Le Conseil d'État vient de confirmer, dans une décision du 8 février dernier, la décision de la Cnil d'interdire à l'annonceur publicitaire JC Decaux le traçage des flux de piétons sur l'esplanade de La Défense, par le biais de ses panneaux publicitaires, captant les adresses MAC des portables des passants ayant activé la fonction Wifi de leur appareil. Le publicitaire s'était engagé à rendre ces données non identifiables après collecte.
Un refus de la Cnil pour un traitement de données prétendu "anonymisé"
Par une délibération 2015-255 du 16 juillet 2015, la Cnil avait "refusé de lui donner l’autorisation de mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité de tester une méthodologie d’estimation quantitative des flux de piétons sur la dalle de La Défense".
La décision du conseil d'État
Après avoir rendu compte des méthodes de brouillage de l'identification des appareils et donc d'anonymisation de leurs possesseurs repérés dans l'espace surveillé, le Conseil d'État formule deux observations rédhibitoires pour qu'une autorisation de traitement soit envisagée, donnant ainsi raison à l'interdiction de la Cnil.
- "Les procédés de "hachage" et de "salage", s’ils visent à empêcher l’accès des tiers aux données, laissent le gestionnaire du traitement en mesure de procéder à l’identification des personnes concernées et n’interdisent ni de corréler des enregistrements relatifs à un même individu, ni d’inférer des informations le concernant."
- "Le traitement conçu par la société JCDecaux tend non seulement à compter le nombre de terminaux mobiles, équipés d’une connexion Wifi active, détectés à proximité du mobilier publicitaire, mais aussi à mesurer la répétition de leurs passages et à déterminer les parcours réalisés d’un mobilier publicitaire à un autre. Ce traitement a ainsi pour objet d’identifier les déplacements des personnes et leur répétition sur la dalle piétonne de La Défense, pendant toute la durée de l’expérience."
En d'autres termes :
- Le publicitaire conservait toute sa faculté d'identifier les personnes avant le brouillage des données captées et gardait ainsi intactes toute sa capacité de traçage des allées et venues des personnes ainsi que d'identification, ce qui est contraire aux exigences de protection et d'anonymisation de la loi ;
- Ce traçage permettait non seulement d'identifier les personnes, mais aussi de mesurer la répétition de leurs passages aux abords des éléments de captage, et donc de déterminer leurs habitudes, les parcours empruntés et les heures de passage, ce qui est encore plus intrusif dans la vie privée de chacun.
Une certaine protection de la vie privée
Comme on le constate une fois de plus, la loi Informatique, fichiers et libertés encadre avec une certaine rigueur l'intrusion des technologies dans la vie des citoyens.
Nous titrons cependant "une certaine protection", conscient du fait qu'un cadre législatif, même renforcé par le futur Règlement général sur la protection des données (RGPD) de l'Union européenne à partir du 25 mai 2018, ne fait pas tout. Il faut pour ce faire une autorité indépendante de protection des données qui soit active — c'est le cas en France avec la Cnil. Mais il faut aussi des citoyens qui prennent leur destin en main et n'hésitent pas à se mobiliser pour faire respecter leurs droits.
En savoir plus
Voir la Délibération de la Cnil n°2015-255 du 16 juillet 2015 sur Légifrance :
https://www.legifrance.gouv.fr/affichCnil.do?&id=CNILTEXT000031159401
Voir la décision du Conseil d'État en date du 8 février 2017, également sur Légifrance :
https://www.legifrance.gouv.fr/affichJuriAdmin.do?&idTexte=CETATEXT000034017907