Le mercredi 8 février 2017, le Conseil d’État a confirmé le refus de la CNIL d’accorder à la société JCDécaux le doit de traquer les téléphones mobiles devant les panneaux publicitaires au motif que le dispositif visé ne permettait pas la nécessaire anonymisation des données personnelles traitées. Si cette décision n’est pas surprenante au regard des règles concernant le traitement des données personnelles et le respect de la vie privée des individus, elle peut toutefois faire jurisprudence et inciter d’autres groupes à se montrer plus prudent avec les libertés individuelles.
La société JCDécaux est une multinationale spécialisée dans la publicité et le mobilier urbain. Elle avait installé, il y a plus de deux ans, plusieurs panneaux publicitaires et des écrans digitaux dans le quartier d’affaires de la Défense. La société souhaitait fixer sur ces panneaux publicitaires six boîtiers de comptage lui permettant d’analyser le flux de passage des piétons. Grâce à ces boîtiers, les adresses MAC de tous les smart phones équipés d’une connectivité Wi-Fi active auraient été détectées, mesurant ainsi le taux de fréquentation, le taux de répétition et établissant des schémas de mobilité des piétons. Aux termes de l’article L. 581-9 du code de l’environnement, la mise en œuvre de tout système automatique de mesure d’audience d’un dispositif publicitaire est soumis à autorisation de la Commission nationale Informatique et Libertés. La société s’est donc tournée vers la CNIL afin de voir son projet accepté. Un tel projet ne peut être accepté que si les droits et libertés fondamentaux des personnes sont garantis.
Dans sa délibération du 16 juillet 2015 la Commission a refusé le traitement automatisé de données à caractère personnel ayant pour finalité de tester une méthodologie d’estimation quantitative des flux piétons sur la dalle de La Défense. Mécontent de la position de la CNIL, la société demande l’annulation de cette décision devant le Conseil d’État. Saisi de la question le mercredi 8 février 2017, le Conseil a émis un avis qui confirme l’analyse de la CNIL. Il précise que « la CNIL, dès lors qu’elle estimait que les dispositifs proposés n’avaient pas pour effet de rendre anonymes les données, a relevé à bon droit que le projet de traitement entrait dans le champ d’application des dispositions de droit commun en matière d’information des personnes concernées (…) la société JCDécaux France n’est pas fondée à demander l’annulation de la délibération qu’elle attaque ».
Le défaut d’anonymisation des données traitées de nature à soumettre le dispositif aux dispositions de la loi Informatique et libertés
Une question centrale dans la décision de la CNIL était de savoir si les données collectées avaient un caractère personnel, directement ou non, afin de déterminer si les obligations de la loi Informatique et libertés étaient applicables.
Le procédé utilisé avait pour ambition de récolter les adresses MAC des personnes concernées ayant l’interface Wi-Fi activée dans un rayon de 25 mètres. Pour les rendre anonymes, la société projetait de tronquer les adresses MAC de leur dernier demi-octet avant de les compléter par une suite de caractères suivant la méthode de « salage » pour enfin transformer la donnée collectée avec un « hachage à clé ». Le Conseil d’État estime toutefois que ces procédés « s’ils visent à empêcher l’accès des tiers aux données, laissent le gestionnaire du traitement en mesure de procéder à l’identification des personnes concernées et n’interdisent ni de corréler des enregistrements relatifs à un même individu, ni d’inférer des informations le concernant ». En d’autres termes, pour la CNIL comme pour le Conseil d’État, l’intention de la société de tronquer le dernier demi-octet des adresses MAC ne constitue pas un procédé d’anonymisation mais un simple procédé de pseudonymisation puisque JCDécaux serait en mesure de « rejouer le procédé de chiffrement ». Ainsi les données auraient permis au fournisseur de mobilier urbain de vérifier si un passant revenait plusieurs fois dans la zone. Cela constitue un moyen d’identification propre à considérer l’information comme une donnée à caractère personnel de nature à requérir, pour son traitement, le consentement de la personne concernée.
Il ne faut pas s’y tromper, ni la Commission ni le Conseil d’État n’interdisent la collecte ou le traitement de données à caractère personnel afin que JCDécaux puisse analyser les comportements du consommateur via ses infrastructures et espaces publicitaires. Simplement, un tel traitement doit tenir compte de la question du consentement de la personne visée par la collecte.
Le défaut d’anonymisation des données personnelles traitées comme motif à l’obligation d’information des personnes concernées
Outre l’évocation du défaut d’anonymisation dans le dispositif projeté, l’insuffisance d’informations mises à dispositions des passants concernant le traitement de leurs données est aussi susceptible de porter atteinte aux droits et libertés fondamentaux des individus. La mise en œuvre de l’information dans le dispositif concerné a été jugée insuffisante par la Commission qui ajoute que les passants ne disposent pas d’assez d’informations sur la façon dont les données collectées seront exploitées.
