02 Nov « Tracking outdoor » : comment éviter le recueil du consentement des visiteurs
Le 17 octobre dernier, la CNIL a publié sur son site[1] un article rappelant les règles incombant aux responsables de traitement qui mettent en place des dispositifs de mesure d’audience et de fréquentation dans les espaces publics (ou « tracking outdoor »).
Ces dispositifs sont de plus en plus utilisés par les entreprises pour mesurer le parcours des visiteurs dans les lieux publics (ex : centres commerciaux, gares, etc) afin de mesurer l’efficacité de leurs campagnes publicitaires ou d’adapter leurs offres.
Les dispositifs de tracking outdoor supposent le plus souvent l’installation de petits boitiers permettant de capter les données émises par les smartphones des visiteurs, et de les transmettre à l’entreprise qui pourra ensuite en déduire les trajectoires des visiteurs, élaborer des statistiques de fréquentation, ou connaître le taux de répétition des visites dans un lieu public.
Les adresses MAC (« Media Access Control ») des téléphones mobiles ainsi collectées constituent des données personnelles dès lors qu’elles permettent d’identifier individuellement le propriétaire du smartphone, l’adresse MAC étant unique pour chaque téléphone mobile.
Un des principaux enjeux pour l’entreprise souhaitant installer ce type de dispositif est de savoir si la collecte des données des visiteurs nécessite de recueillir préalablement leur consentement ou si ce traitement peut être basé sur un autre fondement légal tel que l’intérêt légitime de l’entreprise.
L’intérêt économique d’une entreprise de recueillir des informations qualifiées sur la fréquentation exacte d’un magasin à un instant donné, le nombre de visiteurs lors d’une campagne publicitaire, ou encore le déplacement de ses clients et prospects d’une boutique à une autre est aisément compréhensible et permet ainsi à l’entreprise d’ajuster ses offres, d’informer ses clients sur les zones d’affluence d’un magasin ou encore de disposer d’informations à communiquer à ses partenaires commerciaux.
Mais cet intérêt économique légitime n’est pas un droit absolu pour l’entreprise[2]. Il doit être mis en balance avec les incidences du traitement sur les droits fondamentaux des personnes concernées. L’entreprise doit ainsi veiller à offrir des garanties aux personnes concernées : plus la personne disposera de garanties, mieux l’entreprise parviendra à légitimer son intérêt.
La CNIL a ainsi distingué deux hypothèses de tracking outdoor dans lesquels l’entreprise peut se dispenser du consentement du visiteur et fonder son traitement sur l’intérêt légitime :
1/ lorsque les données sont collectées et anonymisées à bref délai
Un traitement d’anonymisation présente l’avantage d’assurer un haut niveau de protection de la vie privée des personnes. Leurs intérêts et droits fondamentaux sont donc préservés.
Toutefois, l’entreprise doit veiller à prendre des mesures permettant une anonymisation réelle des données.
L’anonymisation peut se définir comme le résultat du traitement des données personnelles afin d’empêcher, de façon irréversible, toute identification[3]. L’entreprise ne doit plus être en mesure d’isoler un individu, de relier entre eux les enregistrements relatifs à un individu ou de déduire des informations relatives à cet individu, contrairement à la pseudonymisation avec laquelle il est toujours possible de ré-identifier une personne.
La société RETENCY est à ce jour la seule société à avoir obtenu en 2017[4] l’autorisation de la CNIL de déployer à titre expérimental un dispositif de tracking outdoor en gare de Dijon, basée sur une technique d’anonymisation offrant des garanties suffisantes pour les visiteurs.
La société RETENCY se base sur une méthode d’agglomération d’informations individuelles, réalisée dans deux microcontrôleurs embarqués dans les boîtiers et fonctionnant de façon disjointe et asynchrone. Des procédés cryptographiques successifs sont mis en œuvre et en particulier des techniques de hachage utilisant des sels renouvelés tous les quinze jours. Cette technique permet de généraliser les données de façon à ce qu’elles ne soient plus spécifiques à une personne mais communes à un ensemble de personnes.
Comme pour l’autorisation délivrée à la société RETENCY, la CNIL rappelle dans sa publication que le recueil du consentement n’est pas nécessaire auprès du visiteur lorsqu’une technique d’anonymisation effective est mise en place par l’entreprise. Cette technique doit ainsi permettre d’assurer un taux de collision élevé entre plusieurs individus, c’est-à-dire, permettant que de nombreuses adresses MAC correspondent, à l’issu du traitement, à un seul identifiant.
La CNIL exige également que les identifiants MAC des visiteurs collectés puissent être anonymisés à bref délai, c’est-à-dire, dans un délai de 5 minutes à compter de la collecte. La société RETENCY offrait également cette garantie.
Ainsi, si l’entreprise parvient à proposer une technique d’anonymisation fiable dans les délais précités, elle n’aura pas à obtenir le consentement préalable des visiteurs.
Les visiteurs devront toutefois être dûment informés de l’existence d’un tel dispositif:
- à proximité immédiate du dispositif (à l’entrée et la sortie des centres commerciaux, sur les panneaux publicitaires par exemple), par une mention précisant la finalité du traitement, l’identité du responsable de traitement et l’existence d’un droit d’opposition ;
- puis de manière plus poussée, sur le site internet de l’entreprise, dans des journaux et/ou sur tout autre support permettant au visiteur de prendre connaissance de manière complète des coordonnées du responsable de traitement, du DPO, de l’intérêt légitime poursuivi par l’entreprise, des finalités, des destinataires des données, de l’existence d’un transfert éventuel de données, de la durée de conservation des données et de la possibilité pour le visiteur d’introduire une réclamation auprès de la CNIL.
