1. Accueil
  2. /
  3. Actualites
  4. /
  5. Droit affaires societes
  6. /
  7. Pour ou contre le traitement automatisé de données à caractère personnel ayant pour finalité la mesure d’audience et de fréquentation de dispositifs publicitaires ?
Pour ou contre le traitement automatisé de données à caractère personnel ayant pour finalité la mesure d’audience et de fréquentation de dispositifs publicitaires

BLOG / Droit des affaires et des sociétés

Pour ou contre le traitement automatisé de données à caractère personnel ayant pour finalité la mesure d’audience et de fréquentation de dispositifs publicitaires ?

Le traitement automatisé de données à caractère personnel ayant pour finalité la mesure d’audience et de fréquentation de dispositifs publicitaires, peut-il être validé au regard des garanties et de la préservation des droits des personnes concernées ?

La CNIL a été saisie par la société Retency d’une demande d’autorisation à titre expérimentale portant sur la mise en œuvre d’un traitement d’anonymisation de données à caractère personnel permettant la mesure d’audience et de fréquentation de dispositifs publicitaires au sein de l’espace public – à l’intérieur notamment de la gare SNCF de Dijon, sur le fondement de l’article L.581-9, alinéa 4 du Code de l’environnement.

La CNIL a donné son accord audit traitement.

Reprenons cette délibération pour comprendre quelles en ont été les motifs soutenant cette autorisation.

A propos de le Délibération CNIL n°2017-145 du 9 mai 2017

La CNIL suivant une démarche rigoureuse a analysé en plusieurs points les caractéristiques du traitement de données proposé par la société Retency.

Sur la finalité du traitement

Le but poursuivi par la société Retency est bel et bien d’anonymiser des données d’identifiants d’appareils mobiles (adresses MAC) à des fins d’analyse de l’audience environnant un groupe de panneaux publicitaires situés dans l’espace public. Par ce traitement, il est possible de mesurer le nombre de visiteurs passés devant chacun de ces dispositifs et d’estimer le nombre de passages de visiteurs d’un dispositif à un autre.

En déterminant ainsi l’audience d’un panneau publicitaire, la solution proposée par la société permet d’adapter la tarification des espaces publicitaires appliquée aux annonceurs.

Le dispositif technique sélectionné consiste à implanter dans les mobiliers publicitaires des boîtiers permettant de collecter via le protocole WiFi, les adresses MAC des appareils des personnes passant à proximité puis d’anonymiser ces données afin de les restituer sous forme de graphe de flux de passage auprès de la régie Media Transports. Ce graphe a pour but de fournir des informations de comptage sur le nombre de personnes étant passées d’un point à un autre, sans pour autant qu’un parcours individuel puisse être établi.

Au regard de ces éléments, la CNIL a considéré que la finalité ainsi définie était déterminée, explicite et légitime.

Sur la base légale du traitement

Il a été admis que seule la caractérisation de l’intérêt légitime du responsable de traitement pouvait justifier que le consentement des personnes ne soit pas recueilli à la mise en œuvre du traitement portant sur des données à caractère personnel le concernant au sens de l’article 7 de la loi de 1978, et que les droits et libertés des personnes concernées étaient suffisamment garanties par les conditions de mise en œuvre du traitement.

En effet, la donnée traitée (l’adresse Media Access control/MAC) du terminal mobile des personnes passant à proximité des dispositifs publicitaires ayant une connectivité WiFi activée, fait l’objet en temps réel d’un traitement d’anonymisation jugée suffisamment fiable et dans un délai optimal.

Sur la durée de conservation des données 

Les adresses MAC collectées sont supprimées immédiatement après leur anonymisation qui se fait dans les 5 minutes de la collecte, puis conservées pour une durée de 15 jours afin d’alimenter le graphe de flux de passage.

Sur les destinataires des données 

Aucune personne n’accède aux adresses MAC des terminaux mobiles des personnes passant à proximité des boîtiers de détection, excepté, pour les données anonymisées, les salariés de la société Retency en charge du développement et du déploiement du dispositif.

