Le 17 octobre 2018, la CNIL s’est prononcée sur les dispositifs installés dans certains centres commerciaux et points de vente pour comptabiliser la fréquentation et les parcours clients grâce aux données collectées à partir de smartphones grâce aux systèmes wifi notamment mais aussi à des balises détectant les téléphones afin d’assurer l’envoi d’annonces promotionnelles ou publicitaires par SMS. La CNIL s’était déjà intéressée au sujet en 2014.
Qui vient ? Combien de visiteurs ou de visites d’un client ? Quel parcours ? Quel temps d’attente en caisse ? Toutes ces données sont susceptibles d’être collectées.
Dès lors, la CNIL donne trois hypothèse :
* « les données sont anonymisées à bref délai (dans les 5 minutes maximum suivant leur collecte) » : l’impératif d’information :
Le « bref délai » est le temps de traitement de la donnée pour son anonymisation.
L’information aux consommateurs requise « peut se limiter à mentionner la finalité du traitement, l’identité du responsable de traitement et l’existence des droits pour les personnes. » avec une mention telle que :
« Un dispositif de mesure d’audience du centre commercial est mis en place par la Société A. Les données à caractère personnel collectées sont anonymisées dans un délai très court. Pour vous opposer à la collecte de vos donn ées, rendez-vous à l’adresse suivante http://societeA.com/opposition. Vous pouvez consulter les caractéristiques de ce dispositif à l’adresse suivante http://societeA.com/vieprivee. »
L’exercice du droit d’opposition préalable doit être prévu.
* Les données sont immédiatement pseudonymisées puis anonymisées ou détruites au bout de 24h :
La CNIL indique que le responsable de traitement « peut retenir la réalisation de l’intérêt légitime comme base légale du traitement. » Le responsable de traitement doit :
- donner une information préalable par des supports multiples d’information (par affichage par exemple, points d’entrée et de sortie des centres commerciaux, sur les bornes wifi, sur chaque dispositif publicitaire, sur son site internet…,
- établir « des mécanismes d’opposition préalables accessibles, fonctionnels, simples d’utilisation et réalistes,»
S’y ajoutent naturellement les droits d’accès, de rectification et d’opposition.
Les données pseudonymisées doivent être quotidiennement anonymisées ou détruites. »
* Autres cas : Une analyse d’impact sur la protection des données est exigée et les dispositifs installés sur une voie publique ou privée ouverte à la circulation publique ou visibles depuis une voie publique doivent être autorisés par la CNIL.
Frédéric Fournier
Avocat Associé