Par Etienne Drouard, associé, K&L Gates LLP et Dalia Seif, juriste

Le traditionnel comptage des entrées/sorties et des passages en caisse, ou de l’utilisation des cartes de fidélité et des coupons de réduction, sont désormais complétés par la création d’interactions, parfois invisibles, avec les smartphones des visiteurs. Communicants et souvent géolocalisés, nos (très) chers téléphones portables sont aujourd’hui au cœur de la relation client, de la fidélisation et de la stimulation des actes d’achat. Ils permettent également d’établir des statistiques d’audience fines et localisées au sein du centre commercial, du magasin, de la gare, de l’aéroport, du musée, du centre d’expositions et, en général, des points de vente.

1. Les technologies employées et les données traitées

Les technologies employées nécessitent la présence de capteurs installés dans le point de vente et d’une ou de plusieurs technologies permettant des interactions à relativement faible distance, comme le Wi-Fi, le Bluetooth (1) ou encore l’ultrason (2), auxquelles sont couplées différentes solutions industrielles, telles que l’iBeacon d’Apple, Eddystone d’Android, ou encore le code QR ou le NFC (3).

Pour traiter des interactions dites «in-store» avec un terminal mobile, ces technologies traitent des données de communication automatique (données de trafic) et de localisation du smartphone. Les données peuvent inclure l’adresse réseau (MAC) du smartphone, date, heure, point de détection ou de collecte, parcours. Ils collectent notamment certains identifiants techniques du terminal mobile, stables ou instables : adresse MAC (Bluetooth ou Wi-Fi) (4), carte SIM ou numéro IMEI (GSM), adresse IP (http) (5), numéro SDK (application mobile), cookie ou équivalent, modèle et version du terminal, système d’exploitation, version du navigateur, identifiant publicitaire du terminal (IDFA pour iOS, Google Advertising ID pour Android et Advertising ID pour Windows), langue utilisée, résolution de l’écran, identifiant de l’accéléromètre, du microphone, caractéristiques du bouquet d’applications mobiles installées, etc.

2. La loi informatique et libertés complétée par le Code de l’environnement

Le déploiement de ces technologies est une préoccupation majeure de la CNIL, qui leur applique sans exception la loi n° 78-17 informatique et libertés, ne serait-ce que pour juger si elles traitent ou non des données anonymes.

La loi Grenelle II n° 2010-788 du 12 juillet 2010 est venue renforcer les pouvoirs de la CNIL en ce domaine en instaurant un régime d’autorisation préalable – unique au monde – de la CNIL lorsqu’un dispositif de mesure d’audience est attaché à un «support publicitaire». L’article L.581-9 du Code de l’environnement prévoit, en effet, que : «Tout système de mesure automatique de l’audience d’un dispositif publicitaire ou d’analyse de la typologie ou du comportement des personnes passant à proximité d’un dispositif publicitaire est soumis à autorisation de la Commission nationale de l’informatique et des libertés.» Qu’ils soient ou non attachés à un dispositif publicitaire, tous ces dispositifs doivent donc faire l’objet d’une notification auprès de la CNIL (déclaration ou autorisation) ou d’un inventaire par un correspondant informatique et libertés (ou CIL).

3. Seule la CNIL décide si un dispositif de mesure d’audience est anonyme ou non

Dans un article publié le 19 août 2014 (6), la CNIL a posé les trois piliers de sa doctrine.

3.1 La CNIL impose le traitement d’informations anonymes

La CNIL décide seule du point de savoir si un dispositif de mesure d’audience est anonyme ou non. Selon la CNIL, une donnée n’est anonyme que si elle ne peut plus être distincte d’une autre (désindividualisation et collision forte), à tel point qu’aucune corrélation entre des données distinctes ne serait plus possible, ni aucune déduction des événements ou comportements auxquels elles se rapportent (notion d’inférence). En bref, la qualification d’anonymat serait réservée aux données qui ne peuvent pas permettre d’établir la répétition d’une visite ni un parcours ou un comptage individuel.

