Panneaux connectés mesurant le flux de piétons (tracking mobile) sur l’esplanade de La Défense : JCDecaux essuie un refus définitif

Décision du 8 février 2017

Le 8 février 2017, le Conseil d’Etat a confirmé la décision de refus opposée par la CNIL au célèbre installateur et exploitant de mobilier urbain publicitaire, d’équiper des panneaux de capteurs Wifi…

Le 8 février 2017, le Conseil d’Etat a confirmé la décision de refus opposée par la CNIL au célèbre installateur et exploitant de mobilier urbain publicitaire, d’équiper des panneaux de capteurs Wifi permettant de collecter l’adresse MAC des appareils mobiles de passants déambulant sur l’esplanade de La Défense, en estimant que, malgré les précautions mises en œuvre par JCDecaux, les données collectées ne pouvaient pas être considérées comme anonymes et que les personnes concernées devaient, en conséquence, être informées de l’existence de ce traitement ainsi que de leurs droits, ce qui n’avait pas été le cas.

Retour sur cette décision qui offre l’occasion de revenir sur le régime juridique d’une pratique en passe de devenir un véritable phénomène de société : le tracking mobile !
 

1/- De quoi s’agissait-il ?

Certains espaces commerciaux (galeries commerçantes) ou publics accueillent des panneaux publicitaires munis de capteurs permettant de détecter le signal Wifi émis par tout appareil mobile – dont cette fonctionnalité est activée – de visiteur passant à proximité, et ce afin de mesurer leur nombre, leur position géographique ainsi que leur trajet à l’intérieur de la zone concernée. Si l’intérêt de ce type de dispositif est évident pour leur exploitant, en leur permettant de valoriser au mieux les performances de ces panneaux et en mesurant précisément l’audience potentielle, celui-ci correspond à un traitement de données à caractère personnel dont la mise en œuvre est soumise à la loi 78-17 « relative à l’informatique, aux fichiers et aux libertés » (« LIL ») ainsi que, à compter du 25 mai 2018, au Règlement Général sur la Protection des Données 2016/679 (« RGDP »).
 

2/- Quel cadre juridique ?

Dans une communication publiée le 19 août 2014, la CNIL s’était déjà prononcée sur les dispositifs de tracking mobile, en indiquant que leurs exploitants devaient :

  • Garantir ou tendre vers l’anonymat :
    • soit en ne procédant à aucun enregistrement ni transmission de données ou en les supprimant immédiatement après que l’utilisateur ait quitté la zone ;
    • soit en utilisant un algorithme d’anonymisation assurant un « très faible taux de collision » (c’est-à-dire que les identifiants utilisés doivent correspondre à plusieurs personnes, permettant de garantir un certain degré d’anonymat) ; par exception, il est possible de conserver les données identifiantes lorsque les personnes y ont préalablement consenti  par une action positive (par exemple, cite la CNIL, par le fait « d’accoler son téléphone sur un boitier spécifique ») ;
  • Informer les personnes par un affichage clair, installé sur le lieu où sont collectées les données, précisant notamment, la finalité du dispositif et l’identité de son responsable, ainsi que les modalités d’exercice des droits d’accès, de rectification et d’opposition (« Droit des personnes ») ;
  • Procéder à une déclaration auprès de la CNIL, sauf lorsque ces dispositifs de mesure d’audience sont intégrés à un support publicitaire (panneau), auquel cas, en application de l’article L.581-9 du Code de l’environnement, ils sont alors soumis à une autorisation préalable de la CNIL.
     

3/- La demande d’autorisation de JCDecaux

Se trouvant dans cette dernière hypothèse, JCDecaux avait sollicité une autorisation de la CNIL pour intégrer à ses panneaux publicitaires placés sur l’esplanade de La Défense, un boitier permettant de capter, dans un rayon de 25 mètres :

  • l’adresse MAC (dont le dernier demi-octet serait « tronqué avant d’être haché en utilisant un sel propre » à JCDecaux) de tout appareil mobile (dont la connexion Wifi est activée) ;
  • l’horaire exact de leur détection ;
  • la puissance d’émission du signal Wifi (permettant de calculer la distance approximative séparant le panneau de l’appareil du visiteur).
     

