Délibération 2017-145 du 9 mai 2017

Commission Nationale de l'Informatique et des Libertés
Délibération n°2017-145 du 9 mai 2017
Délibération n° 2017-145 du 09 mai 2017 autorisant la société Retency à mettre en œuvre à titre expérimental un traitement automatisé de données à caractère personnel ayant pour finalité la mesure d’audience et de fréquentation de dispositifs publicitaires au sein de la gare SNCF de Dijon (demande d’autorisation n° 2020915)
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés,

Saisie par la société Retency d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la mesure d’audience et de fréquentation de dispositifs publicitaires au sein de l’espace public ;

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu l’article L.581-9 du code de l’environnement ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Après avoir entendu M. Maurice RONAI, commissaire, en son rapport, et Mme Nacima BELKACEM , commissaire du Gouvernement, en ses observations,

La Commission a été saisie par la société Retency d’une demande d’autorisation portant sur la mise en œuvre d’un traitement d’anonymisation de données à caractère personnel permettant la mesure d’audience et de fréquentation de dispositifs publicitaires au sein de l’espace public.

Les données à caractère personnel collectées dans ce cadre seront, après avoir été anonymisées à bref délai, agrégées sous forme de flux graphiques accessibles par le client de la société Retency, à savoir la régie publicitaire Media Transports, détentrice du dispositif d’affichage au sein des espaces publics et privés visés ci-après.

L’article L.581-9, alinéa 4, du code de l’environnement prévoit que tout système de mesure automatique de l'audience d'un dispositif publicitaire ou d'analyse de la typologie ou du comportement des personnes passant à proximité d'un dispositif publicitaire est soumis à autorisation de la Commission nationale de l'informatique et des libertés . L’article L.581-2 délimite les contours du champ d’application de l’article précité à tous supports visibles de toute voie ouverte à la circulation publique .

La Commission relève que le traitement de la société Retency est réalisé à l’intérieur de la gare SNCF de Dijon mais également sur son parvis. En tant que tel, le traitement de données à caractère personnel de la société Retency entre dans le champ d’application des dispositions précitées et se trouve soumis à autorisation de la Commission.

Sur la finalité du traitement :

Le traitement mis en œuvre par la société Retency a pour finalité l’anonymisation de données d’identifiants d’appareils mobiles (adresses MAC) à des fins d’analyse de l’audience environnant un groupe de panneaux publicitaires. Ceux-ci sont exploités par Média Transports et situés dans l’espace public, sur le parvis et à l’intérieur de la gare SNCF de Dijon. Il s’agit de mesurer le nombre de visiteurs passés devant chaque dispositif au sens de l’article L.581-9, alinéa 4, du code de l’environnement, ainsi que d’estimer le nombre de passages de visiteurs d’un dispositif à un autre.

Le déploiement de sa solution permettra aux annonceurs ayant acheté de l’espace d’affichage auprès de la régie publicitaire de mesurer l’efficacité de leurs campagnes publicitaires en fournissant des statistiques détaillées sur le nombre de passages du public devant les dispositifs publicitaires présents sur la voie publique. En déterminant ainsi l’audience d’un panneau publicitaire, la solution proposée par la société permet d’adapter la tarification des espaces publicitaires appliquée aux annonceurs.

La société Retency envisage le déploiement de sa solution sur le mobilier urbain susvisé pour une période expérimentale d’un mois, à l’issue de laquelle un rapport de mise en œuvre sera adressé à la CNIL. Le dispositif envisagé consiste à implanter dans les mobiliers publicitaires des boîtiers permettant de collecter via le protocole WiFi, les adresses MAC des appareils des personnes passant à proximité puis d’anonymiser ces données afin de les restituer sous forme de graphe de flux de passage auprès de la régie Media Transports. Ce graphe a pour but de fournir des informations de comptage sur le nombre de personnes étant passées d’un point à un autre, sans pour autant qu’un parcours individuel puisse être établi.

La Commission considère que la finalité ainsi définie est déterminée, explicite et légitime. Elle constate qu'aucune décision ne serait prise sur la base de ce traitement à l'égard des personnes concernées, ni qu'il en résulterait un quelconque ciblage commercial à leur égard, les données produites étant anonymes.

Sur la base légale du traitement :

L'article 7 de la loi prévoit [qu'] un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l'une des conditions suivantes :

1° Le respect d'une obligation légale incombant au responsable du traitement ;

2° La sauvegarde de la vie de la personne concernée ;

3° L'exécution d'une mission de service public dont est investi le responsable ou le destinataire du traitement ;

4° L'exécution, soit d'un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;

5° La réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux de la personne concernée .