2/ lorsque les identifiants des visiteurs sont collectés, immédiatement pseudonymisés, puis anonymisés ou détruits au bout de 24h
L’entreprise peut également se dispenser du consentement préalable des visiteurs si les identifiants MAC collectés sont pseudonymisés de manière fiable dès la collecte, puis supprimés ou anonymisés au bout de 24h, et si l’entreprise offre aux visiteurs une information et une mesure d’opposition effective, préalablement et postérieurement à la collecte de leurs données.
La pseudonymisation consiste à limiter le risque de corrélation directe entre l’identifiant MAC du visiteur et ses données nominatives, par exemple en le hachant après l’ajout d’un sel ou d’une clé (renouvelés régulièrement), comme le conseille la CNIL pour ces dispositifs de tracking outdoor.
Une fois les données pseudonymisées, ces dernières devront être anonymisées ou détruites en fin de journée. Cette technique, moins protectrice pour les droits fondamentaux des visiteurs, nécessite de la part de l’entreprise la mise en œuvre de mesures complémentaires :
- une information des visiteurs sur la finalité du traitement, l’identité et les coordonnées du responsable de traitement, du DPO, de l’intérêt légitime poursuivi par l’entreprise, des finalités, des destinataires des données, de l’existence d’un transfert éventuel de données, de la durée de conservation des données et de la possibilité pour le visiteur d’introduire une réclamation auprès de la CNIL. Le visiteur devra également être informé de l’existence d’un droit d’opposition.
- la mise en place pour le visiteur d’une solution technique lui permettant a posteriori d’obtenir l’effacement de ses données déjà collectées, mais aussi d’empêcher toute nouvelle collecte de données à l’avenir.
Les mesures d’opposition peuvent consister par exemple, en la mise en place d’un site web ou d’une application gratuite, sur lesquels les visiteurs renseignent leur adresse MAC pour s’opposer au traitement. L’entreprise devra bien évidemment aider le visiteur à obtenir son adresse MAC pour que son droit d’opposition soit simple d’utilisation et effectif.
Le droit d’opposition peut également être mis en place via un réseau wifi d’opposition dédié, permettant la collecte automatique de l’adresse MAC des terminaux des visiteurs ne souhaitant pas faire partie du traitement. Si le visiteur exerce son droit d’opposition, le responsable de traitement ne doit pas collecter l’adresse MAC.
Dans une décision de la CNIL de 2015 confirmé par le Conseil d’Etat en 2017[5], la société JC DECAUX n’avait pas été autorisée à mettre en œuvre son dispositif de tracking outdoor sur le parvis de la Défense car la technique employée, consistant en une pseudonymisation des identifiants MAC, n’était pas accompagnée d’un dispositif d’opposition adéquat, les visiteurs étant contraints de désactiver le Wi-Fi sur leur téléphone pour éviter d’être tracé. Ce système d’opposition est donc à exclure selon la CNIL.
Par ailleurs, les visiteurs n’étaient pas effectivement informés du dispositif, car l’information sur le responsable de traitement et des finalités de la collecte devait figurer sur des panonceaux de format A4 alors que les capteurs permettaient de collecter les identifiants MAC dans une circonférence de 25 mètres.
L’information du visiteur doit donc être adaptée au contexte de l’installation du dispositif et aux caractéristiques du traitement.
- Enfin, la CNIL demande aux entreprises utilisant une technique de pseudonymisation fiable de prendre des mesures limitant le risque de collecter des données de visiteurs dont le traitement n’est pas pertinent en veillant à limiter la zone géographique du traitement, et de limiter le risque de ré-identification du visiteur, en veillant à ne pas collecter de données avec un horodatage précis ou à ne pas tenter d’identifier ou de ré-identifier les visiteurs en croisant les données collectées avec celles issues d’un traitement différent.
Si le dispositif mis en œuvre par le responsable de traitement ne respecte pas strictement les critères des deux cas ci-dessus mentionnés, l’entreprise devra obtenir le consentement des visiteurs, préalablement à la collecte et au traitement de ses données. Dans cette hypothèse, l’entreprise devra également mettre en œuvre des solutions techniques permettant aux visiteurs de retirer leur consentement à tout moment. Cette situation devrait moins intéresser les entreprises, qui ont tout intérêt à effectuer des statistiques sur le plus grand nombre d’individus possible, et non pas sur un panel de visiteurs ayant expressément donné leur consentement, limitant considérablement la pertinence de l’analyse.
Depuis l’entrée en application du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018, les formalités de demandes d’autorisation ont disparu. Il n’est donc plus possible pour l’entreprise de demander préalablement à la mise en place d’un dispositif de tracking outdoor une autorisation de la CNIL sur la solution technique envisagée. Les entreprises devront toutefois être en mesure de démontrer, à tout moment, leur conformité aux exigences du RGPD.
Le Cabinet Ubiquity Avocats[6] est à votre disposition pour étudier avec vous les solutions techniques envisageables à l’installation d’un dispositif de tracking outdoor conforme aux recommandations de la CNIL.
***
[1] https://www.cnil.fr/fr/dispositifs-de-mesure-daudience-et-de-frequentation-dans-des-espaces-accessibles-au-public-la-cnil
[2] Avis 06/2014 sur la notion d’intérêt légitime poursuivi par le responsable du traitement des données au sens de l’article 7 de la directive 95/46/CE, Adopté le 9 avril 2014
[3] Avis 05/2014 sur les Techniques d’anonymisation Adopté le 10 avril 2014
[4]https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000034768161&fastReqId=327415067&fastPos=2
[5] https://www.legifrance.gouv.fr/affichCnil.do?&id=CNILTEXT000031159401
https://www.legifrance.gouv.fr/affichJuriAdmin.do?&idTexte=CETATEXT000034017907