Non, le Conseil d'Etat n'a pas interdit le tracking des mobiles
Coup de tonnerre dans le petit monde de la publicité mobile. Selon de nombreux articles de presse, le Conseil d'Etat aurait interdit le 8 février dernier tout tracking des téléphones mobiles suite à une expérimentation menée en 2015 par JCDecaux sur ses panneaux publicitaires extérieurs. La réalité est heureusement plus nuancée, explique la Mobile Marketing Association France.
Concurrencés par la publicité digitale, qui permet de facilement comptabiliser les impressions et les clics sur une bannière, les géants de la communication et plus particulièrement de l'affichage urbain, cherchent depuis longtemps à pouvoir également mesurer l'impact de leurs panneaux publicitaires.Un Smart Affichage urbain
En partenariat avec la start-up Fidzup, JCDecaux comptait réaliser en 2015 une expérimentation sur le parvis de la Défense, près de Paris, en installant sur ses panneaux publicitaires extérieurs six boitiers Wifi captant dans un rayon de 25 mètres les adresses MAC - les identifiants réseaux des smartphones ayant leur module Wifi d'activé- de tous les smartphones passant à proximité, afin de pouvoir quantifier leur audience.Mais après qu’elle ait été sollicitée en février 2015 pour vérifier si ce dispositif était conforme à ses recommandations, la CNIL rendait un avis négatif, estimant que le dispositif collectait des données personnelles, et que cette collecte de données se faisait "à l'insu des personnes". Saisi en juillet 2015 par JC Decaux qui ne partageait par les conclusions de la CNIL, le Conseil d'Etat vient toutefois de confirmer cette décision le 8 février dernier.
En partenariat avec la start-up Fidzup, JCDecaux comptait réaliser en 2015 une expérimentation sur le parvis de la Défense, près de Paris, en installant sur ses panneaux publicitaires extérieurs six boitiers Wifi captant dans un rayon de 25 mètres les adresses MAC - les identifiants réseaux des smartphones ayant leur module Wifi d'activé- de tous les smartphones passant à proximité, afin de pouvoir quantifier leur audience.Mais après qu’elle ait été sollicitée en février 2015 pour vérifier si ce dispositif était conforme à ses recommandations, la CNIL rendait un avis négatif, estimant que le dispositif collectait des données personnelles, et que cette collecte de données se faisait "à l'insu des personnes". Saisi en juillet 2015 par JC Decaux qui ne partageait par les conclusions de la CNIL, le Conseil d'Etat vient toutefois de confirmer cette décision le 8 février dernier.
L'adresse MAC est une donnée personnelle
Le premier enseignement de ce jugement est qu'une adresse MAC - l'adresse Wifi des smartphones - est bien une donnée personnelle."JCdecaux a suivi les recommandations de la CNIL en soumettant début 2015 notre pilote pour demande d'autorisation. Mais les technologies employées alors se limitaient à appliquer un algorithme pour hacher l'adresses MAC ce que la CNIL a qualifié de méthode de pseudonymisation, et non d'anonymisation. La CNIL souhaitait en effet l'emploi d'algorithmes apportant de la collision, pour qu'un même identifiant puisse correspondre à plusieurs individus, afin que l'adresse MAC devienne réellement anonyme. Et dès lors qu'elle ne l'était pas, la CNIL était en droit de demander le consentement préalable des individus tracés, ce qui était complexe dans un lieu ouvert tel que l'esplanade de la Défense. Mais depuis ces recommandations, nous avons mis à jour nos algorithmes de traitement de ces données afin de répondre aux attentes de la CNIL." explique Anh-Vu Nguyen, co-fondateur de Fidzup, la start-up qui était partenaire de JCDecaux sur ce pilote.Même si l'adresse MAC pseudonymisée ne contient pas les coordonnées des propriétaires des smartphones, elle permettait théoriquement à JCDecaux de compter le nombre de terminaux passant à proximité de ses panneaux mais également de mesurer la répétition de leur passage voire de déterminer le parcours d'un même mobinaute, d'un panneau à l'autre, sur la dalle de la Défense.