La CNIL a tiré de l’insuffisance d’information le constat de l’impossibilité de l’exercice du droit d’opposition en raison de la nature même du traitement. La collecte des adresses MAC par la société s’effectue de manière automatique à partir du moment où l’interface Wi-Fi de la personne concernée est activée. Cela revient à dire que la société met en place un système de traitement exploitant les propriétés intrinsèques de la fonctionnalité Wi-Fi des mobiles, sans que cette dernière soit conçue pour cela. Une personne qui souhaiterait s’opposer au traitement devrait dès lors désactiver la fonctionnalité Wi-Fi de son appareil mobile et se priver ainsi de la connexion aux réseaux de communication. Pour la CNIL, cela apparaît effectivement inenvisageable. L’analyse de la CNIL tend à rejeter tout traitement qui méconnaîtrait le droit d’opposition des personnes concernées. Aussi, il apparaît difficile, pour un service souhaitant mettre en place un système de traitement, dans le but de faire une analyse commerciale des comportement humains, de ne pas respecter les dispositions de l’article 7 de la loi Informatique et libertés de 1978 qui fait du consentement le fondement à tout traitement. Même si l’expression du consentement peut prendre des aspects bien divers en matière de traitement de données à caractère personnel, ce traitement est inenvisageable pour la CNIL dans la mesure ou l’expression du consentement et la possibilité d’opposition ne sont pas prévues dans des conditions suffisantes pour respecter les droits et libertés fondamentaux.
Sur ce point, le Conseil d’État suit la position de la Commission et tire du défaut d’anonymisation des données des personnes concernées l’obligation, pour la société JCDécaux, de les informer du traitement et de leur donner la possibilité de s’y opposer. Elle précise en ce sens que la CNIL « dès lors qu’elle estimait que les dispositifs proposés n’avaient pas pour effet de rendre anonymes les données, a relevé à bon droit que le projet de traitement entrait dans le champ d’application des dispositions de droit commun en matière d’information des personnes concernées. Le moyen tiré de ce que la CNIL aurait commis une erreur de droit en estimant que l’information prévue par le projet de la société requérante était insuffisante, ne peut qu’être écarté ».
Cette décision prend la forme d’un coup de tonnerre dans le monde de la publicité mobile. Même si le Conseil d’État n’a pas interdit le tracking des téléphones mobiles, il soumet un tel dispositif au principe du consentement préalable et au respect des droits de la personne. Ajoutons également que le Règlement Général sur le Protection des Données (RGPD), applicable à compter du 25 mai 2018 en France, consacre clairement le principe du consentement préalable avant de procéder à une forme de tracking collectant des données personnelles.
En sommes, ce qui est remis en cause c’est le choix d’une solution de cryptage qui ne protège pas assez l’individu. Cette affaire soulève alors la question de la fiabilité des identifiants sur les téléphones mobiles. Aujourd’hui certains GAFA proposent même des identifiants publicitaires afin que les utilisateurs puissent contrôler ou même réinitialiser la fourniture de leurs données.
Toutefois, certains utilisateurs sont prêts à partager diverses données de géolocalisation ou de déplacement afin d’avoir des services plus précis et personnalisés. Tout est question, alors, de l’équilibre à trouver entre innovation et protection des données personnelles.
Et puis, c’est le sens que prend notre société. Pourquoi empêcher aux acteurs publicitaires physiques de faire ce que font les acteurs numériques. En matière d’analyse des comportements et d’analyse de marché, la publicité digitale est reine. Comptabiliser les impressions, les clics, mesurer la pénétration d’une bannière, évaluer les techniques commerciales les plus efficaces, voilà des pratiques courantes en matière de e-commerce. Il est normal que les entreprises de l’affichage urbain cherchent également à mesurer l’impact de leurs panneaux publicitaires. D’ailleurs, le géant de l’affichage urbain JCDécaux s’est tourné vers le marché anglais depuis le refus de la CNIL pour pouvoir mettre en place ce genre de traitement. Aujourd’hui la société souhaite s’imposer en leader de la communication digitale et vise un taux de revenus publicitaires au Royaume-Uni supérieur à celui de la France.
SOURCES :
Conseil d’État, décision n°393714 du mercredi 8 février 2017, conseil-ete.fr, consulté le 24/02/2017,<http://arianeinternet.conseil-etat.fr/arianeinternet/getdoc.asp?id=209297&fonds=DCE&item=1>
METALLINOS (N.), « Unique dans la foule : l’impossible anonymisation de l’analyse des flux piétons », lexis360.fr, publié le 06/06/2016, consulté le 25/02/2017, <https://www.lexis360.fr/Document/anonymisation_et_pseudonymisation_unique_dans_la_foule_limpossible_anonymisation_de_lanalyse/eXE7wMLVLb2k3ElfYbM6CRt4gG2AiwHXu6Q1e5Kw_Ns1?data=c0luZGV4PTImckNvdW50PTEzJg==&rndNum=705939493&tsid=search1_>
ANONYME, « Le Conseil d’État empêche définitivement JCDécaux de pister les téléphones des passants », lemonde.fr, publié le 09/02/2017 consulté le 24/02/2017, <http://www.lemonde.fr/pixels/article/2017/02/09/le-conseil-d-etat-empeche-definitivement-jcdecaux-de-pister-les-telephones-des-passants_5077186_4408996.html>
ANONYME, « insuffisance d’anonymisation des données : JCDécaux ne peut pas tracer les piétons », legalis.net, publié le 16/02/2017, consulté le 25/02/2017, <https://www.legalis.net/actualite/insuffisance-danonymisation-des-donnees-jcdecaux-ne-peut-pas-tracer-les-pietons/>