Au regard des éléments transmis à l'appui de sa demande d'autorisation, il apparaît que la société ne prévoit pas de recueillir le consentement des personnes concernées. Dès lors, pour pouvoir être autorisé, le traitement doit reposer sur l’une des bases légales visées aux alinéas 1 à 5 de l'article 7.

La Commission constate que le traitement ne remplit pas les conditions mentionnées aux alinéas 1 à 4 de l’article 7. Il s'ensuit que seule la caractérisation de l'intérêt légitime du responsable de traitement peut justifier que le consentement des personnes ne soit pas recueilli préalablement à la mise en œuvre du traitement portant sur des données à caractère personnel les concernant. La Commission rappelle que cet intérêt légitime ne saurait cependant méconnaître les droits et libertés fondamentaux des personnes dont les données seraient traitées sans consentement.

La Commission considère que les conditions de mise en œuvre du traitement détaillées ci-après comportent des garanties de nature à préserver les droits et libertés des personnes concernées, de sorte que l’intérêt légitime de la société Retency constitue la base légale du traitement faisant l’objet de la présente décision.

Sur la nature des données traitées :

La donnée traitée par le responsable de traitement est l’adresse Media Access Control (ou adresse MAC) du terminal mobile des personnes passant à proximité des dispositifs publicitaires et ayant une connectivité WiFi activée.

Vingt-huit mobiliers sont ainsi équipés de boîtiers de détection conçus par la société Retency. Chaque boîtier comporte une carte WiFi permettant de détecter les adresses MAC sur une portée maximale de 10 mètres.

La donnée susvisée fait l’objet en temps réel d’un traitement d’anonymisation dont les modalités sont précisées ci-après.

La Commission considère ces données comme étant adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

Sur la durée de conservation des données :

Les adresses MAC collectées sont supprimées immédiatement après leur anonymisation. Ce processus est très court (5 minutes au maximum). Les données sont anonymisées au niveau de chaque boîtier de détection puis sont conservées pour une durée de quinze jours afin d’alimenter le graphe de flux de passage. Celui-ci ne comprend que des informations de comptage indiquant de façon agrégée au cours des quinze jours combien de personnes sont passées d’un endroit à un autre. A l’issue de cette durée, les valeurs du graphe sont figées.

La Commission estime la durée de conservation ainsi définie comme conforme aux dispositions de l’article 6-5 de la loi Informatique et Libertés modifiée.

Sur les destinataires des données :

La Commission relève qu’aucune personne n’accède aux adresses MAC des terminaux mobiles des personnes passant à proximité des boîtiers de détection. Les seules personnes habilitées à accéder aux données anonymisées issues des boîtiers et transmises aux serveurs de la société Retency, sont les salariés de la société Retency en charge du développement et du déploiement du dispositif.

Les données de comptage relatives au graphe de flux de passage reconstitué par traitement statistique par la société Retency, sont ensuite mises à disposition de la société Media Transports à l’issue des quinze jours.

Ces éléments n'appellent aucune observation de la Commission.

Sur le procédé d’anonymisation et la sécurité des données :

Les données faisant l’objet d’un traitement d’anonymisation sont les adresses MAC des appareils mobiles collectées à l’aide de boîtiers de détection spécifiés et fabriqués par la société Retency. Le procédé soumis à la Commission consiste à anonymiser les adresses MAC des terminaux mobiles dans un délai maximum de cinq minutes après leur collecte. Cette anonymisation est réalisée de manière embarquée dans les boîtiers.

La société Retency indique que, par construction, le procédé proposé ne permet d’obtenir des résultats de mesure précis et exploitables que sur des flux de passage significatifs. Ainsi, les résultats obtenus pour des flux trop faibles seraient inexploitables et la reconstruction de parcours individuels ne serait jamais réalisable.

Pour ce faire, la société Retency se base sur une méthode d’agglomération des informations individuelles. Celle-ci est réalisée dans deux micro-contrôleurs embarqués dans les boîtiers et fonctionnant de façon disjointe et asynchrone. Des procédés cryptographiques successifs sont mis en œuvre et en particulier des techniques de hachage utilisant des sels renouvelés tous les quinze jours (soit pour chaque campagne de mesure).

A l’issue de chaque journée, les données anonymisées au sein des boîtiers sont envoyées aux serveurs de la société Retency, hébergés par la société Ecritel (France). Les échanges de données sont réalisés via des canaux de communication chiffrés utilisant le protocole HTTPS et assurant l’authentification de la source et de la destination.