Le premier enseignement de ce jugement est qu'une adresse MAC - l'adresse Wifi des smartphones - est bien une donnée personnelle."JCdecaux a suivi les recommandations de la CNIL en soumettant début 2015 notre pilote pour demande d'autorisation. Mais les technologies employées alors se limitaient à appliquer un algorithme pour hacher l'adresses MAC ce que la CNIL a qualifié de méthode de pseudonymisation, et non d'anonymisation. La CNIL souhaitait en effet l'emploi d'algorithmes apportant de la collision, pour qu'un même identifiant puisse correspondre à plusieurs individus, afin que l'adresse MAC devienne réellement anonyme. Et dès lors qu'elle ne l'était pas, la CNIL était en droit de demander le consentement préalable des individus tracés, ce qui était complexe dans un lieu ouvert tel que l'esplanade de la Défense. Mais depuis ces recommandations, nous avons mis à jour nos algorithmes de traitement de ces données afin de répondre aux attentes de la CNIL." explique Anh-Vu Nguyen, co-fondateur de Fidzup, la start-up qui était partenaire de JCDecaux sur ce pilote.Même si l'adresse MAC pseudonymisée ne contient pas les coordonnées des propriétaires des smartphones, elle permettait théoriquement à JCDecaux de compter le nombre de terminaux passant à proximité de ses panneaux mais également de mesurer la répétition de leur passage voire de déterminer le parcours d'un même mobinaute, d'un panneau à l'autre, sur la dalle de la Défense.
Un cadre pour le tracking outdoor
"Le sujet n'est pas neuf et concerne tous les panneaux intelligents ou vitrines interactives. Mais le Règlement Général sur la Protection des Données (RGPD) qui sera applicable à compter du 25 mai 2018 en France pose clairement le principe du consentement préalable avant de procéder à une forme de tracking collectant des données personnelles. Le tracking outdoor va devoir montrer « patte blanche » et renforcer significativement la protection des droits des personnes et les modalités d’obtention préalable du consentement, ou comporter des garanties que les données collectées ne sont en aucun cas personnelles, avant de pouvoir se développer." avertit Thomas Beaugrand, Avocat chez Staub&Associés, un cabinet partenaire de la Mobile Marketing Association France."L'analyse des flux outdoor n'est pas remis en cause par ce jugement. Ce qui est remis en cause c'est le choix d'une solution de cryptage qui ne protégeait pas suffisamment l'individu. La CNIL par cette décision est confortée dans son rôle et le citoyen est protégé. Le suivi et l'analyse de flux de manière passive (c'est à dire sans opt-in) pourront se faire mais avec des solutions / algorithmes plus solides, assurant une protection forte de l'individu." indique Isabelle Bordry, fondatrice de Retency, start-up membre de la Mobile Marketing Association France, spécialisée dans la mesure d'audience en point de vente."Notre technologie intègre depuis près de deux ans les recommandations de la CNIL en matière d'anonymisation des données mais nous nous concentrons sur les environnements in-door où il est bien plus simple d'informer les clients de la présence d'un dispositif de tracking. Nous proposons d'ailleurs un opt-out à ceux qui le souhaitent, en ajoutant leur adresse MAC à une liste d'exclusion ou tout simplement en les invitant à désactiver leur Wifi." ajoute Anh-Vu Nguyen, co-fondateur de Fidzup, une jeune pousse également membre de la Mobile Marketing Association France.
"Le sujet n'est pas neuf et concerne tous les panneaux intelligents ou vitrines interactives. Mais le Règlement Général sur la Protection des Données (RGPD) qui sera applicable à compter du 25 mai 2018 en France pose clairement le principe du consentement préalable avant de procéder à une forme de tracking collectant des données personnelles. Le tracking outdoor va devoir montrer « patte blanche » et renforcer significativement la protection des droits des personnes et les modalités d’obtention préalable du consentement, ou comporter des garanties que les données collectées ne sont en aucun cas personnelles, avant de pouvoir se développer." avertit Thomas Beaugrand, Avocat chez Staub&Associés, un cabinet partenaire de la Mobile Marketing Association France."L'analyse des flux outdoor n'est pas remis en cause par ce jugement. Ce qui est remis en cause c'est le choix d'une solution de cryptage qui ne protégeait pas suffisamment l'individu. La CNIL par cette décision est confortée dans son rôle et le citoyen est protégé. Le suivi et l'analyse de flux de manière passive (c'est à dire sans opt-in) pourront se faire mais avec des solutions / algorithmes plus solides, assurant une protection forte de l'individu." indique Isabelle Bordry, fondatrice de Retency, start-up membre de la Mobile Marketing Association France, spécialisée dans la mesure d'audience en point de vente."Notre technologie intègre depuis près de deux ans les recommandations de la CNIL en matière d'anonymisation des données mais nous nous concentrons sur les environnements in-door où il est bien plus simple d'informer les clients de la présence d'un dispositif de tracking. Nous proposons d'ailleurs un opt-out à ceux qui le souhaitent, en ajoutant leur adresse MAC à une liste d'exclusion ou tout simplement en les invitant à désactiver leur Wifi." ajoute Anh-Vu Nguyen, co-fondateur de Fidzup, une jeune pousse également membre de la Mobile Marketing Association France.
