Arrêt rendu par le Conseil d’Etat le 8 février 2017 (10ème et 9ème ch. réunies, n°393.714).
La société JCDecaux entendait mesurait les flux piétons passant devant ses panneaux publicitaires installés sur la dalle de La Défense en utilisant des boîtiers de comptage Wi-Fi qui captaient les adresses des appareils mobiles présents à moins de 25 mètres et dont l’interface Wi-Fi était activée.
L’objectif était de mieux évaluer l’audience des panneaux publicitaires afin de les valoriser auprès des annonceurs.
Ce traitement était soumis à l’autorisation de la CNIL en application de l’article L.581-9, dernier alinéa du Code de l’environnement, qui soumet à une telle autorisation « tout système de mesure automatique de l’audience d’un dispositif publicitaire ou d’analyse de la typologie ou du comportement des personnes passant à proximité d’un dispositif publicitaire » situé dans une agglomération.
Or, la CNIL a refusé d’accorder son autorisation et sa décision a été confirmée par un arrêt rendu par le Conseil d’Etat le 8 février 2017 (10ème et 9ème ch. réunies, n° 393.714).
En principe, un traitement de données à caractère personnel nécessite le consentement des personnes concernées (art. 7 de la loi Informatique et libertés).
En l’espèce, il ne fait pas de doute que, si l’adresse MAC d’un terminal mobile identifie une machine et non un utilisateur (comme l’adresse IP), elle permet d’identifier indirectement une personne (si elle est associée à d’autres informations).
Elle constitue donc, comme l’adresse IP, y compris l’adresse IP dynamique (CJUE, 19 octobre 2016 ; Cass. Civ. I, 3 novembre 2016, n° 15-22.595 ; Voir not., parmi une littérature foisonnante, V. Gibello, L’adresse IP, une donnée à caractère personnel, Village de la Justice, 16 novembre 2016), une donnée à caractère personnel.
Toutefois, l’article 7, 5° de la loi Informatique et libertés permet de se dispenser du consentement des personnes concernées si le traitement de données à caractère personnel réalise « l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée ».
Pour décider qu’il en était ainsi, la CNIL a relevé que la portée de l’expérimentation était limitée à la fois dans le temps (4 semaines) et dans l’espace, ce qui « a certainement joué en faveur de sa légalité, ajouté au fait que la zone en question interdisait d’utiliser des moyens classiques pour connaître l’audience des dispositifs publicitaires.
La CNIL avait également relevé qu’aucune décision ne serait prise sur la base de ce traitement à l’égard des personnes concernées, ni qu’il en résulterait un ciblage commercial à leur égard.
L’inverse aurait peut-être présidé à un refus d’autorisation sur d’autres fondements, en l’absence du consentement des intéressés » (J.-G. de Ruffray, Données personnelles. Mesures d’audience : anonymisation et droit à l’information, Expertises, mai 2017, p.185-189, spéc. p.186).
Mais le caractère « déterminé, explicite et légitime » de la finalité du traitement, s’il permet d’échapper à l’exigence du consentement des intéressés, n’autorise pas à méconnaître leur intérêt ou leurs droits et libertés fondamentaux (art.7, 5° préc.).
Or, les obligations qui en résultent ne sont pas les mêmes selon que les données recueillies sont anonymisées ou pseudonymisées : dans le premier cas, les principes de protection des individus ne s’appliquent pas, alors qu’en cas de pseudonymisation, il convient de respecter les droits des individus, notamment le droit de s’opposer au traitement et d’être informé de manière satisfaisante des conditions de sa mise en œuvre.
Or, la CNIL, comme le Conseil d’Etat ont estimé que le traitement ne permettait pas une anonymisation (V. A. Quin, La notion d’anonymisation des données à caractère personnel, Blog d’Altajuris), de sorte que les intéressés devaient être informés de leurs droits.
Annabel QUIN,
Maître de conférences à l’Université de Bretagne-Sud
Ancienne avocat au Barreau de Paris
Mise en ligne: 18/09/2017