Petit logo

La CNIL rappelle les règles

Bannière
Picto

Dispositifs de mesure d’audience et de fréquentation dans des espaces accessibles au public

De plus en plus de d’entreprises ont recours à des dispositifs collectant des données depuis les terminaux mobiles (téléphones portables, smartphones, etc.) afin de mesurer l’audience de panneaux publicitaires ou la fréquentation au sein d’espaces accessibles au public. La CNIL fait le point sur les règles applicables à ces dispositifs et accompagne les professionnels dans le développement de solutions respectueuses de la vie privée.

Rappel du périmètre

Les précisions qui suivent concernent uniquement les dispositifs utilisés pour élaborer des statistiques agrégées et anonymes à partir de données personnelles telles que l’identifiant d’un téléphone (adresse MAC par exemple).
Exemple : mesure d’audience au cours du temps d’un espace spécifique, analyse de flux de personnes pour déterminer des zones denses (dites zones chaudes) ou peu denses (dites zones froides), etc., en captant des informations émises par leurs appareils.

Ces précisions ne concernent donc pas les dispositifs ne collectant pas de données personnelles, par exemple, un tapis qui compte simplement le nombre de pas des piétons, sans autre moyen de les identifier, ou encore un tourniquet automatique qui ne fait que compter le nombre de passage sans reconnaître ni identifier les personnes concernées.

Elles ne concernent pas non plus les dispositifs qui ont pour objet de cibler des personnes, considérés comme plus intrusifs et nécessitant des garanties particulières définies au cas par cas. Exemple : amélioration de la connaissance client, prospection commerciale, etc.
Quel encadrement pour les systèmes réalisant un suivi des visiteurs ?

Dans un centre commercial ou sur la voie publique, des boîtiers peuvent capter les données émises par les téléphones portables et en déduire la position géographique et les trajets des personnes.

Dans les centres commerciaux, ils permettent :

• D’établir des statistiques de fréquentation, pour savoir combien de personnes ont fréquenté un centre commercial sur une certaine plage horaire ;
• De modéliser les trajets des personnes à l'intérieur du centre commercial ;
• De calculer des taux de répétition des visites.


Dans les espaces publics, ils permettent :

• De déterminer combien de personnes sont passées devant un dispositif de mesure de fréquentation (un panneau publicitaire par exemple) ;
• De déterminer les trajets de ces personnes d’un panneau à un autre ;
• D’estimer le temps d’attente dans une file ;
• D’évaluer le nombre de véhicules roulant sur une voie, etc.

