Nous collectons des données de consommation (électricité, gaz, chauffage, froid) pour le compte de nos clients. Chaque fournisseur (Enedis, GRDF, CPCU, Fraîcheur de Paris) exige un consentement explicite du titulaire du compteur avant de nous transmettre les données.
Aujourd'hui, ces consentements sont des PDFs sur Google Drive, sans index, sans suivi d'expiration, sans lien avec nos outils de collecte.
Un service interne (Go + PostgreSQL) qui centralise le suivi de tous les consentements, s'intègre avec nos outils existants, et fournit une visibilité en temps réel.
Les ? sont le problème. On n'a pas ces chiffres aujourd'hui. Le consent-manager les fournira dès la Phase 1.
| Fournisseur | Consentement | Automatisation | Risque audit |
|---|---|---|---|
| Enedis | Mandat signé (PDF), max 36 mois | OAuth2 (DataConnect / Linky C5) | Élevé |
| GRDF | Autorisation avec dates explicites | Client Connect (redirect GRDF) ou Tiers Direct (API) | Moyen |
| CPCU | Contrat commercial | — | Faible |
| Fraîcheur | Contrat + clé API | — | Faible |
Le système gère automatiquement les transitions d'expiration (cron quotidien) et déclenche les alertes. En cas de révocation par le titulaire, la collecte est interrompue.
| Outil | Rôle |
|---|---|
| ct-injector | Vérifie le consentement avant chaque collecte. D'abord alerter, puis bloquer. |
| Hemisphere | Badge "santé consentement" dans la vue bâtiment |
| Chatbot (MCP) | "Quels consentements manquent pour le bâtiment X ?" |
| Reporter | Rapports de couverture, prévision d'expirations, préparation audit |
| Zulip | Alertes d'expiration avec escalade automatique |
| GEDB | Anomalie CONSENT_MISSING quand la collecte est bloquée |
Service Go + API + PostgreSQL. Import Enedis existants. Couverture croisée ct-injector. Liens preuves Drive.
Serveur MCP (chatbot). Dashboard reporter : heatmap bâtiments × fournisseurs.
Gate ct-injector : mode monitor (log + anomalie), puis enforce (blocage).
Notifications Zulip. Escalade automatique. Digests hebdomadaires.
Upload preuves (S3). Workflow d'obtention. API fournisseurs (GRDF Client Connect, Enedis DataConnect).
Homeys propose un SaaS de gestion des consentements énergétiques avec formulaires conformes et archivage certifié. Ils ont passé les audits Enedis et GRDF.
| Critère | Homeys | Consent Manager |
|---|---|---|
| Intégration | API générique | ct-injector, Hemisphere, GEDB, MCP |
| Fournisseurs | Enedis, GRDF, CPCU | + Fraîcheur, futurs capteurs |
| Données sensibles | Chez le prestataire | Notre infrastructure |
| Coût | Abonnement récurrent | Développement ponctuel |
Les données de consommation sont des données personnelles selon la CNIL (courbes de charge = habitudes de vie).
| Exigence | Réponse |
|---|---|
| Base légale | Consentement explicite (Art. 6(1)(a) RGPD) |
| Conservation des preuves | 5 ans après fin du consentement (Code Civil Art. 2224) |
| Droit à l'effacement | Anonymisation des champs personnels, conservation pour audit |
| Registre des traitements | Déclaration du consent-manager dans le registre RGPD |
| Action | Statut |
|---|---|
| Document de conception détaillé | En revue |
| Discussion technique avec l'équipe | À planifier |
| Repo GitLab + PostgreSQL eu-central | À faire |
| Phase 1 : développement | À faire |
Document de conception complet : Google Docs — modèle de données, API, intégrations fournisseurs, scénarios concrets.