4/- Le refus de la CNIL

Estimant que le processus de hachage et de salage utilisé par JCDecaux ne garantissait pas l’anonymisation des données, et correspondait davantage à une technique de pseudonymisation (en ce qu’elle permettait d’isoler un individu), la CNIL a refusé d’autoriser ce traitement, sur le fondement de l’article 32, I de la LIL, en estimant que les mesures d’informations prévues (affichage d’un panonceau de format A4) étaient :

  • d’une part, insuffisantes eu égard à l’étendue de la zone couverte, et
  • d’autre part, incomplètes (en ne faisant pas mention des Droits des personnes – JCDecaux s’estimant dispensé de cette mention en raison, selon elle, du caractère anonyme des données collectées).

Curieusement, dans sa délibération, la CNIL a considéré que le traitement de données pouvait se fonder sur « l’intérêt légitime » du responsable de traitement, et non sur le consentement des personnes, contredisant ici – quelque peu – sa position exprimée dans son communiqué du 19 août 2014.
 

5/- Un refus confirmé par le Conseil d’Etat

Saisie d’un recours par JCDecaux, le Conseil d’Etat confirme la décision de la CNIL en apportant deux précisions intéressantes :

  • répondant aux critiques de JCDecaux soutenant ne pas être soumis à l’article 32, I mais relevant de l’article 32, II de la LIL en raison du caractère indirect de sa collecte, le Conseil d’Etat réfute l’argument (« alors même que cette collecte ne nécessite aucune intervention des personnes concernées, elle a néanmoins le caractère direct »), précision inédite, à notre connaissance, en matière de tracking mobile ;
  • l’avis du G29 (groupement des homologues européens de la CNIL) du 10 avril 2014, invoqué par JCDecaux à l’appui de sa position et que la CNIL n’avait pas suivi dans sa décision est, selon le Conseil d’Etat, « dépourvu de valeur normative ». Voilà une affirmation intéressante et forte de la part du monde judiciaire, trop souvent à l’écart de la construction du droit des données personnelles, et qui, en repoussant la valeur contraignante d’un avis du G29, doit amener les praticiens à considérer avec plus de relativité les positions des autorités de contrôle (telle que la CNIL), dont ils font souvent grand cas en considérant qu’elles sont l’expression de la loi, ce qui n’est pas toujours le cas.
     

Avec cette décision, une nouvelle pierre est apportée à l’édifice, encore jeune et fragile mais en plein essor, d’un droit jurisprudentiel des données.

Sommaire

Autres articles

some
Publication d’un avis de la Commission Supérieure du Numérique et des Postes portant recommandations dans le domaine de la sécurité numérique
La CSNP a publié [...] un avis portant recommandations dans le domaine de la sécurité numérique, et plaidant notamment pour la création d’un parquet national consacré à la cybercriminalité et pour la création d’un dispositif dédié au paiement des rançons
some
Le Conseil d’Etat se prononce sur la conservation des données de connexion à des fins de sauvegarde de la sécurité nationale
Dans une décision en date du 21 avril 2021, le Conseil d’Etat s’est prononcé sur la conformité du droit français au droit européen en matière de conservation des données de connexion par les fournisseurs de services de communications électroniques.
some
La cour d’appel de Paris apporte des précisions sur le régime applicable en matière de violation de licence de logiciel
La cour d’appel de Paris a, dans un arrêt du 19 mars 2021, considéré que la violation d’un contrat de licence de logiciel ne relevait pas de la responsabilité délictuelle mais de la responsabilité contractuelle.
some
Le révolutionnaire avis client
À l’heure où le marketing traditionnel est remis en cause, l’importance de l’avis client est grandissante. 88 % des internautes consultent les avis clients avant un achat en ligne et 73 % avant un achat en boutique .
some
La Commission européenne apporte des éclaircissements concernant les transferts de données personnelles vers le Royaume Uni
La Commission européenne a annoncé avoir engagé des démarches pour autoriser de façon générale les transferts de données à caractère personnel vers le Royaume Uni en publiant le 19 février 2021 deux projets de décisions dites « d’adéquation ».
some
Dépôt d’une marque de mauvaise foi et intention d’usage
La CJUE précise que le dépôt d’une marque sans intention de l’utiliser peut être considéré comme ayant été effectué de mauvaise foi, que si la preuve en est rapportée ; aucune présomption ne découle du fait que le demandeur au…