La CNIL a fixé les limites aux pratiques de traçage des clients dans les magasins, en interdisant de conserver les identifiants uniques des smartphones suivis à la trace, sauf autorisation expresse des consommateurs. Les boutiques qui s'adonnent à ces pratiques devront le faire savoir.

C'est une pratique encore méconnue, mais de plus en plus répandue (au point qu'Apple a choisi de basculer vers des adresses MAC aléatoires dans iOS 8, pour la contrer). Pour mieux connaître le comportement des consommateurs, des magasins installent des hotspots Wi-Fi qui permettent d'identifier chaque client et de le suivre à la trace en géolocalisant l'appareil, rendu unique par son adresse MAC, signalée lors des tentatives de connexion. S'il revient dans la boutique avec le même smartphone, le client est identifié.

Mais la CNIL veut mettre des limites à ses pratiques. En principe "les données émises par le téléphone portable doivent être supprimées lorsque son porteur sort du magasin", prévient la Commission nationale de l'informatique et des libertés dans un article publié ce mardi sur son site internet.

Affichage obligatoire, historique interdit

Toutefois, elle autorise le stockage des données si "l'algorithme d'anonymisation utilisé (assure) un fort taux de collision, c'est-à-dire qu'un identifiant en base doit correspondre à de nombreuses personnes". Si une telle préconisation peut sembler surprenante, la CNIL explique que "l'utilisation d'un tel algorithme permet notamment d'estimer les taux de retour des personnes dans un magasin avec un taux d'erreur non préjudiciable pour le commerçant tout en permettant d'assurer le respect de la vie privée de ses clients".

Pour trous les autres cas, si une boutique souhaite conserver des données personnelles après que le client a quitté le magasin, elle devra obtenir son consentement explicite, "préalable et éclairé", avec une "action positive". Par exemple, "accoler son téléphone sur un boitier spécifique".

Enfin, à l'instar de la vidéosurveillance, la CNIL prévient que le traçage des smartphones doit être indiqué par un affichage dans les lieux concernés, et que l'information doit notamment "préciser la finalité du dispositif et l'identité de son responsable".

Partager sur les réseaux sociaux

Articles liés