Les données ne sont pas anonymes lorsqu’il demeure possible d’individualiser une personne en recoupant les données collectées avec d’autres données ou lorsque le responsable de traitement peut remonter le process de chiffrement.
C’est à la lumière de ce principe que la CNIL puis le Conseil d’Etat ont refusé d’autoriser un traitement de données personnelles dont les modalités n’étaient pas portées à la connaissance des personnes concernées.
1) Le traitement de données personnelles envisagés par JCDecaux
Le 4 février 2015, la société JCDecaux a déposé une demande d’autorisation auprès de la CNIL afin d’installer six boîtiers de comptage Wi-Fi sur ses mobiliers publicitaires à La Défense. Ces boîtiers devaient permettre de collecter toutes les adresses MAC des appareils mobiles dont l’interface Wi-Fi était activée, présents dans un rayon de 25 mètres autours des différents encarts publicitaires.
La finalité du traitement était de mesurer les volumes de fréquentation, les taux de répétition et les schémas de mobilité des passants.
JCDecaux affirmait que ce nouveau type d’installations automatisées permettrait de récolter des informations relatives à l’audience, que les installations traditionnelles ne permettent pas d’obtenir. La société faisait valoir que « la valorisation de tout support publicitaire auprès des annonceurs, et ainsi la capacité à vendre des espaces publicitaires et à optimiser leur prix par rapport aux autres supports publicitaires, requiert la connaissance de son audience ». En outre, cela lui aurait permis de « saisonnaliser la communication » pour la rendre plus dynamique.
Une fois l’adresse MAC détectée, celle-ci devait faire l’objet d’un salage (visant à tronquer le dernier demi-octet), et d’un hachage. Pour JCDecaux, il s’agissait d’une technique d’anonymisation permettant d’alléger les formalités relatives à l’information des personnes.
Le 16 juillet 2015, la CNIL, dans sa Délibération n°2015-255 a considéré qu’il s’agissait d’une mesure de pseudonymisation et non d’anonymisation et a refusé, au regard d’une information des personnes insuffisante, d’accorder son autorisation pour la mise en œuvre de ce traitement. La société JCDecaux a donc décidé de saisir le Conseil d’Etat qui, dans un arrêt du 8 février 2017, a refusé d’annuler la délibération de la CNIL.
2) La légalité du traitement
Dans sa délibération du 16 juillet 2015, la CNIL a d’abord étudié la légalité du traitement au regard des articles 6 et 7 de la loi du 6 janvier 1978.
L’article 7 de la loi de 1978 prévoit que le responsable de traitement doit recueillir le consentement de la personne concernée ou à défaut se fonder sur l’un des cinq cas visés au même article. Une des exceptions au consentement est « l’intérêt légitime poursuivi par le responsable de traitement ». En l’espèce, JCDecaux ne prévoyait pas de recueillir le consentement des personnes. Sur l’intérêt légitime du responsable de traitement, la CNIL a considéré que la volonté de JCDecaux d’expérimenter de nouvelles techniques pour obtenir des données qui ne pouvaient pas être obtenues par des méthodes classiques, était légitime. Le Conseil d’Etat a confirmé ce raisonnement.
La CNIL a par ailleurs admis que la finalité déclarée était correctement déterminée, explicite et légitime. S’agissant de la nature des données traitées, elle a considéré « qu’eu égard à la portée de l’expérimentation, limitée dans l’espace et dans le temps (…) », les données collectées étaient adéquates, pertinentes et non excessives au regard de la finalité.
3) L’insuffisance de la méthode d’anonymisation
La CNIL a considéré « que le procédé présenté ne saurait être qualifié de technique d’anonymisation, notamment du fait que la société JCDecaux est en mesure de rejouer le procédé de chiffrement, cette société utilisant un sel qui lui est propre et connu, et en raison du faible taux de collision proposé ».
Selon la CNIL, le projet de JCDecaux présentait une technique de pseudonymisation et non une technique d’anonymisation. A la lecture de l’arrêt du Conseil d’Etat, il semblerait que JCDecaux ait contesté cette distinction en reprochant à la CNIL de se fonder sur un avis du G29. Le Conseil d’Etat indique que la CNIL était tout à fait en droit de prendre en compte l’avis du G29 du 10 avril 2014, mais que dans la mesure où la CNIL ne cite pas cet avis dans sa décision, et où elle a analysé l’efficacité et les limites de la technique d’anonymisation présentée par JCDecaux, il ne peut lui être reproché d’avoir opéré la distinction anonymisation/pseudonymisation. Néanmoins, le Conseil d’Etat en profite pour affirmer clairement que les avis du G29 sont dépourvus de valeur normative.
Le Conseil d’Etat valide la position de la CNIL en se fondant sur l’article 2 de la loi de 1978 (« Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. ») et juge que les données ne sont pas anonymes « lorsqu’il demeure possible d’individualiser une personne ou de relier entre elles des données résultant de deux enregistrements qui la concernent ».
Par conséquent, le traitement de telles données non anonymisées, se devait respecter les droits des personnes concernées.
4) L’information et les droits des personnes concernées
Pour satisfaire à son obligation légale d’informer les personnes de la nature et de l’étendue du traitement de leur données, JCDecaux prévoyait une affiche A4 sur ses mobiliers publicitaires mentionnant l’identité du responsable du traitement et la finalité poursuivie par le traitement (information limitée du fait que JCDecaux pensait que son projet reposait sur une méthode d’anonymisation des données).
Or, dans la mesure où chaque capteur devait recueillir des données sur un rayon de 25 mètres, la CNIL a justement considéré que les personnes concernées n’auraient pas forcément accès à l’information.
Les données n’étant que pseudonymisées, toutes les informations visées par l’article 32 de la Loi Informatique et Libertés auraient, en tout état de cause, dues être portées à la connaissance des passants. Or, ceux-ci n’étaient notamment pas informés de leur possibilité d’accéder à leurs données collectées ou de s’opposer au traitement.
Par conséquent, le Conseil d’Etat a confirmé la position de la CNIL qui avait considéré que le traitement envisagé n’était pas loyal au regard de l’article 6 de la loi de 1978.
5) Conclusion
Aucune technique ne permettant d’anonymiser à 100% les données, il est recommandé soit d’informer les personnes de manière complète, soit de recueillir l’avis de la CNIL sur le procédé d’anonymisation envisagé avant d’avancer dans un tel projet (comme en matière de données sensibles).
Charlotte GALICHET