Dans la délibération n°2015-255 du 16 juillet 2015, la CNIL s’est opposée à un projet de la société JCDecaux permettant de tracer les piétons se trouvant sur l’esplanade de la Défense.
Par Claire Bouchenard, associée, Osborne Clarke
JCDecaux, multinationale spécialisée dans la publicité et le mobilier urbain, avait installé, il y a un an, plusieurs panneaux publicitaires et écrans digitaux dans le quartier d’affaires de la Défense. A titre d’expérimentation, JCDecaux souhaitait fixer sur ces panneaux publicitaires six boîtiers de comptage du flux piéton. Ces boîtiers auraient permis de détecter, dans un rayon de 25 mètres, l’adresse MAC de tout smartphone équipé d’une connectivité Wi-Fi activée, mesurant ainsi la fréquentation, le taux de répétition et les schémas de mobilité des piétons.
L’article L.581-9 du code de l’environnement soumettant à autorisation de la CNIL tout système automatique de mesure d’audience d’un dispositif publicitaire, la société JCDecaux s’est tournée vers la commission afin de voir son projet accepté. Dans sa délibération, la CNIL a examiné dans un premier temps le fondement légal du traitement de données personnelles : l’intérêt légitime du responsable de traitement. Un tel fondement n’est accepté que si les droits et libertés fondamentaux des personnes sont garantis. Afin de vérifier que tel était le cas, la CNIL a soumis le projet de JCDecaux au test en sept étapes élaboré par le groupe de l’article 29 (G29) dans son Opinion du 9 avril 2014.
Concernant la finalité du traitement, JCDecaux a démontré qu’elle était définie, déterminée, explicite et légitime, puisque la configuration de la Défense ne permet pas aux méthodes traditionnelles de mesure d’audience d’être efficaces et que le but n’était pas de cibler commercialement les piétons, mais de dynamiser la communication grâce au numérique.
Le projet étant limité dans le temps (quatre semaines) et dans l’espace, la CNIL a également considéré que les données collectées et traitées étaient adéquates, pertinentes et non excessives. Cependant, la CNIL a refusé le projet de mesure d’audience du fait de deux éléments.
Le premier est que, pour garantir les droits et libertés fondamentaux des piétons, JCDecaux arguait de l’utilisation d’une technique d’anonymisation des données. Cependant, au vu de l’opinion sur l’anonymisation adoptée par le G29 le 10 avril 2014, la CNIL a considéré que la technique employée n’était pas une technique d’anonymisation mais uniquement une technique de pseudonymisation. En effet, le système de traçage mis en place permettait d’évaluer le nombre de fois où un piéton passe puis repasse devant le panneau publicitaire. Pour ce faire, JCDecaux devait avoir la possibilité d’effectuer des corrélations, des recoupements entre deux enregistrements, ce qui caractérise une technique de pseudonymisation.
Or, dans son Opinion du 9 avril 2014 sur la notion d’intérêt légitime, le G29 indique que l’anonymisation des données est un moyen de garantir les droits et libertés fondamentaux des individus, ce qui n’est pas le cas de la pseudonymisation.
En outre, la CNIL a reproché à JCDecaux de ne pas informer suffisamment les personnes concernées. Selon elle, la collecte et le traitement étaient opérés à l’insu des personnes, qui ne pouvaient pas exercer leurs droits. Elles n’étaient également pas informées de manière satisfaisante de la mise en œuvre du traitement, puisque ces informations se trouvaient sur des panonceaux de format A4 alors que la portée des boîtiers de captage était de 25 mètres.
Par conséquent, après avoir effectué une mise en balance de l’intérêt du responsable de traitement et des droits et libertés fondamentaux des personnes, la CNIL a prononcé un refus d’autorisation. Dans cette décision, la CNIL s’est alignée sur la vision du G29 et s’est placée une nouvelle fois en garant des droits et libertés fondamentaux des personnes.
JCDecaux devra donc renoncer à offrir à ses clients des estimations quantitatives concernant les flux piétons sur l’esplanade de la Défense, car l’utilisation d’une technique efficace d’anonymisation des données ne lui permettra pas d’identifier combien de fois une même personne passe devant les panneaux publicitaires.
La CNIL avait informé dans son programme pour 2015 les responsables de traitement que ses contrôles porteraient cette année sur les systèmes de mesure d’audience. Sans surprise, elle a tenu parole. Un mois après la présente décision, la commission a d’ailleurs publié sur son site internet des recommandations concernant l’utilisation de systèmes de mesure de fréquentation et d’analyse du comportement des consommateurs dans les magasins (beacon).