« Nous vérifions d'abord auprès de la CNIL avant de mettre les projets en place et il est arrivé que nous renoncions suite à leur retour. Aujourd'hui notre système Flux Vision ne collecte aucune donnée au niveau des smartphones mais remonte des données techniques de notre réseau cellulaire, qui sont ensuite immédiatement détruites. FluxVision permet ainsi ses clients dans le tourisme, les transports ou la distribution d'accéder à des données statistiques parfaitement anonymes et de mieux décrypter les habitudes des consommateurs. Mais nous nous interdisons d'aller dans le tracking direct des consommateurs. C'est l'engagement d'Orange auprès de la CNIL, auprès de ses clients, et nous proposons d'ailleurs notre technologie à d'autres opérateurs, qui souhaiteraient disposer des mêmes standards que notre groupe en matière de protection des données" explique Rémi Hugonin, Responsable département marketing Data Analytics – Orange Business Services
Les alternatives à l'adresse MAC
Cette affaire révèle toutefois le besoin d'un identifiant fiable sur les smartphones. Historiquement, les spécialistes de la publicité mobile s'étaient appuyés sur l'UDID, un identifiant unique propre à chaque smartphone, dont l'usage publicitaire a toutefois été interdit par Apple en mai 2013. Et c'est pour cette raison que certains professionnels se sont tournés vers l'adresse MAC. Mais depuis iOS 8, Apple a rendu l'adresse MAC dynamique sur ses terminaux, afin précisément d'empêcher son usage pour le tracking.
L'UDID et l'adresse MAC n'étant plus utilisables sur l'ensemble du parc, les professionnels du marketing mobile peuvent néanmoins se tourner vers les identifiants publicitaires proposés par Apple (IDFA) ou Google (GID), que les utilisateurs de smartphones peuvent d'ailleurs réinitialiser au niveau du système d'exploitation.
"Les identifiants publicitaires d'Apple et Google sont les nouveaux standards du marché pour la data mobile, ils ont été conçus pour ça. Ils peuvent être réinitialisés par l'utilisateur, c'est ce qui fait toute la différence avec la MAC Address dont l'utilisation avait déjà été bannie par Apple il y a quelques années." indique Benoit Grouchko, fondateur de DataBerries, une start-up spécialisée dans la data géolocalisée, également membre de la Mobile Marketing Association France.
Un équilibre à trouver entre innovation et protection des données.
Comme dans le débat actuel sur les cookies tiers, dont l'utilisation sur navigateur web pourrait prochainement nécessiter un consentement préalable de l'ensemble des internautes et des mobinautes, le futur règlement européen des données personnelles (RGPD) impose un cadre particulièrement strict aux AdTechs de la French Tech, qui pourrait brider l'innovation.
"JCDecaux est un champion mondial de la publicité, une fierté française, il est dommage qu'un tel acteur ne puisse pas réaliser ses efforts de recherche et développement sur le sol français. Cela favorise le départ de nos meilleurs ingénieurs à l'étranger et peut freiner l'innovation au sein de nos start-up." souligne Nicolas Rieul, Rapporteur de la Commission Publicité de la Mobile Marketing Association France.
" Il y a un juste équilibre à trouver. Le smartphone l’a prouvé, les utilisateurs sont prêts à partager des données de géolocalisation afin d’avoir un service plus personnalisé et dans le futur un véritable assistant anticipant les besoins contextuels. C’est de toute façon le sens de l’histoire. Mais les éditeurs doivent être précautionneux, du point de vue de la propriété de la donnée personnelle, de la sécurité de cette donnée et de son exploitation. Il y a de vraies limites à définir sur des applications qui effectueraient une géolocalisation permanente et transmettraient cette information à des tiers, un réseau wifi qui effectuerait du retargeting publicitaire via une captation passive de l’adresse mac. Si l’industrie détourne l’usage de la géolocalisation et de l’opt-in du bénéfice initial identifié par le consommateur, on va dans le mur. Soyons clairs dans les termes de l’échange" ajoute Renaud Ménérat, Président de la Mobile Marketing Association France
En partenariat avec le cabinet Staub&Associés, l'Association a décidé de participer aux débats en proposant à ses membres un cycle de formation sur le futur RGPD mais également en se rapprochant de la CNIL, tout comme des autres associations professionnelles françaises, afin d'imaginer ensemble un cadre respectueux des données personnelles mais également réaliste, compte tenu de l'environnement concurrentiel propre au mobile.