Trois cas de figure

1 - Si les données sont anonymisées à bref délai (dans les minutes suivant leur collecte)
Définition
L’anonymisation est un traitement de données à caractère personnel spécifique dont la conséquence est que les personnes dont on traite les données ne sont plus identifiables. Il doit répondre à un certain nombre de critères, rappelés par le G29 dans son avis de 2014 sur les techniques d’anonymisation, notamment assurer un taux de collision élevé entre plusieurs individus. Par exemple, pour les dispositifs de mesure d’audience basés sur l’adresse MAC, le traitement doit permettre à de nombreuses adresses MAC de correspondre à l’issu du traitement à un seul identifiant.
La notion de bref délai s’entend ici comme le temps nécessaire aux machines pour réaliser les opérations d’anonymisation afin de limiter le risque qu’un humain puisse, avec des moyens raisonnables, accéder aux données identifiantes. La CNIL préconise à ce titre une durée maximale de cinq minutes au-delà de laquelle aucune donnée identifiante ne doit être conservée. Un traitement d’anonymisation présente l’avantage d’assurer un haut niveau de protection de la vie privée des personnes.
La base légale
Le responsable de traitement peut retenir la réalisation de l’intérêt légitime comme base légale du traitement (article 7.5 de la loi Informatique et libertés et 6(1) a du RGPD).
L’information des personnes
Dans ses lignes directrices sur la transparence, le CEPD (Comité européen de la protection des données) précise que l’information préalable des personnes peut être réalisée à deux niveaux.
• Dans le cadre d’une anonymisation à bref délai, l’impact du traitement sur les personnes est moindre. Aussi, le premier niveau d’information peut se limiter à mentionner la finalité du traitement, l’identité du responsable de traitement et l’existence des droits pour les personnes.
Cela peut se traduire par une mention de type :
« Un dispositif de mesure d’audience du centre commercial est mis en place par la Société A. Les données à caractère personnel collectées sont anonymisées dans un délai très court. Pour vous opposer à la collecte de vos données, rendez-vous à l’adresse suivante http://societeA.com/opposition. Vous pouvez consulter les caractéristiques de ce dispositif à l’adresse suivante http://societeA.com/vieprivee. »
• Dans le second niveau d’information, les personnes doivent pouvoir prendre connaissance des informations prévues à l’article 32 de la loi Informatique et libertés (article 13 du RGPD). La CNIL rappelle que ces dernières doivent être adaptées au contexte de réalisation et aux caractéristiques du traitement.
Les droits des personnes
La CNIL rappelle qu’un traitement d’anonymisation des données pour suivre le parcours des clients d’un centre commercial par exemple, ne nécessite pas, par nature, d’identifier ces personnes. Compte tenu de cette contrainte liée à la particularité de ce type de traitement et conformément à l’article 11 du RGPD, il n’est pas utile de prévoir l’exercice des droits d’accès, de rectification, et de limitation
En revanche, l’exercice du droit d’opposition préalable devra quant à lui, être prévu.
2 - Si les données sont immédiatement pseudonymisées puis anonymisées ou détruites au bout de 24h
Définition
L’article 4 du règlement européen relatif à la protection des données définit la pseudonymisation comme un traitement réalisé sur les données personnelles de « façon à ce que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ».
La base légale
Le responsable de traitement peut retenir la réalisation de l’intérêt légitime comme base légale du traitement sous réserve de mettre en place :
• Une information préalable des personnes ;
• Des mécanismes d’opposition préalables accessibles, fonctionnels, simples d’utilisation et réalistes,
• Des modalités permettant aux personnes d’exercer leurs droits d’accès, de rectification et d’opposition a posteriori ;
• Des mesures techniques de protection de la vie privée, consistant notamment en un mécanisme de pseudonymisation fiable des adresses MAC (avec suppression des données brutes) qui doit nécessairement faire intervenir un sel ou une clé. En fin de journée, les données pesudonymisées doivent être anonymisées ou détruites.
L’information des personnes
L’information prévue à l’article 32 de la loi Informatique et libertés (article 13 du RGPD) doit être visible par les personnes, en tenant compte du contexte de mise en place du dispositif. Elle peut se faire par exemple en multipliant les supports d’information (par affichage par exemple) qui peuvent être situés aux points d’entrée et de sortie des centres commerciaux, sur les bornes wifi, sur chaque dispositif publicitaire (pour les traitements sur la voie publique), sur le site internet du centre commercial, via une campagne de communication spécifique, etc.
Les droits des personnes
Les personnes passant à proximité du dispositif doivent pouvoir s’opposer à la collecte et au traitement de leurs données personnelles.
Les solutions techniques permettant aux personnes d’exercer ce droit de manière simple doivent être développées par les sociétés décidant d’installer les dispositifs.
Ces solutions doivent non seulement permettre d’obtenir l’effacement des données déjà collectées (exercice du droit d’opposition a posteriori), mais aussi empêcher toute nouvelle collecte des données concernant la personne passant à proximité du dispositif pour l’avenir (mécanisme d’opposition préalable).
Le droit d’opposition peut être recueilli à partir :
• D’un site Web ou d’une application dédiée sur lequel les personnes renseignent leur adresse MAC pour s’opposer au traitement. Lorsque la personne exerce son droit d’opposition par ce biais, le responsable de traitement doit supprimer les données déjà collectées, et ne doit par la suite plus collecter de données associées à cette adresse MAC. Par ailleurs pour que les personnes puissent exercer leur droit d’opposition, le responsable de traitement doit leur préciser comment faire pour obtenir l’adresse MAC de leurs téléphones. L’application ou le site Web doivent être accessibles sans frais supplémentaire, et depuis tous les terminaux concernés par le traitement.
• D’un réseau wifi d’opposition dédié qui permet la collecte automatique de l’adresse MAC des terminaux à des fins d’opposition. Lorsque la personne exerce son droit d’opposition par ce biais, le responsable de traitement doit supprimer les données déjà pseudonymisées et ne doit pas la suite plus collecter l’adresse MAC. Il est recommandé de diffuser un nom de réseau clair et explicite tel que « wifi_tracking_optout ».
La désactivation du WiFi sur le téléphone ou toute technique contraignant les passants à se priver d’une fonctionnalité de leur appareil pour éviter d’être tracé ne peut être considérée comme une modalité satisfaisante d’exercice du droit d’opposition.
3 - Dans tous les autres cas
La base légale
Si le dispositif mis en œuvre par le responsable de traitement ne respecte pas strictement les critères des deux cas précédents, seul le consentement des personnes peut être retenu comme base légale du traitement (article 7 de la loi Informatique et libertés, article 6 du RGPD). Ce consentement peut être obtenu par tout moyen (par exemple, connexion à un réseau wifi spécifique, téléchargement d’une application spécifique, inscription via un site web dédié, « badgeage » du terminal auprès d’une borne NFC). Ce consentement doit être informé (les personnes doivent être informées conformément au point ci-dessous avant de consentir), libre (les personnes doivent pouvoir choisir librement de consentir ou non, et ne doivent pas souffrir de conséquences négatives si elles ne consentent pas) et spécifique (le consentement ne doit concerner que le traitement de suivi et ne peut être inclus dans l’acceptation de CGU par exemple).
L’information des personnes
L’information doit être visible par les personnes quel que soit le contexte de réalisation du traitement. Elle peut se faire par exemple en multipliant les canaux d’information qui peuvent être situés aux points d’entrée et de sortie des centres commerciaux, sur les bornes wifi, sur chaque dispositif publicitaire (pour les traitements sur la voie publique), sur le site internet du centre commercial, via une campagne de communication spécifique, etc.
L’information doit concerner :
• L’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
• La finalité poursuivie par le traitement auquel les données sont destinées ;
• Les destinataires ou catégories de destinataires des données ;
• Les droits dont dispose la personne : droit d’accès, de rectification et d’opposition;
• Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat non-membre de la Communauté européenne ;
• La durée de conservation des catégories de données traitées ou, en cas d'impossibilité, des critères utilisés permettant de déterminer cette durée.
Les droits des personnes
Le traitement étant basé sur le consentement des personnes, celles-ci doivent être en mesure de retirer leur consentement aussi facilement qu’elles l’ont donné. Les solutions techniques permettant aux personnes de retirer leur consentement ainsi que les mécanismes qui en découlent restent à la discrétion des responsables de traitement, sous réserve qu’elles ne se matérialisent pas par une trop grande complexité du point de vue de leurs usagers.
Les autres droits des personnes ont également pleinement vocation à pouvoir être exercés par les personnes.

