Données personnelles - Le Conseil d'Etat interdit à JCDecaux de pister les utilisateurs de Wifi
JCDecaux n'avait pas obtenu de la Cnil en 2015 l'autorisation d'exploiter un système de suivi des passages devant ses panneaux publicitaires ; le système de borne Wifi mis en place ne garantissait pas le respect des règles en vigueur sur l'usage de données personnelles. Un contentieux qui rappelle que les systèmes permettant de suivre les déplacements ne sont pas sans impliquer des enjeux légaux importants. Certaines collectivités ont, pour leur part, trouvé des parades.
Il s'agissait, pour JCDecaux, d'améliorer la valorisation de son affichage publicitaire en quantifiant l'audience captée par ses panneaux du parvis de la Défense. Via six boîtiers Wifi situés à des emplacements différents de la zone, le dispositif pouvait capter les adresses MAC (identifiants physiques) des appareils électroniques situés dans un rayon de 25 mètres et, de borne en borne, suivre leurs déplacements ainsi que la fréquence de ceux-ci. Un ensemble de données personnelles sur les passants qui ne faisaient l'objet d'aucune notification ou demande d'autorisation. Afin de s'affranchir des contraintes pesant sur l'exploitation des données personnelles, JCDecaux avait mis au point un système d'anonymisation basé sur la modification des adresses MAC collectées, dit de "salage", puis de "hachage à clé". Cependant, afin de suivre les déplacements et les fréquences de passage, la société conservait bien un identifiant unique, quoique modifié, pour chaque détenteur d'appareil électronique. Une pratique que la Cnil, puis après elle le Conseil d'Etat, n'ont pas jugée régulière. L'institution du Palais Royal de conclure que "les objectifs mêmes de la collecte des données par la société JCDecaux France étaient incompatibles avec une anonymisation des informations recueillies".
Une polémique avait éclaté en 2013, dans la City de Londres, sur une base semblable ; on avait découvert que des poubelles publiques, équipées d'écrans publicitaires, déployaient le même type de comptabilisation des flux piétonniers. Le dispositif avait traqué 500.000 appareils lors de sa première semaine d'utilisation ; les autorités de la City of London avaient rapidement appelé à son démantèlement.
Paris et Strasbourg comptent les passants avec des procédés d'anonymisation plus fiables
La conclusion du Conseil d'Etat pourrait cependant sembler inquiétante pour les collectivités. Si le suivi électronique des déplacements et de leur fréquence sont incompatibles avec un traitement anonymisé, ce sont de nombreuses opportunités d'innovation dans le domaine des transports, de l'urbanisme, et de la gestion urbaine en général, qui pourraient se trouver compromises. Cependant, certaines villes françaises ont déjà mis au point des solutions alternatives à même d'assurer un suivi des flux plus respectueux de la vie privée.
À Paris, les expérimentations menées dans le cadre du réaménagement de la place de la Nation ont fait appel à un suivi vidéo du déplacement des piétons : des caméras intelligentes, mais de très basse résolution, à même de détecter un mouvement sans pour autant permettre quelconque identification faciale.
Au sein de l'eurométropole de Strasbourg, c'est un système à base de Wifi qui a été retenu, comme dans le cas de JCDecaux ; mais la comparaison s'arrête là. En partenariat avec le service Wifilib d'Afone, la métropole a décidé d'implantations de bornes Wifi assurant un service d'accès au web pour le grand public. L'usage d'un tel portail permet aux utilisateurs de saisir quelques informations rudimentaires (sexe, âge, langue) et d'approuver des conditions d'utilisation stipulant l'usage futur de leurs données anonymisées. C'est ainsi que l'eurométropole a pu amorcer l'exploitation de bases de données fines, fournissant des informations sur les déplacements des usagers ; une aide à la décision unique pour améliorer la sécurité des espaces publics, piloter des événements à très forte fréquentation tels que le marché de Noël, ou encore adapter les projets urbains de la collectivité. Preuve que l'innovation numérique peut se conjuguer efficacement avec le respect des données personnelles. Les collectivités devront sur ce point redoubler d'attention, alors que le nouveau paquet de règlementations européennes sur les données à caractère personnel, plus protecteur pour les usagers, entrera en vigueur en mai 2018.