Délibération 2015-255 du 16 juillet 2015
La Commission nationale de l'informatique et des libertés,
Saisie par la société JCDecaux d'une demande d'autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité de tester une méthodologie d'estimation quantitative des flux piétons sur la dalle de la Défense en l'absence de données existantes sur la volumétrie ainsi que sur les axes de déplacements effectués sur ce périmètre ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code environnement, notamment l'alinéa 4 de son article L. 581-9 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu M. Maurice RONAI, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
La Commission nationale de l'informatique et des libertés (CNIL) a été saisie par la société JCDecaux d'une demande d'autorisation relative à la mise en œuvre d'un traitement automatisé de données à caractère personnel ayant pour finalité de tester une méthodologie d'estimation quantitative des flux piétons sur la dalle de La Défense.
Ce projet, permettant de procéder au comptage des flux piétons sur la dalle piétonne de La Défense, consiste en l'installation et l'exploitation, sur une période de quatre semaines, de six boîtiers de comptage Wi-Fi, présents sur les mobiliers publicitaires. Ces boîtiers permettraient de capter les adresses des appareils mobiles présents dans l'environnement immédiat (portée maximale de 25 mètres de rayon) et dont l'interface Wi-Fi est activée. La finalité du traitement est de mesurer les volumes de fréquentation, les taux de répétition et les schémas de mobilité.
Sur la base légale du traitement :
Dans la mesure où les outils de mesure d'audience seraient installés sur des dispositifs publicitaires, la Commission considère qu'il y a lieu de faire application des dispositions de l'alinéa 4 de l'article L. 581-9 du code de l'environnement, qui soumettent à autorisation de la Commission tout système de mesure automatique de l'audience d'un dispositif publicitaire ou d'analyse de la typologie ou du comportement des personnes passant à proximité d'un dispositif publicitaire .
Le code de l'environnement prévoit ainsi une procédure d'autorisation spéciale des systèmes automatisés de mesure d'audience ou d'analyse du comportement des personnes passant à proximité des dispositifs publicitaires. Une demande d'autorisation présentée sur ce fondement, bien que ne relevant pas des cas prévus par la section 2 du chapitre IV de la loi du 6 janvier 1978 modifiée, doit être examinée par la Commission à l'aune des dispositions de cette loi. Elle doit ainsi satisfaire aux dispositions de la loi du 6 janvier 1978 modifiée, et notamment de ses articles 2, 6, 7, 32 et 38.
Il convient dès lors d'examiner le fondement légal du traitement de données réalisé en vue de la mesure d'audience des dispositifs publicitaires.
L'article 7 de la loi prévoit qu' : Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l'une des conditions suivantes :
1° Le respect d'une obligation légale incombant au responsable du traitement ;
2° La sauvegarde de la vie de la personne concernée ;
3° L'exécution d'une mission de service public dont est investi le responsable ou le destinataire du traitement ;
4° L'exécution, soit d'un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;
5° La réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux de la personne concernée .
Au regard des éléments transmis à l'appui de sa demande d'autorisation par la société, il apparaît que la société ne prévoit pas de recueillir le consentement des personnes concernées. Dès lors, pour pouvoir être autorisé, le traitement doit satisfaire à l'une des conditions visées aux alinéas 1 à 5 de l'article 7.
La Commission constate que le traitement ne remplit pas les conditions mentionnées aux alinéas 1, 2, 3 et 4. Il s'ensuit que seule la caractérisation de l'intérêt légitime du responsable de traitement peut justifier que le consentement des personnes ne soit pas recueilli préalablement à la mise en œuvre du traitement portant sur des données à caractère personnel les concernant.
La Commission constate que la société entend mener son expérimentation dans une zone où la connaissance de l'audience des dispositifs publicitaires ne peut être réalisée avec des moyens classiques, et qu'elle souhaite expérimenter sur cette zone de nouveaux dispositifs automatisés propres à assurer cette mesure.
Cet intérêt légitime ne peut cependant méconnaître les droits et libertés fondamentaux des personnes dont les données seraient traitées sans consentement. Il appartient donc à la Commission de vérifier si, au cas d'espèce, ces droits et libertés fondamentaux des personnes sont pris en compte au regard des garanties apportées par le traitement.
