Les panneaux d’affichage s’exposent au RGPD

Les dispositifs qui renseignent sur le comportement des individus sont parfois soumis à la réglementation sur la protection des données personnelles.

BLUETOOTH

Dans une décision de 2008, certes antérieure à l’entrée en application du RGPD mais pertinente au regard de la pratique décisionnelle de la Cnil, cette dernière avait déjà considéré que l’adresse physique de l’interface du portable et l’identifiant Bluetooth du téléphone devaient faire partie des données à caractère personnel. La Cnil estimait aussi que l’envoi de messages publicitaires sur des téléphones mobiles par Bluetooth constituait une prospection directe au moyen d’un courrier électronique, soumise aux dispositions de l’article L.34-5 du code des postes et communications électroniques.

MESURE D’AUDIENCE

En août 2014, la Cnil a eu l’occasion de se prononcer sur les technologies qui mesurent l’audience de panneaux publicitaires notamment. L’autorité de protection a constaté que ces dispositifs reposent sur des caméras placées sur les panneaux dont le but est, d’une part, de comptabiliser les personnes captivées par la publicité et le temps passé devant celle-ci et, d’autre part, de collecter des données d’analyse comportementale en suivant, par exemple, les déplacements du regard sur la publicité. Elle ajoutait que ces dispositifs étaient soumis à un régime d’autorisation préalable de la Cnil selon l’article L581-9 du code de l’environnement issu de la loi du 12 juillet 2010, dite Grenelle II. Le régime de l’autorisation de traitement a disparu depuis l’entrée en application du RGPD. Néanmoins, un tel dispositif serait aujourd’hui soumis à l’obligation de réalisation d’une analyse d’impact, au sens et selon les prescriptions du RGPD. Par ailleurs, la Cnil conseillait que des mesures d’anonymisation soient prises afin de garantir un traitement à la volée des données collectées : les images ne devaient pas être conservées ni transmises à des tiers ou encore visibles par les prestataires proposant ces dispositifs. De plus, une information claire devait être délivrée aux consommateurs afin de leur notifier la finalité du dispositif ainsi que l’identité du responsable de traitement (par voie d’affichage).

CAS CLIENT

En conséquence, la société JCDecaux avait saisi la Cnil d’une demande d’autorisation visant à intégrer à ses panneaux publicitaires placés sur l’esplanade de la Défense, un boîtier permettant de capter, dans un rayon de 25 m :

• l’adresse MAC (dont le dernier demi-octet serait « tronqué avant d’être haché en utilisant un sel propre » à JCDecaux) de tout appareil mobile (dont la connexion WiFi est activée) ;
• l’horaire exact de leur détection ;
• la puissance d’émission du WiFi.

La Cnil avait refusé d’accorder l’autorisation sollicitée par JCDecaux car elle considérait que :

• le processus de hachage et de salage utilisé par JCDecaux ne garantissait pas l’anonymisation des données, et qu’il correspondait davantage à une technique de pseudonymisation ;
• les mesures d’informations prévues (affichage d’un panonceau A4) étaient insuffisantes et incomplètes.

JCDecaux avait saisi le Conseil d’État, qui avait, par une décision du 8 février 2017, confirmé le refus d’autorisation de la Cnil. Ainsi, il apparaît que le déploiement de panneaux intelligents qui réalisent la traçabilité, notamment en matière de comportement des personnes passant à proximité, doit être précédé de la mise en oeuvre des dispositions du RGPD relatives aux mesures de protection par défaut, d’une part, et de l’examen de l’éventuelle nécessité de réaliser une analyse d’impact, d’autre part.