De plus, la Commission observe qu’afin d’empêcher que toute personne accède aux informations collectées par les boîtiers de détection, des mesures de protection sont mises en œuvre, tant au niveau logiciel que physique. Ainsi, les formats d’entrée et de sortie des données dans les micro-contrôleurs sont spécifiés et ne permettent aucun accès aux adresses MAC des personnes concernées. De plus, les données sont conservées dans la mémoire vive des micro-contrôleurs, cette précaution assurant que toutes les données stockées sont perdues si les boîtiers cessent d'être alimentés en électricité. Enfin, un procédé d’effacement des données en cas d’ouverture du boîtier est mis en place.

La société Retency fait valoir que le procédé d’anonymisation décrit ci-dessus constitue une garantie suffisante propre à assurer le respect des droits et libertés fondamentaux des personnes et, notamment, à permettre la délivrance de l’information limitée prévue à l'article 32-IV de la loi du 6 janvier 1978 modifiée.

Après avoir analysé le dispositif présenté par la société Retency, la Commission considère que le procédé envisagé ne saurait permettre, en l’état, à la société Retency ou à un tiers de rejouer les procédés de chiffrement et donc de ré-identifier les personnes ayant vu leur adresse MAC collectée et anonymisée. En effet, le dispositif mis en œuvre par la société Retency repose sur un processus d’anonymisation respectant les trois critères de l’avis n°05/2014 sur les techniques d’anonymisation adoptés par le groupe de l’Article 29 (G 29) le 10 avril 2014.

Ainsi, la Commission relève que le processus d’anonymisation empêche pour toutes les parties, d'isoler un individu dans un ensemble de données, de relier entre eux deux enregistrements dans un ensemble de données (ou dans deux ensembles de données séparés) et de déduire des informations de cet ensemble de données.

En l'état actuel de la technique, la Commission considère donc que le procédé présenté est conforme aux règles de l’art. Elle rappelle toutefois que la conformité du processus d’anonymisation, et le cas échant la solution, nécessitent d’être revues régulièrement au vu des évolutions des techniques d’anonymisation et de réidentification.

Sur l'information des personnes :

L’article 32-IV de la loi prévoit que si les données à caractère personnel recueillies sont appelées à faire l'objet à bref délai d'un procédé d'anonymisation préalablement reconnu conforme aux dispositions de la présente loi par la Commission nationale de l'informatique et des libertés, les informations délivrées par le responsable du traitement à la personne concernée peuvent se limiter à celles mentionnées au 1° et au 2° du I . Dès lors, l’information ne porte que sur l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ainsi que sur la finalité poursuivie par le traitement auquel les données sont destinées .

La formulation proposée par la société Retency pour informer les personnes, à savoir ces mobiliers publicitaires sont équipés d'une solution de mesure anonyme de l'audience opérée par la société Retency pour le compte de Media Transports n’appelle pas de remarque de la Commission.

La Commission précise sur ce point que dans la mesure où les données collectées ne permettent pas d’individualiser une personne, les dispositions des articles 38 à 40, à savoir l’exercice des droits d’accès, de modification et d’opposition, ne trouvent pas à s’appliquer.

La Commission rappelle toutefois que l'article 90 du décret du 20 octobre 2005 modifié prévoit que : le responsable du traitement porte directement à la connaissance des personnes auprès desquelles sont recueillies des données à caractère personnel les informations énumérées au I de l'article 32 de la loi du 6 janvier 1978 susvisée sur le support de collecte ou, à défaut, sur un document préalablement porté à leur connaissance en caractères lisibles. En application du 6° du I du même article, il les informe également, dans les mêmes conditions, des coordonnées du service compétent auprès duquel elles peuvent exercer leurs droits d'opposition, d'accès et de rectification.

La société Retency envisage d’apporter une information à plusieurs niveaux sur le traitement réalisé :

  • une publication dans le journal de la ville de Dijon ;
  • une publication sur le site internet de la société Retency ainsi que sur le site de la régie Media Transports ;
  • des affiches au format A4, sur lesquelles seront également présents des logos permettant d’attirer l’attention du public sur cette dernière, qui seront disposées à proximité immédiate des dispositifs publicitaires au sein desquels les boîtiers sont déployés.

La Commission considère ces modalités d’information satisfaisantes au regard des dispositions susvisées.

Conclusion :

Dans ces conditions, , la Commission autorise la société Retency à mettre en œuvre à titre expérimental le traitement susmentionné de données à caractère personnel ayant pour finalité la mesure d’audience et de fréquentation de dispositifs publicitaires au sein de la gare SNCF de Dijon.

La Présidente

Isabelle FALQUE-PIERROTIN




Nature de la délibération: AUTORISATION
Date de la publication sur legifrance: 20 mai 2017