Sur les conditions de mise en oeuvre du traitement :
Il convient d'apprécier les modalités de mise en œuvre du dispositif au regard de l'article 6 de la loi qui prévoit qu' : Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes :
1° Les données sont collectées et traitées de manière loyale et licite ;
2° Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible avec les finalités initiales de la collecte des données, s'il est réalisé dans le respect des principes et des procédures prévus au présent chapitre, au chapitre IV et à la section 1 du chapitre V ainsi qu'aux chapitres IX et X et s'il n'est pas utilisé pour prendre des décisions à l'égard des personnes concernées ;
3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ;
4° Elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ;
5° Elles sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées .
Sur la finalité du traitement :
La société JCDecaux souhaite mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité de tester une méthodologie d'estimation quantitative des flux piétons sur la dalle de La Défense, en l'absence de données existantes sur la volumétrie ainsi que sur les axes de déplacements effectués sur ce périmètre .
La société JCDecaux a récemment installé des dispositifs numériques, publicitaires et de communication sur l'esplanade piétonne de La Défense pour le compte de Defacto, l'établissement public de gestion du quartier de La Défense. Ces mobiliers diffusent pour 50% de la publicité et pour 50% des messages informatifs décidés par l'EPIC de Defacto.
Le responsable de traitement fait valoir que l'esplanade piétonne de La Défense constitue un territoire complexe, pour lequel il n'existe pas de données permettant de quantifier de manière satisfaisante les flux piétons qui fréquentent l'esplanade. Ce territoire échapperait aux outils de mesure d'audience traditionnels, en raison notamment d'une forte présence de touristes (environ 8 millions par an). Les méthodes traditionnelles de mesure de l'audience des dispositifs publicitaires ne permettent pas d'appréhender ce lieu de manière satisfaisante puisque ces mesures sont principalement réalisées auprès des résidents (environ 25 000 habitants).
Or, la valorisation de tout support publicitaire auprès des annonceurs, et ainsi la capacité à vendre les espaces publicitaires et à optimiser leur prix par rapport aux autres supports publicitaires, requiert la connaissance de son audience, c'est-à-dire du nombre de personnes qui ont chaque jour un contact avec le message. La mesure de l'audience des dispositifs publicitaires est traditionnellement utilisée par les acteurs du secteur pour leur commercialisation. Aussi, la connaissance de la fréquentation de l'esplanade de La Défense est présentée par la société JCDecaux comme un élément essentiel.
La société JCDecaux souhaite en outre avoir une meilleure connaissance de ce territoire afin de pouvoir bénéficier des avantages du numérique, qui permet de saisonnaliser la communication, l'objectif étant de dynamiser la communication grâce au numérique en affichant, par exemple, une communication relative à une exposition au moment où les personnes sont le plus susceptibles d'être réceptives.
Ainsi, la société JCDecaux souhaite conduire un projet pilote permettant de procéder au comptage des flux piétons sur une zone délimitée de l'esplanade de La Défense. Ce projet pilote serait réalisé par la société Fidzup, pour le compte de la société JCDecaux. Le dispositif consiste en l'installation sur les mobiliers publicitaires présents de six boîtiers de comptage Wi-Fi sur une période de quatre semaines. Ces boitiers auraient pour objectif de mesurer les volumes de fréquentation, les taux de répétition et les schémas de mobilité.
La Commission considère que la finalité ainsi définie est déterminée, explicite et légitime. Elle constate qu'aucune décision ne serait prise sur la base de ce traitement à l'égard des personnes concernées, ni qu'il en résulterait un quelconque ciblage commercial à leur égard.
Sur la nature des données traitées et sur la durée de conservation des données :
Six mobiliers publicitaires seraient équipés de boîtiers conçus par le prestataire, la société Fidzup. Chaque boîtier comporterait une carte Wi-Fi permettant de détecter, sur une portée maximale de 25 mètres de rayon, l'adresse MAC de tout appareil mobile équipé d'une connectivité Wi-Fi activée.
Chaque boîtier transmettrait, via une connexion sécurisée HTTPS, les données collectées à un serveur exploité par la société Fidzup, hébergé à Francfort.
Toutes les deux minutes, le boîtier transmettrait les données collectées au cours des deux minutes écoulées. Ces données seraient :
L'adresse MAC émise par la carte Wi-Fi des appareils situés à moins de 25 mètres du dispositif ;
L'horaire exact de détection de cette adresse MAC (année/mois/jour/heure/minute/seconde/fuseau horaire) ;
La puissance d'émission du signal Wi-Fi, permettant d'extrapoler la distance approximative séparant le boîtier Fidzup de la carte Wi-Fi de l'appareil détecté.
