Par une décision du 8 février 2017, le Conseil d’Etat a jugé que la régie publicitaire JCDecaux n’était pas en droit de procéder au tracking des téléphones mobiles des personnes passant à proximité de ses panneaux publicitaires.

Pour faire face à l’essor exponentiel du marché de la publicité digitale (3,5 milliards d’euros de chiffre d’affaire net en 2016[1]), dont l’efficacité est facilement mesurable grâce à l’emploi de métriques de plus en plus sophistiquées, les acteurs de l’affichage urbain tentent depuis longtemps de mesurer l’impact de leurs panneaux publicitaires.

JCDecaux comptait ainsi réaliser en 2015 une expérimentation destinée à mesurer l’audience de certains de ses panneaux publicitaires. Concrètement, le projet consistait à installer sur certains de ces panneaux publicitaires des boîtiers Wifi à même de capter, dans un rayon de 25 mètres, les adresses MAC (identifiants réseaux de smartphones ayant leur module Wifi activé) de tous les smartphones situés à proximité et à déterminer ainsi la position géographique des terminaux associés à ces adresses.

Une fois les adresses MAC collectées, JCDecaux avait prévu de les rendre anonymes au moyen d’une technique dite de « salage » et d’une méthode dite de « hachage à clé », lesquelles consistent sommairement à compléter les données collectées avec d’autres données et in fine à les transformer.

Le 4 février 2015, JCDecaux a donc déposé auprès de la CNIL une demande d’autorisation de traitement automatisé de données à caractère personnel ayant pour finalité de tester « une méthodologie d’estimation quantitative des flux de piétons sur la dalle de La Défense ainsi que des axes de déplacements effectués dans ce périmètre », conformément au dernier alinéa de l’article 581-9 du Code de l’environnement.

Face à l’essor des technologies de tracking outdoor et aux risques d’atteinte à la vie privée induits par celles-ci, le législateur a en effet complété l’article du Code de l’environnement susvisé afin de soumettre « tout système de mesure automatique de l’audience d’un dispositif publicitaire ou d’analyse de la typologie ou du comportement des personnes passant à proximité d’un dispositif publicitaire » à l’autorisation préalable de la CNIL[2]. En vertu de cette disposition, tout outil de mesure d’audience installé sur un dispositif publicitaire doit satisfaire aux dispositions de la loi informatique et libertés du 6 janvier 1978.

Par délibération du 16 juillet 2015, la CNIL a refusé que JCDecaux procède au déploiement d’un tel dispositif en raison de l’insuffisance du processus d’anonymisation des données collectées et, en conséquence, du défaut d’information des passants et de l’absence de possibilité pour ces derniers de s’opposer à la collecte de leurs données. Par un arrêt du 8 février 2017, la Haute juridiction administrative a validé en tous points l’analyse de la CNIL.

Seule la question de la légalité du traitement n’était pas visée par le recours exercé par JCDecaux devant le Conseil d’Etat. L’article 7 de la loi de 1978 impose, en principe, au responsable du traitement de recueillir le consentement de la personne concernée par le traitement de données personnelles. Par exception, le responsable du traitement peut se fonder sur les des cinq exceptions prévues par le même article, parmi lesquelles figure « l’intérêt légitime poursuivi par le responsable du traitement ». Le recours à un tel critère impose de mettre en balance l’intérêt légitime poursuivi par le responsable du traitement avec les droits fondamentaux des personnes concernées, auxquels le responsable du traitement doit apporter des garanties adéquates[3].

Or en l’espèce, la CNIL a considéré que la volonté de JCDecaux d’expérimenter de nouvelles techniques pour obtenir des données était légitime, notamment au regard de la portée de cette expérimentation, limitée dans l’espace et dans le temps. En l’état des fonctionnalités Wifi des terminaux mobiles, il aurait été d’ailleurs sans doute difficile pour JCDecaux de recueillir le consentement préalable des piétons.

La question de l’anonymisation des données collectées était en revanche le principal écueil auquel était confronté JCDecaux. L’anonymisation est l’opération par laquelle se trouve supprimé, dans un ensemble de données recueilli auprès d’un individu ou d’un groupe, tout lien qui permettrait l’identification de ces derniers. Le G29 (organe européen consultatif) considère qu’un ensemble de données pour lequel il n’est possible ni d’individualiser ni de corréler ni d’inférer est a priori anonyme[4]. A cette fin, la CNIL recommande que l’algorithme d’anonymisation utilisé assure un fort taux de collision, e. qu’il regroupe sous un même identifiant plusieurs personnes[5]

Réussir à justifier d’une anonymisation irréversible est essentiel puisque cela entraine l’allègement des obligations prévues par la Loi informatique et libertés du 6 janvier 1978. Tout dépend donc techniquement du procédé d’anonymisation mis en œuvre.

Or en l’espèce, le processus d’anonymisation des données prévu par JCDecaux consistait à tronquer les adresses MAC de leur dernier demi-octet, avant de les compléter par une suite de caractère afin de transformer la donnée et la décorreler ainsi des données associées au terminal. Processus jugé insuffisant par la CNIL qui a souligné que JCDecaux conservait la possibilité de déterminer si une même personne revenait plusieurs fois dans la zone pendant la durée du test.

