Dispositif de comptage Wifi intégré au mobilier urbain publicitaire : le Conseil d’Etat confirme la position restrictive de la CNIL

Par un arrêt du 8 février 2017, le Conseil d’Etat a confirmé la délibération de la CNIL qui avait refusé d’autoriser la société JC Decaux à mettre en place, sur le site de la Défense, un système de comptage Wifi sur son mobilier publicitaire. Le dispositif envisagé devait permettre de capter les adresses MAC, identifiants réseaux des appareils mobiles ayant l’interface Wifi activée dans un rayon de 25 mètres, et de calculer leur position géographique ainsi que leurs déplacements.

S’agissant de telles technologies, le Code de l’environnement dispose depuis la loi « Grenelle II » du 12 juillet 2010 que « Tout système de mesure automatique de l’audience d’un dispositif publicitaire ou d’analyse de la typologie ou du comportement des personnes passant à proximité d’un dispositif publicitaire est soumis à autorisation de la Commission nationale de l’informatique et des libertés » (article L. 581-9 in fine). Cette disposition faisait suite à la mise en place dans certains panneaux publicitaires de dispositifs de comptage de l’audience, ce qui avait provoqué une vive réaction de l’opinion publique.

L’arrêt du Conseil d’Etat est particulièrement intéressant en ce qu’il vient implicitement préciser la compétence de la CNIL s’agissant de tels dispositifs, considérant que le traitement de données envisagé par la société JC Decaux est bien un traitement de données à caractère personnel. Rappelons qu’aux termes du deuxième alinéa de l’article 2 de la loi du 6 janvier 1978, constitue une telle donnée « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ». Cette définition était au cœur du litige, la CNIL estimant que le traitement envisagé portait sur des données à caractère personnel, ce que l’entreprise contestée, considérant qu’elle procédait à une anonymisation de ces données. Or, pour le Conseil d’Etat, une donnée « ne peut être regardée comme rendue anonyme que lorsque l’identification de la personne concernée, directement ou indirectement, devient impossible que ce soit par le responsable du traitement ou par un tiers. Tel n’est pas le cas lorsqu’il demeure possible d’individualiser une personne ou de relier entre elles des données résultant de deux enregistrements qui la concernent ». Dès lors, les mesures techniques que la société JC Decaux proposait de mettre en place ne garantissent pas, selon les juges du palais royal, l’anonymisation des données puisqu’elles « laissent le gestionnaire du traitement en mesure de procéder à l’identification des personnes concernées et n’interdisent ni de corréler des enregistrements relatifs à un même individu, ni d’inférer des informations le concernant ».  Il s’agissait au demeurant du but même de l’expérimentation souhaitée : identifier les déplacements des personnes et leur répétition sur la dalle piétonne de La Défense. Dès lors, un tel traitement implique le respect scrupuleux de la loi de 1978, notamment s’agissant de l’information des personnes, de la prise en compte du principe de finalité, des droits d’accès et de rectification, etc. Ce qui n’était pas le cas en l’espèce.

Ce faisant, le Conseil d’Etat ajoute une pierre supplémentaire à l’édifice de la protection des données à caractère personnel en protégeant de la sorte les adresses MAC des téléphones mobiles, dans la droite ligne de jurisprudences récentes considérant que les adresses IP sont des données à caractère personnel.

Retour en haut