Actions menées en matière de protection des informations commercialement sensibles 1 Le système d’information (SI)

Le cloisonnement des systèmes d’information s’est poursuivi avec la mise en production à l’automne 2009 d’une nouvelle version du logiciel de gestion des relations client-fournisseur « e-fluid » et du système d’échanges de données via l’interface Internet « efluid.net » (cf. supra : Mesures complémentaires en matière de transparence de d’objectivité et de non-discrimination). Cette version a renforcé la sécurité du SI d’ES avec la mise en service d'un système d’échanges de données automatisé, exclusivement réservé aux fournisseurs ayant contractualisé avec ES. Ce système d’information est commun entre ES et sa filiale de fourniture : il est mis à disposition d’Energies Strasbourg SA dans le cadre d’un contrat de prestation, dont ES assure qu’il est conclu dans le respect des principes du code de bonne conduite.

Annexe 2 – Evaluation détaillée du respect des codes de bonne conduite – Electricité de Strasbourg SA

ES dispose par ailleurs d’un système d’information, intitulé « e-comm », dédié à la gestion des segments de clientèle C1 (sites des clients en contrat CARD). Si la filiale de commercialisation a recours sur le même segment au même système d’information, les bases de données sont séparées.

Ces systèmes sont administrés sur le plan technique par des informaticiens rattachés à l’entité chargée des fonctions transverses d’ES, ne faisant pas partie de la structure gestionnaire de réseau de distribution. Il peut s’agir de personnels d’ES mais aussi de personnels de prestataires extérieurs qui assurent la maintenance.

2.2 La formation des agents sur les ICS et les relations contractuelles

Chaque nouvel agent d’ES doit signer un engagement de confidentialité et de non-discrimination. ES considère en outre que tout agent appelé à quitter les services du gestionnaire de réseau de distribution est astreint au maintien des strictes obligations, notamment en matière de confidentialité, qui étaient les siennes dans son emploi précédent. L'agent quittant un emploi au sein de la délégation au GRD d’ES signe un engagement de confidentialité relatif aux ICS qu'il aurait eu à connaître dans le cadre de ses fonctions.

La formation et l’information de l’ensemble des agents d’ES en ce qui concerne les ICS sont effectuées dans un cadre identique à celles relatives à la transparence, à l’objectivité et à la non discrimination. Les remarques de la CRE sont donc les mêmes : une scission entre formation et évaluation est souhaitable pour une meilleure diffusion des principes du code de bonne conduite.

Par ailleurs, ES considère que les contrats de prestations conclus avec la filiale de fourniture d’énergie l’ont été dans le strict respect des clauses de confidentialité attachées aux ICS. Compte tenu du schéma de séparation juridique retenu, ce sujet est, a priori, moins sensible, les agents d’Energies Strasbourg SA n’ayant pas vocation à effectuer un volume important des prestations pour le compte d’ES. ES inclut également des clauses de confidentialité dans tous ses contrats liés au recours à des prestations externes.

2.3 Les locaux

L’isolement physique d’ES s’opère au sein d’un bâtiment commun à l’ensemble du groupe, y compris au fournisseur Energies Strasbourg SA. L'isolement physique du gestionnaire de réseau de distribution a toutefois été renforcé avec le renouvellement complet du système de contrôle d'accès et la mise en place de portes sécurisées supplémentaires ainsi qu’avec l’usage, désormais obligatoire, de badges d'identification nominatifs pour l’accès aux locaux. L’ensemble des accès aux bâtiments tertiaires est contrôlé depuis le début de l’année 2009.

A titre d’exemple, sur un site commun à plusieurs entités du groupe ES qui abrite d’autres activités d’ES, dont le centre de conduite du réseau HTB et HTA, les activités d’ES sont regroupées dans des bâtiments distincts des autres locaux du site, et les systèmes de contrôles d'accès des différentes entités présentes sur le site, de technologie différente, sont incompatibles entre eux.