Avant son enregistrement sur le serveur, l'adresse MAC de la carte Wi-Fi détectée par le boîtier serait tronquée du dernier demi-octet avant d'être hachée en utilisant un sel propre à la société JCDecaux. Le résultat de ces fonctions serait enregistré sur le serveur à l'issue de cette opération.
A la fin de l'expérimentation, les données brutes seraient agrégées à des fins d'analyse : estimations du nombre de détections heure par heure (moyennées), du nombre de détections uniques par jour/par semaine/par mois et des schémas de mobilité.
Eu égard à la portée de l'expérimentation, limitée dans l'espace et dans le temps, la Commission considère ces données comme étant adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.
Sur la durée de conservation des données et les mesures associées :
L'expérimentation envisagée sur le parvis de La Défense durerait un mois et les données traitées par JCDecaux durant cette période seraient supprimées 15 jours après cette expérimentation, dès les statistiques de fréquentation élaborées. Cette durée n'appelle pas d'observation de la Commission.
Sur les destinataires des données :
Les personnes habilitées à accéder aux données brutes seraient le personnel des services chargés des études et de la recherche et développement (R&D) de la société JCDecaux et son prestataire, ce qui n'appelle aucune observation de la Commission.
Sur la sécurité des données :
La société JCDecaux a indiqué mettre en œuvre ce traitement en ayant recours à une technique d'anonymisation des données quasiment immédiate. Dans le projet tel qu'exposé ci-dessus, les données collectées par les boîtiers seraient transmises toutes les deux minutes, tronquées du dernier demi-octet de l'adresse MAC avant d'être hachées en utilisant un sel propre à JCDecaux. A la fin des quatre semaines d'expérimentation, les données brutes seraient agrégées à des fins d'analyse, puis supprimées.
La société JCDecaux fait valoir que ce procédé d'anonymisation constitue une garantie suffisante propre à assurer le respect des droits et libertés fondamentaux des personnes et, notamment, à permettre la délivrance de l'information limitée prévue à l'article 32-IV de la loi du 6 janvier 1978 modifiée.
Après avoir analysé le dispositif présenté par la société JCDecaux, en l'état actuel de la technique, la Commission considère que le procédé présenté ne saurait être qualifié de technique d'anonymisation, notamment du fait que la société JCDecaux est en mesure de rejouer le procédé de chiffrement, cette société utilisant un sel qui lui est propre et connu, et en raison du faible taux de collision proposé.
La Commission rappelle que l'enjeu de la qualification de données anonymisées est central dans la mesure où les données ainsi produites ne relèvent plus de la catégorie des données personnelles et ne bénéficient pas de la protection attachée à cette qualification au-delà du traitement nécessaire à l'anonymisation.
La société JCDecaux a élaboré son projet à partir du postulat que la technique employée permettrait d'anonymiser les données. En l'espèce, le procédé présenté par la société JCDecaux ne présente pas de garanties suffisantes.
La finalité du traitement telle qu'exposée viserait non seulement à compter le nombre de terminaux mobiles détectés, mais aussi à mesurer la répétition - c'est-à-dire la récurrence de passage à proximité d'un mobilier publicitaire JCDecaux - et à déterminer les parcours susceptibles d'être réalisés d'un mobilier publicitaire à un autre équipés d'un dispositif de mesure d'audience. Dès lors, l'objectif du projet que la société JCDecaux souhaite mettre en œuvre ne viserait pas seulement à évaluer le nombre de personnes qui passent sur l'esplanade de La Défense sur une durée d'un mois, mais à estimer le nombre de passants, leur parcours et le nombre de fois où un même passant repasse sur l'esplanade sur une période donnée.
Or, pour qu'une solution d'anonymisation soit efficace, elle doit empêcher toutes les parties d'isoler un individu dans un ensemble de données, de relier entre eux deux enregistrements dans un ensemble de données (ou dans deux ensembles de données séparés) et de déduire des informations de cet ensemble de données. Ces critères n'étant pas compatibles avec la finalité du projet que la société JCDecaux souhaite mettre en œuvre, ils ne sont pas satisfaits par le procédé présenté, ce dernier étant une technique de pseudonymisation, permettant toujours la corrélation et l'inférence. Les mesures de pseudonymisation mises en place pour assurer la sécurité de la collecte des données sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée - et sont complétées par l'engagement de JCDecaux de n'identifier en aucune manière un terminal mobile ni son propriétaire - mais elles ne permettent pas d'assurer une anonymisation des données.
