La CNIL a refusé cet été un dispositif prévu par le publicitaire JCDecaux, qui souhaitait collecter les adresses MAC des smartphones pour suivre "anonymement" les individus qui passent à La Défense à proximité de ses panneaux publicitaires.

L'an dernier, la société de commercialisation d'espaces publicitaires JCDecaux a installé sur le parvis de La Défense à Paris toute une "Agora Digitale", composée notamment de panneaux publicitaires numériques montés sur mâts, qui affichent à la fois des publicités et des informations pratiques. Pour mieux valoriser le dispositif, également mis en place à Angers, l'entreprise souhaitait pouvoir présenter à ses annonceurs des statistiques très précises sur le nombre de piétons qui croisent ces écrans publicitaires, en effectuant au mieux un comptage individualisé. Elle pensait pouvoir le faire en comptant les smartphones détectés par leur adresse MAC unique, lorsqu'ils croisent une borne Wi-Fi installée sur les mâts et que ces smartphones ont leur connexion Wi-Fi activé.

Mais la CNIL s'est opposée au dispositif de comptage dans une décision rendue publique ce mois-ci (via @cunchem), prise le 16 juillet 2015.

En effet depuis une loi du 12 juillet 2000, le code de l'environnement impose que "tout système de mesure automatique de l'audience d'un dispositif publicitaire ou d'analyse de la typologie ou du comportement des personnes passant à proximité d'un dispositif publicitaire [doit être] soumis à autorisation de la Commission nationale de l'informatique et des libertés". Or la CNIL a estimé que les garanties d'anonymisation des données apportées par JCDecaux et son sous-traitant Fidzup n'étaient pas suffisantes.

Pour tenter d'écarter le risque de traçage individuel d'un individu, JCDecaux prévoyait que les hotspots Wi-Fi collectent les adresses MAC présentes dans un rayon de 25 mètres, qu'elles soient envoyées dans leur intégralité toutes les deux minutes vers un serveur de Francfort avec un chiffrement en HTTPS avec l'horaire exact de détection et la puissance d'émission (pour évaluer la distance), mais qu'à leur arrivée à Francfort, ces adresses soient tronquées du dernier demi-octet, puis hashées pour créer un identifiant propre à JCDecaux. L'adresse MAC ayant servi à la création de cet identifiant serait alors effacée des archives.

PSEUDONYMISATION N'EST PAS ANONYMISATION

Mais pour la CNIL ça n'est pas suffisant. "Pour qu'une solution d'anonymisation soit efficace, elle doit empêcher toutes les parties d'isoler un individu dans un ensemble de données", a-t-elle rappelé. Or, "le procédé présenté ne saurait être qualifié de technique d'anonymisation" puisqu'à chaque fois, la même adresse MAC générera le même identifiant unique sur les serveurs de Francfort, ce qui est précisément l'objectif pour compter le nombre de fois qu'un même individu revient sur les mêmes publicités.

Or puisque c'est une "technique de pseudonymisation" et non d'anonymisation qui est proposée, les données collectées et traitées restent des "données personnelles" au sens de la loi de 1978. L'entreprise doit donc respecter les garanties prévues dans ce cadre, et notamment l'information des personnes concernées, qui doivent pouvoir s'y opposer. Or l'information n'était prévue que sur un panneau au format A4 (une feuille), pour un dispositif censé capter les adresses MAC dans un rayon de 25 mètres, sur une esplanade surpeuplée.

JCDecaux pourrait toujours modifier son dispositif pour véritablement "anonymiser" les données et ainsi s'éviter les obstacles de la loi de 1978, mais il se priverait alors de la possibilité essentielle de savoir, à chaque fois, s'il a affaire à un nouveau smartphone ou à un téléphone qu'il a déjà vu passer.

Partager sur les réseaux sociaux

Articles liés