A retenir

Ces dispositifs de mesure d’audience ou de fréquentation nécessitent une attention particulière, dans la mesure où ils portent sur des données de déplacement des personnes et peuvent donc être particulièrement intrusifs. Des garanties fortes doivent être apportées aux personnes, soit :
1. En basant le traitement sur l’intérêt légitime associé à des mesures de pseudonymisation fortes.
2. En basant le traitement sur l’intérêt légitime associé à des mesures d’anonymisation à bref délai.
3. En basant le traitement sur le recueil d’un consentement libre, spécifique et informé préalablement à la collecte des données.
La nécessaire réalisation d’une analyse d’impact sur la protection des données
En l’état actuel du droit, une autorisation de la CNIL est nécessaire dans les seuls cas suivants :
• Le dispositif est installé sur une voie publique ou privée ouverte à la circulation publique : sur un mobilier publicitaire installé dans la rue par exemple ;
• Le dispositif n’est pas installé sur la voie publique mais visible depuis une voie publique : un dispositif installé dans une enceinte sportive mais visible depuis la rue par exemple ;
• Le dispositif est installé dans un local principalement utilisé comme support de publicité : dans une vitrine séparée de l’espace de vente.
Par ailleurs, et dans la mesure où ces dispositifs consistent à assurer un suivi systématique des personnes à l’aide d’un dispositif technique innovant ils nécessitent dans tous les cas la réalisation d’une analyse d’impact sur la protection des données préalablement à leur mise en œuvre.

Posté le : 01/12/2018

Partager sur :

Source : https://www.cnil.fr/fr/dispositifs-de-mesure-daudience-et-de-frequentation-dans-des-espaces-accessibles-au-public-la-cnil