La Cnil protège les passants

Lorsque l’entreprise d’équipement urbain JC Decaux tente de récolter des données sur les trajets des passants sur la dalle de La Défense à Paris, la Cnil s’y oppose et le Conseil d’État confirme son analyse.

Lorsque l’entreprise d’équipement urbain JC Decaux tente de récolter des données sur les trajets des passants sur la dalle de La Défense à Paris, la Cnil s’y oppose et le Conseil d’État confirme son analyse.

Le projet de JC Decaux était osé. La société l’a tout de même tenté. Son souhait était de profiter de l’emplacement de panneaux publicitaires sur la dalle de La Défense pour recueillir et analyser les données de déplacement des passants grâce à l’insertion de boîtiers collecteurs. La durée de cette expérimentation était limitée à quatre semaines. JC Decaux pense alors recueillir « les adresses MAC, identifiants réseaux des appareils mobiles ayant l’interface Wifi activée dans un rayon de vingt-cinq mètres »[1]. L’objectif est de calculer la position géographique de leurs propriétaires, d’analyser les déplacements des personnes qui environnent les panneaux publicitaires et d’enregistrer la position exacte des passants.

 

L’entreprise demande alors à la Commission nationale de l’informatique et des libertés (Cnil) l’autorisation de récolter ces informations, puisqu’en matière de données personnelles, une demande préalable doit être formulée au régulateur selon les termes du code de l’environnement (article L. 581-9) pour « tout système de mesure automatique de l'audience d'un dispositif publicitaire ou d'analyse de la typologie ou du comportement des personnes passant à proximité d'un dispositif publicitaire. »

 

Anonymisation vs pseudonymisation

Au soutien de sa demande d’autorisation, JC Decaux avance que son analyse se fera après anonymisation des données récoltées. La Cnil refuse par une délibération du 16 juillet 2015. Pour contester ce refus, JC Decaux renvoie le dossier devant le Conseil d’État, qui tranche dans un arrêt du 8 février. Selon la Haute Cour, il s’agit en l’espère d’une récolte directe de données dont l’anonymisation par la société elle-même ne rend pas impossible l’identification par le responsable du traitement ou par un tiers.

 

Dans sa délibération, la Cnil avait retenu la méthode suivante : « La société JC Decaux France a prévu de tronquer les adresses MAC de leur dernier demi-octet, avant de les compléter par une suite de caractères en application de la technique dite de "salage" et de mettre en œuvre une méthode dite de "hachage à clé", en transformant une donnée. » Insuffisant pour une anonymisation puisque cette méthode s’apparente plus à de la « pseudonymisation ». Pour le Conseil d’État : « Ce traitement a pour objet d'identifier les déplacements des personnes et leur répétition sur la dalle piétonne de La Défense. » La Cnil a donc justement considéré que le projet de récolte de données par JC Decaux était incompatible avec l’anonymisation des informations recueillies.

 

Pascale D’Amore

 

[1] Selon l’arrêt de 8 février 2017 du Conseil d’État.

Vous avez apprécié cet article ? Likez Magazine Décideurs sur Facebook !