Actualités


Archives

De l’anonymisation des données personnelles

De l’anonymisation des données personnelles

La Commission Nationale de l’Informatique et des Libertés (CNIL) a été saisie par la société JCDecaux d’une demande d’autorisation relative à la mise en œuvre d’un traitement automatisé de données à caractère personnel ayant pour finalité de tester une méthodologie d’estimation quantitative des flux piétons sur la dalle de La Défense.

 

Il s’agissait  d’installer et d’exploiter, sur une période de quatre semaines, six boîtiers de comptage Wi-Fi, présents sur les mobiliers publicitaires afin de procéder au comptage des flux piétons sur la dalle piétonne de La Défense.

 

JCDecaux ne prévoyant pas de recueillir le consentement des personnes concernées, l’autorisation par la CNIL du traitement, requise en application des dispositions de l’article L 581-9 alinéa 4 du code de l’environnement, supposait que la caractérisation de l’intérêt légitime du responsable de traitement justifie que le consentement des personnes ne soit pas recueilli préalablement à la mise en œuvre du traitement portant sur des données à caractère personnel les concernant.

 

La CNIL a donc été amenée à apprécier si les droits et libertés  fondamentaux des personnes étaient pris en compte au regard des garanties apportées par le traitement.

 

La CNIL a notamment considéré que :

 

  • la finalité du traitement consistant à mesurer les volumes de fréquentation, les taux de répétition et les schémas de mobilité, était explicite et légitime du fait de l’absence de décision qui serait prise sur la base de ce traitement à l’égard des personnes concernées et de l’absence de tout ciblage commercial,
  • les données collectées étaient adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

 

Restait à examiner la question de la sécurité des données.

 

JCDecaux se prévalait d’une technique d’anonymisation des données quasiment immédiate : les données collectées par les boîtiers devant être transmises toutes les deux minutes, tronquées du dernier demi-octet de l’adresse MAC avant d’être hachées en utilisant un sel propre à JCDecaux. A la fin des quatre semaines d’expérimentation, les données brutes devaient être agrégées à des fins d’analyse, puis supprimées.

 

L’enjeu de la qualification de données anonymisées est crucial puisque si les données ainsi produites par le traitement sont rendues anonymes, elles ne relèvent alors plus de la catégorie des données personnelles et ne bénéficient pas de la protection attachée à cette qualification au-delà du traitement nécessaire à l’anonymisation.

 

La CNIL n’a pas suivi la position de JCDecaux et a considéré que la technique en cause n’est pas une technique d’anonymisation, notamment par le fait que la société JCDecaux est en mesure « de rejouer le procédé de chiffrement, cette société utilisant un sel qui lui est propre et connu, et en raison du faible taux de collision proposé ».

 

En retenant que le procédé ne permettait pas l’anonymisation des données, la CNIL devait s’assurer que le traitement de données à caractère personnel respecterait les droits des personnes concernées.

 

La CNIL constate que :

 

  • La collecte et le traitement des données seraient pour une large mesure opérés à l’insu des personnes qui ne disposeraient pas de la possibilité d’exercer leurs droits, et notamment de s’opposer à ce traitement, sauf à renoncer à la possibilité de se connecter à un réseau de communication électronique. Les personnes concernées ne seraient pas non plus informées de manière satisfaisante de la mise en œuvre de ce traitement, l’information sur un panonceau de format A4 étant insuffisante à cet effet,
  • rien n’était prévu pour permettre la mise en œuvre des droits d’opposition, d’accès et de rectification des personnes concernées.

 

Compte tenu de l’information insuffisante devant être donnée aux personnes, la CNIL a refusé d’autoriser le traitement.

 

JCDecaux a alors formé un recours en excès de pouvoir devant le Conseil d’Etat aux fins d’annulation de cette décision.

 

Après que la Cour de Cassation a récemment considéré l’adresse IP comme étant une donnée personnelle, le Conseil d’Etat considère de son côté que les adresses MAC des terminaux mobiles sont des données personnelles.

 

S’agissant de la question de l’anonymisation des données personnelles devant être recueillies, le Conseil d’Etat rappelle qu’une donnée personnelle ne peut être regardée comme rendue anonyme que lorsque l’identification de la personne concernée, directement ou indirectement, devient impossible que ce soit par le responsable du traitement ou par un tiers, et considère que tel n’est pas le cas lorsqu’il demeure possible d’individualiser une personne ou de relier entre elles des données résultant de deux enregistrements qui la concernent.
Il relève que pour rendre anonymes les données collectées, la société JCDecaux France a prévu de « tronquer les adresses MAC de leur dernier demi-octet, avant de les compléter par une suite de caractères en application de la technique dite de  » salage  » et de mettre en œuvre une méthode dite de  » hachage à clé « , en transformant une donnée ».

 

Pour le Conseil d’Etat, si les procédés de  » hachage  » et de  » salage « , visent à empêcher l’accès des tiers aux données, ils laissent le gestionnaire du traitement en mesure de procéder à l’identification des personnes concernées et n’interdisent ni de corréler des enregistrements relatifs à un même individu, ni d’inférer des informations le concernant.

 

De ce fait, il considère que le traitement permet une « pseudonymisation » des données et non une « anonymisation », qui seule permet de ne pas délivrer les informations prévues par la loi du 6 janvier 1978 aux personnes concernées.

 

Le Conseil d’Etat rejette en conséquence la requête.

 

CNIL – Délibération n°2015-255 du 16 juillet 2015

CE 8 février 2017 n°393714

 

Bénédicte Rochet

 

pour visualiser la décision de la CNIL

 

pour visualiser la décision du Conseil d’Etat