Dès lors, les données n'étant pas anonymisées, le traitement de données à caractère personnel qui serait mis en œuvre par la société JCDecaux doit respecter les droits des personnes concernées.
Sur l'information et le respect des droits des personnes :
La collecte des données se fait de façon automatique dès lors que les personnes concernées entrent dans le périmètre des panneaux publicitaires équipés de boîtiers et disposent d'un terminal dont l'interface Wi-Fi est activée.
Cette fonctionnalité commune sur nombre d'appareils permet notamment aux terminaux équipés d'être reliés à un réseau de communication électronique. La mesure d'audience envisagée serait réalisée par l'exploitation des propriétés de cette fonctionnalité Wi-Fi sans que celle-ci soit conçue pour cela.
Dès lors, la Commission constate que les données collectées par les boîtiers Wi-Fi prévus pour l'expérimentation ne seraient pas fournies par les personnes en vue de participer à la mesure d'audience mais en vue d'une connexion potentielle à un réseau de communication électronique.
La collecte et le traitement des données seraient donc pour une large mesure opérés à l'insu des personnes qui ne disposeraient pas de la possibilité d'exercer leurs droits, et notamment de s'opposer à ce traitement, sauf à renoncer à la possibilité de se connecter à un réseau de communication électronique. Les personnes concernées ne seraient pas non plus informées de manière satisfaisante de la mise en œuvre de ce traitement.
En effet, la société JCDecaux propose que l'information des personnes figure sur le mât des six mobiliers contenant un boîtier, et soit matérialisée sur un panonceau de format A4 (les panneaux ayant une dimension de 2,5 x 1,7 mètres), qui mentionnerait l'identité du responsable de traitement et la finalité poursuivie par le traitement.
Etant donné que la portée maximale des capteurs installés sur les six dispositifs publicitaires serait de 25 mètres, et que l'information serait affichée uniquement sur des panonceaux de formats A4 - sur une esplanade ouverte à laquelle les piétons accèdent sans emprunter une entrée ou une sortie pouvant servir de support de diffusion de l'information - il ne peut être assuré que l'ensemble des personnes concernées ait effectivement connaissance de cette information.
La Commission rappelle que l'article 90 du décret du 20 octobre 2005 modifié prévoit que : Le responsable du traitement porte directement à la connaissance des personnes auprès desquelles sont recueillies des données à caractère personnel les informations énumérées au I de l'article 32 de la loi du 6 janvier 1978 susvisée sur le support de collecte ou, à défaut, sur un document préalablement porté à leur connaissance en caractères lisibles. En application du 6° du I du même article, il les informe également, dans les mêmes conditions, des coordonnées du service compétent auprès duquel elles peuvent exercer leurs droits d'opposition, d'accès et de rectification .
Dès lors, la Commission constate que les modalités d'information proposées ne sont pas conformes aux dispositions du décret précité puisqu'elles ne permettent pas de porter directement à la connaissance des personnes concernées les informations mentionnées à l'article 32-I de la loi, et ceci indépendamment du contenu de l'information.
De plus, il n'est pas envisagé que les droits d'opposition, d'accès et de rectification trouvent à s'appliquer, compte tenu de la finalité du traitement et de ses modalités de mise en œuvre.
La Commission estime donc que la collecte ainsi réalisée sans connaissance et sans information suffisante des personnes ne pourrait être qualifiée de loyale au sens de l'article 6 de la loi du 6 janvier 1978 modifiée et que les droits des personnes ne sont pas respectés.
En l'absence d'information suffisante des personnes, le contrôle de proportionnalité opéré par la Commission sur le fondement de la loi du 6 janvier 1978, entre les risques présentés par le traitement et les garanties apportées pour le respect des droits des personnes, conduit à refuser d'autoriser le traitement de données à caractère personnel ayant pour finalité de tester une méthodologie d'estimation quantitative des flux piétons sur la dalle de La Défense.
La Présidente
Isabelle FALQUE-PIERROTIN
Nature de la délibération: AUTORISATION
Date de la publication sur legifrance: 15 septembre 2015