JCDecaux ne pourra pas pister les smartphones des passants

L'entreprise spécialisée dans les affichages publicitaires a connu un revers en justice auprès du Conseil d'Etat. Son projet de géolocalisation et de suivi des smartphones sur le parvis de La Défense, à Paris, ne pourra pas voir le jour. La CNIL avait déjà émis un avis négatif sur le sujet, avis que le géant de la publicité a tenté de renverser devant le Conseil d'Etat.

Le projet visait à connaître les habitudes des piétons sur le parvis de La Défense, en identifiant les téléphones par le biais de bornes Wi-fi ; mais il a suscité des inquiétudes en termes de vie privée.

Identifier les smartphones grâce à l'adresse MAC


JCDecaux avait lancé le projet en 2015 et avait demandé l'autorisation de la CNIL, seul organisme en mesure de l'autoriser à capter des données personnelles et identifier des appareils. L'idée était simple : grâce à des bornes Wi-fi capables de capter les adresses MAC uniques des smartphones dont le Wi-fi était activé, l'entreprise aurait été en mesure de géolocaliser ces mêmes smartphones et d'analyser les déplacements des piétons.

Les bornes, installées sur les panneaux publicitaires, devaient avoir une portée de 25 mètres, afin de couvrir l'intégralité de la dalle. Nombre de passants, habitudes de consommation... tout était envoyé au prestataire, la société Fidzup, puis analysé. Mais la CNIL, dès juillet 2015, a estimé que l'entreprise ne communiquait pas assez auprès des passants concernant cette nouvelle technologie. De plus, la Commission avait identifié un problème dans l'anonymisation des données.

Cnil


Le Conseil d'Etat donne raison à la CNIL contre JCDecaux


Selon la Cnil, la possibilité pour JCDecaux de savoir si un même smartphone se trouvait plusieurs fois sur la dalle de La Défense était un problème : cela supposait que le smartphone était identifiable au sein d'un groupe de données. La possibilité de tracer le trajet d'un smartphone en se basant sur les données de plusieurs bornes Wi-fi revenait à pouvoir l'identifier et l'isoler. JCDecaux avait estimé suffisant le fait de crypter le dernier demi-octet de l'adresse MAC par un processus interne, mais la CNIL n'était pas du même avis. Elle avait donc mis son véto sur le projet.

Mercredi 8 février 2017, le Conseil d'Etat, saisi de la question par JCDecaux, a émis le même avis que la CNIL. « La CNIL, dès lors qu'elle estimait que les dispositifs proposés n'avaient pas pour effet de rendre anonymes les données, a relevé à bon droit que le projet de traitement entrait dans le champ d'application des dispositions de droit commun en matière d'information des personnes concernées [...] La société JCDecaux France n'est pas fondée à demander l'annulation de la délibération qu'elle attaque », ont écrit les juges dans leur verdict.

Le projet de JCDecaux ne pourra donc pas voir le jour, tout du moins sous cette forme.

Modifié le 13/02/2017 à 18h05
Commentaires