Conseil d'État, 10ème - 9ème Chambres réunies, 08 février 2017, n°393714

Par une décision du 8 février 2017, le Conseil d‘Etat a confirmé le refus de la Commission Nationale de l’Informatique et des Libertés (CNIL) d’autoriser l’expérimentation de la société JCDecaux visant à comptabiliser les flux de piétons sur la dalle du quartier d’affaires de La Défense.

JCDecaux, groupe français spécialisé dans le mobilier publicitaire, avait adressé à la CNIL une demande d’autorisation de traitement automatisé de données à caractère personnel afin de procéder au comptage des flux sur la dalle piétonne de La Défense, grâce à l'installation et l'exploitation de boîtiers de comptage Wi-Fi, placés sur des panneaux publicitaires. Ces boîtiers devaient permettre de capter les adresses des appareils mobiles présents dans un rayon de 25 mètres et dont l'interface Wi-Fi était activée.

La finalité du traitement était non seulement d’évaluer le nombre de personnes passant à proximité des panneaux, mais également d’estimer leur parcours et le nombre de fois où les mêmes personnes passaient à ces endroits. 

En juillet 2015, la CNIL avait refusé d’octroyer l’autorisation demandée. Le fait que la société n’envisage pas de recueillir le consentement des piétons ne posait pas de problème du fait de la finalité « déterminée, explicite et légitime » du traitement. Toutefois, la CNIL lui reprochait de ne pas suffisamment informer du traitement les personnes concernées et de ne pas avoir envisagé leurs droits d’opposition, d’accès et de rectification. JCDecaux a alors demandé au Conseil d’Etat d’annuler ce refus pour excès de pouvoir.

La Haute Juridiction administrative confirme l’application de l’article L.581-9 du Code de l’Environnement soumettant à autorisation de la CNIL tout système de mesure automatique de l’audience d’un dispositif publicitaire. Il constate également que, bien qu’une telle collecte ne nécessite aucune intervention des personnes concernées, elle avait le caractère d’une collecte directe, entraînant pour le responsable du traitement une obligation d’information (Article 32-I  de la Loi Informatique et Libertés du 6 janvier 1978).

La question de l’anonymisation des données collectées était ici centrale car une fois anonymisées, celles-ci ne relèvent plus de la protection applicable aux données personnelles.

Or, il découle de la définition de donnée personnelle donnée par la Loi Informatique et Libertés qu’une donnée est rendue anonyme lorsque l’identification de la personne concernée, directement ou indirectement, devient impossible que ce soit par le responsable du traitement ou par un tiers.

En l’espèce, JCDecaux prévoyait d’anonymiser les données collectées grâce à des techniques tronquant et brouillant les adresses MAC (d’après les méthodes de « salage » et de « hachage à clé »). Ainsi, selon la société, le risque d’identification était négligeable. Toutefois, le Conseil d’Etat considère que si ces procédés « visent à empêcher l’accès des tiers aux données, ils laissent le gestionnaire du traitement en mesure de procéder à l’identification des personnes concernées ». L’anonymisation envisagée n’était donc pas complète.

Le Conseil d’Etat constate par ailleurs que le traitement en cause a pour objet d’identifier les déplacements des personnes et leur répétition pendant toute la durée de l’expérience. La CNIL, avait donc correctement estimé que les objectifs mêmes de la collecte de ces données étaient incompatibles avec une anonymisation des informations recueillies.

Dès lors que les dispositifs proposés n'avaient pas pour effet de rendre anonymes les données, le Conseil d’Etat valide l’analyse de la CNIL qui a considéré que l'information prévue par le projet était insuffisante : celle-ci consistait en l’affichage d’une feuille A4 sur le mât des panneaux publicitaires. Or, l’ensemble des personnes concernées passant dans un rayon de 25 mètres ne pouvait pas en prendre effectivement connaissance. En conséquence, l’autorisation du traitement devait être refusée.

Cette solution peut-être rapprochée des dispositions du projet de Règlement e-Privacy publié le 10 janvier 2017 par la Commission Européenne. Celui-ci vise à encadrer la collecte des informations émises par les terminaux électroniques, notamment celles visant la localisation des individus et la détection de visites répétées dans des lieux spécifiques. Le projet soumet ces pratiques à une information bien visible en bordure de la zone de couverture afin d’informer les individus avant leur entrée dans la zone en cause (considérant n°25 du projet).