La CNIL a considéré que le fait que le dispositif vise précisément à mesurer la récurrence des passages à proximité d’un panneau publicitaire, et à déterminer le parcours susceptible d’être réalisé d’un panneau à l’autre, le rendait incompatible avec la mise en œuvre d’une solution d’anonymisation efficace.

L’Autorité de contrôle a ainsi rappelé que « pour qu’une solution d’anonymisation soit efficace, elle doit empêcher toutes les parties d’isoler un individu dans un ensemble de données ». En d’autres termes, comme le souligne le Conseil d’Etat, une donnée « ne peut être regardée comme étant rendue anonyme que lorsque l’identification de la personne concernée, directement ou indirectement, devient impossible », ce qui n’était pas le cas en l’espèce. La CNIL a donc considéré que le dispositif présenté était en réalité « une technique de pseudonymisation », c’est-à-dire une technique d’anonymisation réversible (processus par lequel les données perdent leur caractère nominatif mais demeurent liées à la même personne, qui est donc ré-identifiable).

Confirmant ce raisonnement, le Conseil d’Etat a jugé que « les objectifs mêmes de la collecte des données par la société JCDecaux France étaient incompatibles avec une anonymisation des informations recueillies ».

Conséquence de la défaillance du processus d’anonymisation reprochée par la CNIL, JCDecaux ne pouvait plus se prévaloir des dispositions de l’article 32.IV de la Loi informatique et libertés qui limitent les obligations d’information, dues par le responsable du traitement de données « appelées à faire l’objet à bref délai d’un procédé d’anonymisation », à la communication, d’une part, de son identité et, d’autre part, de la finalité du traitement. JCDecaux, pensant bénéficier du régime plus souple offert par l’anonymisation, prévoyait de ne communiquer ces deux informations aux piétons qu’au moyen d’un panonceau de format A4 fixé sur le mât des panneaux publicitaires. Or indépendamment de la nature et du nombre d’informations communiquées, en tout état de cause, le responsable de traitement ne saurait s’acquitter de son obligation d’information au moyen d’un panonceau de format A4 dès lors que les capteurs permettent de collecter des données dans un rayon de 25 mètres, ni même a priori prévenir les piétons par un autre moyen.

Faute d’application de l’exception, s’applique donc le principe qui oblige notamment à communiquer aux piétons les droits dont ils disposent pour s’opposer au traitement de leurs données[6]. Si un tel droit n’a pas lieu d’être lorsque les données sont anononymisées, il retrouve tout son sens à défaut d’anonymisation irréversible. Mais en l’espèce, la collecte des adresses MAC s’effectuait automatiquement dès l’instant où l’interface Wifi de la personne concernée est activée. Une personne souhaitant s’opposer au traitement devrait donc désactiver la fonctionnalité Wifi et se priver des réseaux de communication, ce qui n’est pas concevable. Il s’agit là d’un écueil purement technique, résultant d’une exigence juridique impérative.

La décision du Conseil d’Etat n’interdit pas tout tracking de téléphones mobiles mais illustre la difficulté de réunir toutes les conditions pour que l’on puisse considérer des données comme anonymes, ou à défaut que soient respectées toutes les dispositions de la Loi du 6 janvier 1978.

En somme, le CNIL et le Conseil d’Etat rappellent quelles sont les bonnes pratiques à adopter en matière d’analyse de flux outdoor, tout en laissant certaine question en suspens. Un tel sujet n’est pas nouveau mais est particulièrement intéressant au regard du Règlement européen des données personnelles (RGDP) du 27 avril 2016, lequel est précisément issu de longues réflexions sur les nouveaux moyens de collecte d’une information toujours plus qualifiée sur les individus et notamment les consommateurs ; le RGDP a ainsi introduit les notions de « profilage » (entendu, selon l’article 4.4 RGDP comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ») et de « suivi de comportement » (art. 3.2 RGDP) : Ainsi, les techniques d’observation comportementale, qu’elles soient online (IP tracking, cookies, bcacon, analyties, etc …) ou offline (capteurs, outdoor tracking, reconnaissance faciale, géolocalisation) doivent impérativement, à défaut d’anonymisation, respecter les principes de la data protection et en particulier les principes d’information et de consentement préalable d’une part, de sécurité et de proportionnalité d’autre part.

Le système juridique en place en Europe, renforcé par le récent RGDP, vise à ce que la liberté d’aller et venir en ville demeure une liberté échappant à l’économie de la data. Les acteurs économiques souhaitant réaliser du tracking outdoor devront donc prévoir de réelles solutions d’anonymisation garantissant un niveau de protection optimale pour les personnes dont les données personnelles seront collectées.

[1] 17ème édition de l’Observatoire de l’e-pub du SRI, réalisé par PwC, en partenariat avec l’UDECAM

[2] Art. 40 loi n°2010-788 du 12 juillet 2010 dite « Grenelle II »

[3] Avis 06/2014 sur la notion d’intérêt légitime poursuivi par le responsable du traitement des données au sens de l’article 7 de la directive 95/46/CE

[4] Avis 05/2014 sur les Techniques d’anonymisation

[5] CNIL, Mesure de fréquentation et analyse du comportement consommateurs dans les magasins, 19 août 2014

[6] Article 32.I de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés