroulement du réseau énergétique.

Cinquième interrogation : L’hébergement des données et le risque relatif à leur confidentialité. Par une analyse fine des données, il est en effet aisé de connaître de manière très détaillée les usages des bâtiments avec tous les risques associés.

Je m’interroge tout particulièrement pour les bâtiments publics soumis à procédure d’achat par appel d’offre public qui, en l’absence de spécifications claires quant au risque cyber et la gouvernance des données, risquent fort de se doter d’équipements basiques peu ou pas sécurisés, alors même que bien le personnel en place pour assurer la maintenance de ce type d’équipements n’a que très rarement la compétence pour évaluer ce type de risques. 

Au-devant de ces interrogations légitimes, des clarifications et/ou amendements s’imposent notamment quant à la responsabilité sur la gestion et la gouvernance des données, leur utilisation, leur réutilisation, les conditions de leur transmission, leur monétisation. En l’absence de telles clarifications, les propriétaires et gestionnaires de bâtiments seront bien avisés d’exiger par voie contractuelle la communication gratuite des données qui leur est due, le respect le cas échéant de leur confidentialité si nécessaire, les précisions sur les responsabilités respectives, tout en émettant les plus expresses réserves sur toute utilisation, réutilisation ou monétisation des données issues des systèmes d’automatisation et de contrôle qu’ils intègrent dans leurs bâtiments.

J’appelle de fait à compléter ce décret en mettant comme préalable au déploiement de systèmes d'automatisation et de contrôle du bâtiment (GTB), la mise en place et la maintenance dans le temps d’une infrastructure informatique sécurisée mutualisée pour l’ensemble des services au bâtiment à commencer par le pilotage énergétique mais pas uniquement, ce qui permettra également d’en répartir le coût et limiter les risques. Cette condition essentielle ne doit par ailleurs pas s’appliquer uniquement aux bâtiments tertiaires mais à l’ensemble des bâtiments qu’ils soient résidentiels, tertiaires, industriels et commerces.