Par Emérance CHAMBAUD et Gerard HAAS
Aujourd’hui, la possession d’un smartphone par une large partie de la population a permis aux magasins et marques de développer de nouveaux moyens de parvenir jusqu’au consommateur. Aux dépends du RGPD ?
1. La mesure de fréquentation d'un lieu
Dans un premier temps, c’est uniquement grâce à l’analyse et la cartographie des flux et de la fréquentation des grands magasins centres commerciaux et plus précisément des rayons. Il est possible alors de connaitre le parcours du consommateur, ses allées et venues, ses répétitions. Cela est possible grâce à des systèmes de traçage Wi-Fi qui repèrent les smartphones à proximité et récoltent les données émises. L’adresse MAC du téléphone est alors collectée, permettant d’identifier l’appareil, et ainsi indirectement son propriétaire.
Dans ce cas-ci, uniquement pour mesurer l’audience et la fréquentation des espaces publics sans ciblage ni vocation publicitaire, la CNIL recommande une anonymisation dans les 5 minutes suivants la collecte, avec une information délivrée aux personnes par le biais d’une affichette visible (sur le modèle de celle pour la vidéosurveillance), renvoyant à une information plus complète, notamment sur internet. La CNIL rappelle également que la personne doit pouvoir s’opposer préalablement à ce traitement.
Il est également possible de pseudonymiser immédiatement les données puis de les anonymiser ou de les détruire sous 24 heures. Dans ce cas, l’information des personnes doit être plus complète et présente sur plusieurs supports (affichette, site internet, campagne de communication spécifique), et la personne doit pouvoir exercer ses droits d’opposition, d’accès, de rectification et d’effacement.
Dans les autres cas, le recueil du consentement préalable est nécessaire, accompagné d’une information complète et diffusée sur plusieurs canaux, et de la possibilité pour les personnes concernées d’exercer leurs droits.
Enfin, la CNIL rappelle que pour tout dispositif installé sur la voie publique ou privée ouverte à la circulation publique, une autorisation préalable est nécessaire, ainsi qu’une étude d’impact.
Dans un second temps, des sociétés se sont spécialisées dans des dispositifs marketing, et proposent des solutions plus poussées, permettant de recueillir, outre l’adresse MAC du smartphone, son identifiant publicitaire et les données de géolocalisation, avec l’objectif final de proposer des publicités ciblées.
La CNIL multiplie ses contrôles sur ce type de dispositif.
Tout d’abord en juillet 2015, la CNIL refuse d’autoriser JCDecaux à installer sur le parvis de la défense un dispositif permettant de cartographier les flux et la fréquentation de la dalle piétonne pendant quatre semaines grâce à des boitiers de comptage Wi-Fi installés sur les mobiliers publicitaires par Fidzup. Était prévue la collecte de l’adresse MAC, la puissance du signal Wi-Fi permettant d’extrapoler la position, et l’horodatage, avec une anonymisation quasiment immédiate par un hachage en utilisant le sel propre de JCDecaux. La masse brute de données devait être conservée pendant 15 jours à compter de la fin de l’expérimentation.
Cependant, la CNIL a noté que l’anonymisation n’était pas irréversible, car JCDecaux pouvait rejouer le procédé de chiffrement. Sans anonymisation, la loi Informatique et Libertés trouve à s’appliquer, le dispositif ne présentait alors pas de garanties suffisantes. Seule une affichette sur le mobilier publicitaire informerait les personnes du dispositif en cours, et aucun moyen ne permettrait de s’y opposer. Le traitement s’opérerait en conséquence à l’insu des personnes concernées.
Ce sont ensuite les sociétés Fidzup et Teemo qui ont été mises en demeure en juin 2018, pour les traitements de données de localisation mis en œuvre.
Leur technologie SDK est intégrée aux applications de leurs clients. Celle-ci collecte les données des utilisateurs, adresse MAC du smartphone, son identifiant publicitaire et données de localisation, même lorsque l’application n’est pas en fonctionnement. Ces données sont ensuite croisées avec des points d’intérêts déterminés, par exemple des enseignes de magasin. Et conservées pendant 13 mois.
L’objectif est d’afficher des publicités personnalisées sur les smartphones et de mesurer les visites en magasin.
La CNIL a considéré que Fidzup et Teemo étaient responsables de traitement. La collecte des données permettait d’identifier indirectement les personnes concernées. Le consentement des personnes n’était pas valablement recueilli, et en conséquence, le traitement ne reposait sur aucune base légale. L’information sur la collecte des données de localisation n’informait ni de la finalité de ciblage publicitaire ni de l’identité du responsable de traitement. Et était faite uniquement a posteriori, par des affichettes en magasin et des CGU accessibles sur internet.
Les personnes n’avaient aucun moyen d’exercer leurs droits, et notamment celui de s’opposer préalablement au traitement, car le traceur SDK est indissociable de l’application.
Teemo a induit quelques changements qui ont été validés par la CNIL. Sur le recueil du consentement, des bannières explicites s’affichent au moment de l’installation de l’application, et avant la collecte des données, informant de la finalité du traitement, de l’identité du responsable de traitement et des données collectées. Il est alors possible de refuser cette collecte et de continuer à utiliser l’application normalement, ce seront alors des publicités non ciblées qui s’afficheront. Les données sont elles conservées en trois périodes distinctes, de 30 jours pour les données brutes à 12 mois pour les données dégradées.
Enfin, tout récemment fin octobre, c’est SINGLESPOT qui est mise en demeure pour les mêmes motifs, c’est-à-dire recueillir valablement le consentement et conserver les données pour une durée adéquate, mais cette fois-ci avec un contrôle qui a eu lieu après l’application du RGPD. La même technologie SDK est utilisée au sein de 25 applications partenaires. Les données de localisation sont collectées tous les 200 mètres sur Apple ou toutes les 5 minutes sur Android, puis croisées avec les points d’intérêts. Ces données sont conservées 13 mois à partir de leur collecte.
La CNIL relève que les personnes concernées ne peuvent consentir valablement aux traitements réalisés par SINGLESPOT. Un seul consentement global est collecté au moment de la mise en route de l’application. Sans possibilité de refuser, à moins de désinstaller l’application. Et aucune information précise et complète n’est communiquée.
SINGLESPOT a trois mois pour se mettre en conformité.
, Le Cabinet HAAS Avocats accompagne depuis plus de 20 ans ses clients dans leur transition digitale ainsi que dans la mise en conformité de leurs traitements, le cabinet a reçu de la CNIL trois labels : deux de formation et un en audit de traitement.
Vous souhaitez en savoir plus sur nos prestations d’accompagnement en cette matière ? Contactez-nous en cliquant ICI.