La Cnil dit « non » au projet de JCDecaux, de traçage des piétons par wifi pour la mesure d’impact de ses écrans publicitaires

La Cnil a opposé son refus à JCDecaux qui avait comme projet de collecter les adresses MAC des smartphones afin de pouvoir suivre de façon anonyme les passants qui passent devant ses panneaux publicitaires numériques implantés dans le quartier de La Défense.

Les écrans numérique de JCDecaux à La Défense - Defense-92.fr

JCDecaux va devoir revoir sa copie. La société de publicité qui a obtenu par Defacto, l’établissement de gestion de La Défense la concession du marché publicitaire des espaces public du quartier, a déployé il y a un an, en septembre 2013 son réseau. Doté de panneaux classiques, de toiles MUPI, de colonnes Wilmotte, JCDecaux a également installé des panneaux numériques sur la dalle et le boulevard circulaire. En tout ce sont 55 écrans qui ont été répartis dans le quartier d’affaires avec 21 écrans de 2 m² doubles faces montés sur mats, 8 écrans de 2 m² montés sur mât simple et 5 grands écrans de 8 m². Ces écrans numériques LED diffusent à temps égal de la publicité et des informations pour Defacto.

Pour convaincre les annonceurs d’acheter des espaces sur ce réseau digital outdoor, JCDecaux souhaite leur présenter des statistiques très précises sur le nombre de piétons qui passent devant les dispositifs avec un comptage individualisé. Pour y parvenir le numéro un mondial de la publicité extérieur souhaitait le faire en comptant les smartphones des passants ayant leurs connexions wifi activées en les détectant via leur adresse MAC unique lorsqu’ils croisaient une borne wifi installée sur les mâts.

Mais la Cnil a vu rouge et s’est opposée à ce projet de comptage dans une décision prise le 16 juillet dernier et rendue publique en ce mois de septembre, au titre de la loi du 12 juillet 2000. En effet, le code de l’environnement impose que « tout système de mesure automatique de l’audience d’un dispositif publicitaire ou d’analyse de la typologie ou du comportement des personnes passant à proximité d’un dispositif publicitaire [doit être] soumis à autorisation de la Commission Nationale de l’Informatique et des Libertés (Cnil) ». Cette dernière a estimé que les garanties d’anonymisation des données apportées par JCDecaux et Fidzup son sous-traitant n’étaient pas suffisantes.

Pour palier le risque d’un traçage individuel d’un individu, l’entreprise outdoor avançait que les hotspots wifi ne collecteraient que les adresses MAC présentes dans un rayon de 25 mètres. Les adresses devaient ensuite être envoyées toutes les deux minutes dans leur intégralité à un serveur basé à Francfort en Allemagne avec un cryptage en « HTTPS » accompagné de l’horaire exact de détection et de la puissance d’émission permettant ainsi pour évaluer la distance du piéton par rapport à l’écran. Chacune de ces adresses devait alors être diminuée du dernier demi-octet, puis hâchées pour créer un identifiant propre à JCDecaux. Après cette étape, l’adresse MAC qui aurait servi à la création de cet identifiant serait alors effacée des archives.

Une méthode qui n’a pas convaincu la Cnil. « Pour qu’une solution d’anonymisation soit efficace, elle doit empêcher toutes les parties d’isoler un individu dans un ensemble de données » écrit-elle dans sa décision. Mais pour la commission « le procédé présenté ne saurait être qualifié de technique d’anonymisation » car le même code sera généré à chaque passage d’un smartphone et son adresse MAC. Problème c’est l’objectif de JCDecaux de savoir combien de fois une personne passe devant ses panneaux numériques.

Pour la Cnil c’est une « technique de pseudonymisation » et non d’anonymisation qui est proposée par JCDecaux et les données collectées et traitées restent des « données personnelles » au sens de la loi de 1978. Pour informer les passants, le publicitaire français proposait d’afficher sur chaque mât une affiche au format A4. Or pour la Cnil cette solution, n’est pas viable puisque des passants peuvent être identifiés jusqu’à 25 mètres et qu’il « ne peut être assuré que l’ensemble des personnes concernées aient effectivement connaissance de cette information ».

La Cnil a également estimé que la collecte et le traitement des données seraient pour une large mesure opérés à « l’insu des personnes qui ne disposeraient pas de la possibilité d’exercer leurs droits, et notamment de s’opposer à ce traitement, sauf à renoncer à la possibilité de se connecter à un réseau de communication électronique » mais également que « les personnes concernées ne seraient pas non plus informées de manière satisfaisante de la mise en œuvre de ce traitement ».

Seule solution qui peut s’offrir désormais à JCDecaux pour être en règle avec la loi de 1978 : Renoncer à savoir combien de fois passe un même individu avec smartphone devant ses écrans mais juste réaliser un simple comptage. Un passant serait alors compté à plusieurs reprises vidant en grande partie l’intérêt du dispositif de JCDecaux.