3. Le suivi de l’application du code de bonne conduite

La mise en œuvre du code de bonne conduite d’ES est de la responsabilité des managers. Le suivi de l’application du code de bonne conduite est de la responsabilité du délégué à l’audit et de l’adjoint au délégué au GRD. Le rapport de suivi du code de bonne conduite d’ES est validé par le délégué à l’audit et le directeur général de la société.

3.1 Le traitement des réclamations

De manière générale, le traitement des réclamations est une des exigences fondamentales de la démarche qualité dans laquelle est engagée ES et sanctionnée par l’homologation de l’entreprise aux normes ISO 9001 et ISO 14001. Dans le cadre de ces certifications et suite à une réflexion entamée en 2009, ES met en place une nouvelle organisation pour le traitement des réclamations. Ainsi, un formulaire dédié aux fournisseurs est en ligne sur l’espace personnalisé du portail du site Electricité Strasbourg Réseaux. De même, un formulaire à destination des clients a été publié ainsi que le

Annexe 2 – Evaluation détaillée du respect des codes de bonne conduite – Electricité de Strasbourg SA

ES a également annoncé avoir revu le circuit de traitement des réclamations dont les structures adaptées qui devraient être mises en place à la fin de l’année 2010. En dehors du traitement des réclamations, ES mesure la qualité de service rendu au moyen d’enquêtes de satisfaction menées auprès des clients suite à une intervention technique réalisée à sa demande.

Entre le 1^er janvier et le 30 septembre 2010, 126 réclamations ont été transmises à ES, qui affirme qu’aucune d’entre elles n'est relative aux principes du code de bonne conduite.

3.2 Points de progrès du plan d’actions du gestionnaire de réseau

ES annonce avoir engagé en 2010 les actions qui avaient été prévues portant sur son code de bonne conduite. Ces actions sont détaillées et déclinées annuellement dans le Plan d'Amélioration Qualité (PAQ) qui est une exigence propre au système de certification QSE (Qualité Sécurité Environnement) du management de l'entreprise (cf. infra : Contrôles internes et Contrôles externes). Le PAQ spécifie les actions à conduire ainsi que leur suivi par la direction d’ES.

La CRE note que les dispositifs récurrents mis en place ne font pas l’objet de bilans systématiques.

C’est en particulier le cas de la formation et de l’information des agents. En effet, ES ne suit pas les taux d’agents effectivement formés ou informés, ni l’efficacité de ces formations, par exemple au travers des comptes-rendus annuels d’évaluation des agents, ceux-ci étant évalués par leur hiérarchie au titre de la mise en œuvre du code de bonne conduite.

3.3 Les contrôles effectués et leurs enseignements 3.3.1 Contrôles internes

Une partie des mesures de contrôle interne d’ES a été mise en place pour répondre aux contraintes réglementaires aussi bien d’ouverture des marchés d’électricité et du gaz, que de conformité à la loi sur la sécurité financière, ES étant une société faisant appel public à l’épargne. Une autre partie de ces mesures s’inscrit dans la poursuite de la démarche de progrès continue dans laquelle s’est engagé ES pour conserver une triple certification dans les domaines qualité (ISO 9001), environnemental (ISO 14001) et santé-sécurité (OHSAS 18001).

Le dispositif de contrôle interne d’ES s’appuie sur un comité des risques présidé par le directeur général délégué qui est chargé de l’élaboration et du suivi de la politique de contrôle interne, de la synthèse des analyses de risques de l’entreprise et de l’élaboration du plan d’audits stratégiques. Dans ce cadre, il a été demandé à chaque responsable métier d’identifier lors de son analyse des risques le point spécifique concernant la non-discrimination et la confidentialité.

Des directives du comité des risques découlent des plans annuels de contrôle interne au titre desquels des actions de contrôle sont menées sur les métiers de la société. Pour ES, ces contrôles, effectués par les auditeurs internes, visent à s’assurer de la mise en œuvre des processus métiers, tels que définis dans la démarche de certification sanctionnée par les organismes de certification, processus qui intègrent les mesures prises dans le cadre du code de bonne conduite.

