L’Essentiel : La société JCDecaux France a été déboutée par le Conseil d’Etat concernant sa demande d’autorisation de traitement de données pour estimer les flux de piétons à La Défense. Le projet impliquait l’installation de boîtiers de comptage Wifi pour capter les adresses MAC des appareils mobiles à proximité. Cependant, la CNIL a souligné que ce traitement nécessitait le consentement des personnes concernées, ce qui n’était pas prévu. Bien que JCDecaux ait proposé des techniques d’anonymisation, la CNIL a jugé que les objectifs de collecte étaient incompatibles avec une véritable anonymisation des données.

Refus d’un traitement de données

La société JCDecaux France n’a pas obtenu du Conseil d’Etat l’annulation de la délibération CNIL lui refusant l’autorisation de mettre en oeuvre un traitement de données sur une méthodologie d’estimation quantitative des flux de piétons sur la dalle de La Défense avec les axes de déplacements effectués dans ce périmètre.

Le projet consistait en l’installation de six boîtiers de comptage Wifi sur le mobilier publicitaire de la société JCDecaux France, afin de capter les adresses MAC, identifiants réseaux des appareils mobiles ayant l’interface Wifi activée dans un rayon de 25 mètres, et à calculer leur position géographique.

Information et droit d’opposition

Le principe est posé par l’article L.581-9 du code de l’environnement : tout système de mesure automatique de l’audience d’un dispositif publicitaire ou d’analyse de la typologie ou du comportement des personnes passant à proximité d’un dispositif publicitaire est soumis à autorisation de la CNIL.

Le système prévu entrait bien dans les prévisions de la loi du 6 janvier 1978 posant le consentement éclairé de l’intéressé : « Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée et satisfaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire « sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée ».

Même lorsque la collecte ne nécessite aucune intervention des personnes concernées, elle a néanmoins le caractère d’une collecte directe de données personnelles. La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant doit être informée, sauf si elle l’a été au préalable, par le responsable du traitement ou son représentant : i) de l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ; ii) de la finalité poursuivie par le traitement auquel les données sont destinées.

Or, le projet en cause n’envisageait pas de droit d’opposition, d’accès et de rectification en raison de l’anonymisation des données collectées.

Anonymisation des données

Pour rendre anonymes les données collectées, la société JCDecaux France avait prévu de tronquer les adresses MAC de leur dernier demi-octet, avant de les compléter par une suite de caractères en application de la technique dite de  » salage  » et de mettre en oeuvre une méthode dite de  » hachage à clé « , en transformant une donnée. La société soutenait que ces opérations rendent négligeable le risque de pouvoir identifier les personnes en cause, d’autant que la collecte de données se déroule dans le cadre d’une expérimentation limitée dans le temps et a pour objet d’améliorer la valorisation de ses panneaux publicitaires, ce qui rend sans intérêt pour elle l’identification des personnes concernées.

Toutefois, d’une part, les procédés de  » hachage  » et de  » salage « , s’ils visent à empêcher l’accès des tiers aux données, laissent le gestionnaire du traitement en mesure de procéder à l’identification des personnes concernées et n’interdisent ni de corréler des enregistrements relatifs à un même individu, ni d’inférer des informations le concernant. D’autre part, le traitement conçu par la société JCDecaux tend non seulement à compter le nombre de terminaux mobiles, équipés d’une connexion Wifi active, détectés à proximité du mobilier publicitaire, mais aussi à mesurer la répétition de leurs passages et à déterminer les parcours réalisés d’un mobilier publicitaire à un autre. Ce traitement a ainsi pour objet d’identifier les déplacements des personnes et leur répétition sur la dalle piétonne de La Défense, pendant toute la durée de l’expérience.

La CNIL a ainsi pris en compte, sans erreur de fait, tant le contexte du traitement présenté que ses objectifs. Or, les objectifs mêmes de la collecte des données par la société JCDecaux France étaient incompatibles avec une anonymisation des informations recueillies.

Télécharger la décision

Q/R juridiques soulevées :

Pourquoi la société JCDecaux France a-t-elle refusé l’autorisation de traitement de données ?

La société JCDecaux France a demandé l’autorisation de mettre en œuvre un traitement de données pour estimer quantitativement les flux de piétons sur la dalle de La Défense. Cependant, le Conseil d’Etat a confirmé le refus de la CNIL, qui a jugé que le projet ne respectait pas les exigences légales en matière de protection des données personnelles.

Le projet impliquait l’installation de six boîtiers de comptage Wifi pour capter les adresses MAC des appareils mobiles à proximité. Cette collecte de données, sans consentement explicite des utilisateurs, a soulevé des préoccupations quant à la vie privée et à la protection des données personnelles.

Quels sont les principes régissant le droit d’opposition et d’information ?

L’article L.581-9 du code de l’environnement stipule que tout système de mesure automatique de l’audience publicitaire doit être autorisé par la CNIL. Cela inclut l’analyse du comportement des personnes à proximité des dispositifs publicitaires.

Le consentement éclairé est essentiel, comme le précise la loi du 6 janvier 1978. Un traitement de données personnelles doit obtenir le consentement de la personne concernée et respecter ses droits et libertés fondamentaux. Même sans intervention des personnes, la collecte de données personnelles doit être transparente et informer les individus sur l’identité du responsable du traitement et la finalité de la collecte.

Comment la société JCDecaux France a-t-elle prévu d’anonymiser les données collectées ?

Pour anonymiser les données, JCDecaux France avait prévu de tronquer les adresses MAC en supprimant leur dernier demi-octet, puis d’appliquer une technique de « salage » et de « hachage à clé ». Ces méthodes visaient à réduire le risque d’identification des personnes concernées.

Cependant, bien que ces techniques puissent compliquer l’accès aux données, elles ne garantissent pas une anonymisation totale. Le gestionnaire du traitement peut toujours identifier les individus et corréler des enregistrements, ce qui soulève des questions sur la véritable anonymisation des données collectées.

Pourquoi la CNIL a-t-elle jugé que l’anonymisation des données n’était pas compatible avec les objectifs de JCDecaux ?

La CNIL a constaté que les objectifs de la collecte de données par JCDecaux, qui incluaient le comptage des terminaux mobiles et l’analyse des parcours des utilisateurs, étaient incompatibles avec une véritable anonymisation.

Le traitement visait à suivre les déplacements des personnes sur la dalle piétonne, ce qui implique une identification potentielle des individus. La CNIL a donc conclu que les méthodes d’anonymisation proposées ne suffisaient pas à protéger les droits des personnes concernées, rendant le projet non conforme aux exigences légales.