Non, le Conseil d'Etat n'a pas interdit le tracking des mobiles
Coup de tonnerre dans le petit monde de la publicité mobile. Selon de nombreux articles de presse, le Conseil d'Etat aurait interdit le 8 février dernier tout tracking des téléphones mobiles suite à une expérimentation menée en 2015 par JCDecaux sur ses panneaux publicitaires extérieurs. La réalité est heureusement plus nuancée, explique la Mobile Marketing Association France.
Concurrencés par la publicité digitale, qui permet de facilement comptabiliser les impressions et les clics sur une bannière, les géants de la communication et plus particulièrement de l'affichage urbain, cherchent depuis longtemps à pouvoir également mesurer l'impact de leurs panneaux publicitaires.En partenariat avec la start-up Fidzup, JCDecaux comptait réaliser en 2015 une expérimentation sur le parvis de la Défense, près de Paris, en installant sur ses panneaux publicitaires extérieurs six boitiers Wifi captant dans un rayon de 25 mètres les adresses MAC - les identifiants réseaux des smartphones ayant leur module Wifi d'activé- de tous les smartphones passant à proximité, afin de pouvoir quantifier leur audience.Mais après qu’elle ait été sollicitée en février 2015 pour vérifier si ce dispositif était conforme à ses recommandations, la CNIL rendait un avis négatif, estimant que le dispositif collectait des données personnelles, et que cette collecte de données se faisait "à l'insu des personnes". Saisi en juillet 2015 par JC Decaux qui ne partageait par les conclusions de la CNIL, le Conseil d'Etat vient toutefois de confirmer cette décision le 8 février dernier.
Le premier enseignement de ce jugement est qu'une adresse MAC - l'adresse Wifi des smartphones - est bien une donnée personnelle."JCdecaux a suivi les recommandations de la CNIL en soumettant début 2015 notre pilote pour demande d'autorisation. Mais les technologies employées alors se limitaient à appliquer un algorithme pour hacher l'adresses MAC ce que la CNIL a qualifié de méthode de pseudonymisation, et non d'anonymisation. La CNIL souhaitait en effet l'emploi d'algorithmes apportant de la collision, pour qu'un même identifiant puisse correspondre à plusieurs individus, afin que l'adresse MAC devienne réellement anonyme. Et dès lors qu'elle ne l'était pas, la CNIL était en droit de demander le consentement préalable des individus tracés, ce qui était complexe dans un lieu ouvert tel que l'esplanade de la Défense. Mais depuis ces recommandations, nous avons mis à jour nos algorithmes de traitement de ces données afin de répondre aux attentes de la CNIL." explique Anh-Vu Nguyen, co-fondateur de Fidzup, la start-up qui était partenaire de JCDecaux sur ce pilote.Même si l'adresse MAC pseudonymisée ne contient pas les coordonnées des propriétaires des smartphones, elle permettait théoriquement à JCDecaux de compter le nombre de terminaux passant à proximité de ses panneaux mais également de mesurer la répétition de leur passage voire de déterminer le parcours d'un même mobinaute, d'un panneau à l'autre, sur la dalle de la Défense.
"Le sujet n'est pas neuf et concerne tous les panneaux intelligents ou vitrines interactives. Mais le Règlement Général sur la Protection des Données (RGPD) qui sera applicable à compter du 25 mai 2018 en France pose clairement le principe du consentement préalable avant de procéder à une forme de tracking collectant des données personnelles. Le tracking outdoor va devoir montrer « patte blanche » et renforcer significativement la protection des droits des personnes et les modalités d’obtention préalable du consentement, ou comporter des garanties que les données collectées ne sont en aucun cas personnelles, avant de pouvoir se développer." avertit Thomas Beaugrand, Avocat chez Staub&Associés, un cabinet partenaire de la Mobile Marketing Association France."L'analyse des flux outdoor n'est pas remis en cause par ce jugement. Ce qui est remis en cause c'est le choix d'une solution de cryptage qui ne protégeait pas suffisamment l'individu. La CNIL par cette décision est confortée dans son rôle et le citoyen est protégé. Le suivi et l'analyse de flux de manière passive (c'est à dire sans opt-in) pourront se faire mais avec des solutions / algorithmes plus solides, assurant une protection forte de l'individu." indique Isabelle Bordry, fondatrice de Retency, start-up membre de la Mobile Marketing Association France, spécialisée dans la mesure d'audience en point de vente."Notre technologie intègre depuis près de deux ans les recommandations de la CNIL en matière d'anonymisation des données mais nous nous concentrons sur les environnements in-door où il est bien plus simple d'informer les clients de la présence d'un dispositif de tracking. Nous proposons d'ailleurs un opt-out à ceux qui le souhaitent, en ajoutant leur adresse MAC à une liste d'exclusion ou tout simplement en les invitant à désactiver leur Wifi." ajoute Anh-Vu Nguyen, co-fondateur de Fidzup, une jeune pousse également membre de la Mobile Marketing Association France.