Les mesures de contrôle interne comprennent également un dispositif d’écoute clients. D’après ES, l’ensemble des dispositifs mis en place n’a pas révélé l’existence de pratiques délibérées de discrimination au sein de l’entreprise.

3.3.2 Contrôles externes

Pour conserver ses certifications, ES a subi un audit externe, mené par un organisme de certification en novembre 2009. Cet audit est le premier conduit indépendamment pour le compte d’ES depuis la filialisation de l’activité fournisseur. Il ne porte donc que sur le périmètre de la société ES. Il a permis à ES le renouvellement de sa triple certification pour trois ans. Il sera suivi de deux audits externes réalisés aux quatrièmes trimestres 2010 et 2011. Cette démarche a permis à ES de cartographier ses processus métiers « gestionnaire de réseau » et « opérateur de réseau ». Etant donné que les risques de discrimination et de non-respect de la confidentialité des ICS ont été identifiés dans la démarche qualité d’ES de ces deux processus métiers, ces aspects sont susceptibles d’être audités dans le cadre des certifications d’ES.

Annexe 2 – Evaluation détaillée du respect des codes de bonne conduite – Electricité de Strasbourg SA

Les services de la CRE ont conduit un audit en septembre 2010 dans les locaux d’ES auprès du délégué au GRD et de son adjoint qui a permis d’aborder l’ensemble de sujets relatifs aux principes du code de bonne conduite et de l’indépendance d’ES.

4. Demandes de la CRE

L’organisation et les procédures d’ES sont de nature à prévenir les discriminations et à assurer la confidentialité des ICS.

Néanmoins, des améliorations devraient être apportées. A ce titre, ES doit : - mieux tenir à jour les documents publiés ;

- poursuivre la mise à jour continue de l’état des lieux de ses publications, y indiquant les compléments et modifications qu’ES doit ou souhaite y apporter, ainsi qu’un calendrier de ces compléments et modifications ;

- approfondir les évolutions apportées à ses indicateurs relatifs au code de bonne conduite ;

- mieux suivre la réalisation effective et l’efficacité de la formation du personnel au code de bonne conduite et proposer une solution pour la formation au code de bonne conduite si la solution envisagée en 2009 ne peut aboutir ;

- établir annuellement un plan des actions à mettre en œuvre au titre du respect des principes du code de bonne conduite.

Annexe 2 – Evaluation détaillée du respect des codes de bonne conduite – Gérédis

Gérédis

Le réseau géré par Gérédis dessert environ 141 000 points de livraison. Sept fournisseurs ont contracté un contrat gestionnaire de réseau de distribution-fournisseur (contrat GRD-F) avec Gérédis. Séolis, le fournisseur historique sur la zone de desserte de Gérédis, ne propose pas d’offre de marché. A ce jour, 40 clients, qui représentent 4,3 % de l’énergie totale distribuée par Gérédis, ont fait jouer leur éligibilité.

Gérédis n’a pas modifié son code de bonne conduite au cours de l’année écoulée. Le rapport 2010 de suivi du code de bonne conduite de Gérédis décrit les mesures mises en place, les différents contrôles et audits réalisés, ainsi que leurs résultats et les perspectives pour 2011.

Gérédis est la filiale détenue à titre exclusif par la société Séolis SIEDS Energies Services (Séolis), anciennement Sorégies Deux-Sèvres. Gérédis assure la gestion du réseau public de distribution d’électricité concédé par le Syndicat Intercommunal d’Energie des Deux-Sèvres (SIEDS). Séolis assure des activités de fournisseur d’électricité, de constructeur de réseaux de distribution de gaz et de fournisseur de gaz propane, de réalisation et d’entretien de réseaux d’éclairage public et, enfin, d’opérateur exploitant du réseau public de distribution d’électricité pour le compte de sa filiale Gérédis.

1. Actions menées en matière de transparence, objectivité et non-discrimination