Le 16 juillet 2015, la Commission nationale de l'informatique et des libertés a refusé à JCDecaux de mettre en place un traitement automatisé de données visant à quantifier les flux de piéton sur la dalle de La Défense. Le géant de l’affichage s’est pris un nouveau mur devant le Conseil d’État.
Devant la CNIL, la société avait déposé un dossier visant à mettre en route un traitement de données personnelles. Trois fois rien : « tester pendant quatre semaines une méthodologie d'estimation quantitative des flux de piétons sur la dalle de La Défense ainsi que des axes de déplacements effectués dans ce périmètre ».
Toutes les adresses MAC dans un rayon de 25 mètres
Comment ? Via six boîtiers de comptage Wi-Fi placés sur ses mobiliers publicitaires « afin de capter les adresses MAC, identifiants réseaux des appareils mobiles ayant l'interface Wi-Fi activée dans un rayon de 25 mètres, et à calculer leur position géographique ». L’intérêt ? Simple : mesurer l’audience de ses panneaux avec évidemment derrière, l'espoir de faire varier les prix infligés aux annonceurs, idéalement à la hausse.
En juillet 2015, la CNIL a considéré que ce traitement n’était pas trop dans les clous de la loi de 1978. Selon la délibération attaquée, ces appareils devaient être installés sur les panneaux publicitaires. S’appliquait en conséquence l'article L.581-9 du code de l'environnement au terme duquel, « tout système de mesure automatique de l'audience d'un dispositif publicitaire ou d'analyse de la typologie ou du comportement des personnes passant à proximité d'un dispositif publicitaire est soumis à autorisation de la Commission nationale de l'informatique et des libertés ».
Certes, la société n’envisageait pas de recueillir le consentement des passants. Pas de souci a priori pour la CNIL puisque ce traitement avait une finalité « déterminée, explicite et légitime », d’autant « qu'aucune décision ne serait prise sur la base de ce traitement à l'égard des personnes concernées, ni qu'il en résulterait un quelconque ciblage commercial à leur égard ».
Anonymisation insuffisante
Mais pour se passer le cap d’un tel encadrement, encore faut-il que les mesures de sécurité soient au rendez-vous, spécialement sur l’autel des droits des personnes. JCDecaux avait promis de mettre en œuvre un mécanisme « d'anonymisation des données quasiment immédiate ». Or, la CNIL n'a pas été convaincue, « le procédé présenté par la société ne présente pas de garanties suffisantes ». L'explication tient à ce que l’objectif réel du traitement n’était pas seulement d’« évaluer le nombre de personnes qui passent sur l'esplanade de La Défense sur une durée d'un mois », mais aussi d’estimer « le nombre de passants, leur parcours et le nombre de fois où un même passant repasse sur l'esplanade sur une période donnée ».
Avec la technique d’anonymisation envisagée - « tronquer les adresses MAC de leur dernier demi-octet, avant de les compléter par une suite de caractères en application de la technique dite de " salage " et mise en œuvre d’une méthode dite de " hachage à clé " » - le gestionnaire du traitement restait finalement en mesure d’identifier les personnes concernées.
Suivie par le Conseil d’État, la Commission avait conclu que la collecte envisagée « sans connaissance et sans information suffisante des personnes » ne pouvait être qualifiée de « loyale », outre que les droits des personnes n’étaient finalement « pas respectés ». On se souvient d’ailleurs que l’entreprise avait proposé à la Commission d’annoncer ce traitement sur une feuille A4 plaquée sur le mât des six mobiliers concernés. Chaussant ses jumelles, la CNIL lui avait répondu qu’« il ne peut être assuré que l'ensemble des personnes concernées ait effectivement connaissance de cette information. »