3.2 A défaut d’anonymisation – au sens défini par la CNIL –, le consentement s’impose

Selon la CNIL, l’obligation préalable de recueillir le consentement explicite des personnes serait nécessaire dans le cadre de la collecte de données personnelles, de données de localisation et de données de trafic conduisant à recueillir a minima un identifiant technique issu du terminal mobile d’une personne. Pour conserver les données non anonymisées, il faudrait donc veiller, selon la CNIL, à recueillir le consentement préalable des personnes par une action libre et spécifique de leur part : par exemple accoler le téléphone mobile à un boîtier NFC. Là encore, les critères de collision des données fixés par la CNIL pour être éligible, selon elle, à la notion d’anonymisation, sont tels que la règle du consentement individuel explicite n’est plus compatible avec la réalisation de mesures d’audience représentatives… de l’audience.

3.3 Une information préalable inefficace ou bloquante

La CNIL estime qu’«une information claire doit être affichée dans les lieux où sont mis en place les dispositifs afin de garantir une réelle transparence vis-à-vis du public. Cette information doit, notamment, préciser la finalité du dispositif et l’identité de son responsable. […] A défaut d’anonymisation, le consentement des personnes est nécessaire». En outre, il convient, selon la CNIL, de dématérialiser l’information, lorsque le dispositif de mesure d’audience employé peut permettre d’interagir avec le terminal mobile des visiteurs (appairage Bluetooth ou Wi-Fi, push notification mobile). Cependant, l’information des personnes sur l’écran de leur terminal peut s’avérer inefficace lorsque celui-ci ne se trouve pas dans leur main ni sous leurs yeux.

En conséquence, à défaut de l’anonymisation définie par la CNIL, l’information effective des personnes s’avérerait au mieux inefficace, au pire insuffisante et interdirait la mise en œuvre de dispositifs de mesure d’audience.

4. Conclusion

La mesure statistique des parcours ou du nombre de visiteurs uniques implique de corréler des données distinctes les unes des autres. De ce seul fait, la CNIL peut qualifier les données d’audience comme étant «pseudonymes» et «non anonymisées».

En conséquence, avec ses premières doctrines sur l’anonymisation, la CNIL interdit tout dispositif qui tendrait à dépasser le simple comptage du nombre cumulé de visiteurs, même si les données traitées ne permettent à personne (ni à la police, ni à un opérateur de télécoms, ni à quiconque), y compris très indirectement, de retrouver un identifiant susceptible d’être associé à l’identité d’une personne.

On peut comprendre la frilosité de la CNIL en matière d’anonymisation, car cette question détermine le champ de ses compétences. Toutefois, on ne saurait se contenter d’un régime d’interdiction déclenchant systématiquement des sanctions sans solution concrète, efficace et applicable pour doter les personnes et les entreprises d’un cadre réglementaire lisible. Des milliers d’entreprises et d’espaces commerciaux accessibles au public sont concernés. Des dizaines de millions de personnes les fréquentent chaque semaine.

Il faudra trouver une issue viable à l’impasse dans laquelle la CNIL place actuellement les entreprises car, à tout interdire, on ne protège rien ni personne et on ne régule pas.

(1). La norme Bluetooth comporte désormais une version Bluetooth Low Energy (BLE) consommant moins d’énergie afin de répondre aux exigences des smartphones et de l’Internet des objets.

(2). Fréquences entre 10 et 18 kilohertz, non perçues par l’oreille humaine.

(3). La technologie NFC (Near Field Communication ou Communication en champ proche) est une technologie de communication sans fil à courte portée.

(4). L’adresse MAC est l’identifiant physique unique d’une carte réseau : GSM-3G-4G, Wi-Fi, Bluetooth, etc.

(5). L’adresse IP permet d’identifier un terminal connecté à Internet.

(6). www.cnil.fr/linstitution/actualite/article/article/mesure-de-frequentation-et-analyse-du-comportement-des-consommateurs-dans-les-magasins.