Sur le procédé d’anonymisation 

L’anonymisation des données est réalisée dans un délai maximum de 5 minutes de manière embarquée dans les boîtiers

Le procédé proposé ne permet d’obtenir des résultats de mesure précis et exploitables que sur des flux de passage significatifs. Pour ce faire, la société Retency se base sur une méthode d’agglomération des informations individuelles. Celle-ci est réalisée dans deux microcontrôleurs embarqués dans les boîtiers et fonctionnant de façon disjointe et asynchrone. Des procédés cryptographiques successifs sont mis en œuvre et en particulier des techniques de hachage utilisant des sels renouvelés tous les quinze jours (soit pour chaque campagne de mesure).

A l’issue de chaque journée, les données anonymisées au sein des boîtiers sont envoyées aux serveurs de la société Retency, hébergés par la société Ecritel (France). Les échanges de données sont réalisés via des canaux de communication chiffrés utilisant le protocole HTTPS et assurant l’authentification de la source et de la destination. La CNIL observe qu’afin d’empêcher que toute personne accède aux informations collectées par les boîtiers de détection, des mesures de protection sont mises en œuvre, tant au niveau logiciel que physique.

Après avoir analysé le dispositif présenté par la société Retency, la CNIL considère que le procédé envisagé ne saurait permettre, en l’état, à la société Retency ou à un tiers de rejouer les procédés de chiffrement et donc de ré-identifier les personnes ayant vu leur adresse MAC collectée et anonymisée. En effet, le dispositif mis en œuvre par la société Retency repose sur un processus d’anonymisation respectant les trois critères de l’avis n°05/2014 sur les techniques d’anonymisation adoptés par le groupe de l’Article 29 (G 29) le 10 avril 2014.

Ainsi, le processus d’anonymisation empêche d’isoler un individu ou de relier deux enregistrements dans un ensemble de données et d’en déduire des informations. Le procédé technique est donc conforme aux règles de l’art.

Sur l’information des personnes 

Conformément à l’article 32-IV de la loi de 1978, dès lors que les données à caractère personnel recueillies sont appelées à faire l'objet à bref délai d'un procédé d'anonymisation conforme, les informations délivrées par le responsable du traitement à la personne concernée sont limitées. A cet égard, la CNIL a considéré que les modalités d’information délivrées par la société Retency étaient suffisantes, à savoir :

  • une publication dans le journal de la ville de Dijon ;
  • une publication sur le site internet de la société Retency ainsi que sur le site de la régie Media Transports ;
  • des affiches au format A4, sur lesquelles seront également présents des logos permettant d’attirer l’attention du public sur cette dernière, qui seront disposées à proximité immédiate des dispositifs publicitaires au sein desquels les boîtiers sont déployés.

En outre, en l’occurrence au regard du processus d’anonymisation l’exercice des doirs d’accès, de modification et d’opposition ne trouvent pas à s’appliquer.

En conclusion, en l’état de la technique mise en œuvre garantissant l’anonymisation de la donnée traitée et de l’information des personnes, la CNIL a donné son autorisation pour un traitement expérimentale par la société Retency.

Cette délibération de la CNIL est d’une acuité particulière à l’époque de la prolifération des objets connectés au sein des villes dites « intelligentes ».

Rappelons par-ailleurs, qu’en 2015, l’entreprise J.C.Decaux s’était vue refusée par la CNIL l’autorisation de procéder au traitement dans le cadre d’un comptage de flux de piétons sur la dalle de la défense (Décision confirmée par l’arrêt de Conseil d’Etat du 8 février 2017, n°393.714).

En effet, le risque d’identification ou de réidentification des personnes y avait été considéré comme trop important. A l’inverse, le dispositif élaboré par la société Retency a été considéré comme préservant suffisamment les garanties des personnes.

A noter également, qu’au regard des principes de « Privacy by Design » et de « Privacy by default » issus du RGPD qui entre en vigueur on le sait, le 25 mai 2018, il devient indispensable d’intégrer la protection des données en amont, dès le développement des systèmes afin de garantir techniquement les obligations du responsable des traitements et l’exercice des droits par les personnes.
 

Géraldine Lamoril
Consultante-formation
Docteur en droit privé