Discussion :

[Malick]

France : le Conseil d’État a finalement interdit à JCDecaux de pister les appareils mobiles des passants,
confirmant ainsi une décision de la CNIL

Le Conseil d’État de la France s'est finalement prononcé sur l'affaire qui oppose la CNIL (Commission nationale de l'informatique et des libertés) à la société JCDecaux. En effet, cette dernière avait introduit une requête auprès du Conseil pour demander l'annulation de la délibération n° 2015-255 du 16 juillet 2015 par laquelle la Commission nationale de l'informatique et des libertés a refusé de lui donner l'autorisation de mettre en œuvre un traitement automatisé de données à caractère personnel dont l'objectif est de tester une méthodologie d'estimation quantitative des flux de piétons sur la dalle de La Défense. JCDecaux assimile la décision de la CNIL comme un excès de pouvoir et a également demandé au Conseil d’État de valider la demande d'autorisation.

JCDecaux est un groupe industriel français spécialisé dans la publicité urbaine, déclinée sur divers supports de mobilier urbain.

Pour un rappel des faits, il faut noter que la société JCDecaux a voulu mettre en place un dispositif lui permettant de collecter, pendant quatre semaines, les identifiants des appareils mobiles de toutes les personnes qui passaient à proximité de ses panneaux publicitaires implantés à La Défense. L'objectif visé était de pouvoir quantifier les flux de piétons circulant sur la dalle de La Défense ainsi que les axes de déplacements enregistrés dans la zone. Pour ce faire, elle a introduit une demande auprès de la Commission nationale de l'informatique et des libertés (CNIL) afin d'obtenir l'autorisation de mettre en œuvre ses tests. « Aux termes du 4^e alinéa de l'article L.581-9 du code de l'environnement : " tout système de mesure automatique de l'audience d'un dispositif publicitaire ou d'analyse de la typologie ou du comportement des personnes passant à proximité d'un dispositif publicitaire est soumis à autorisation de la Commission nationale de l'informatique et des libertés ". », a précisé le Conseil d’État.

D'après les informations recueillies, le projet de JCDecaux consiste dans la pratique à installer des boîtiers de comptage Wifi au niveau des panneaux publicitaires. Chaque panneau devrait être équipé de six (6) boîtiers et ces derniers permettraient de capter les adresses MAC des appareils mobiles se trouvant sur un rayon de 25 mètres et dont le Wifi est activé. Les identifiants réseau ainsi obtenus permettront ensuite à JCDecaux de déterminer la position géographique de l'appareil ainsi identifié.

Toutefois, la demande d'autorisation a été annulée par la CNIL qui considère que le système que JCDecaux souhaite mettre en place est non conforme aux dispositions légales. La CNIL avait évoqué le problème de l'anonymisation bien que JCDecaux a prévu de tronquer les adresses MAC qui seront ensuite complétées par une suite de caractères afin de minimiser le risque de pouvoir identifier les personnes concernées. Cette pratique a été considérée comme insuffisante par la CNIL, qui ajoute que les passants ne disposent pas d'assez d'informations sur la façon dont les données collectées seront exploitées.

Statuant sur la requête de JCDecaux demandant l'annulation de la décision prise par la CNIL, le Conseil d'État a rendu son verdict qui est en faveur de la CNIL notamment en rejetant la demande introduite par la société JCDecaux. « La société JCDecaux France n'est pas fondée à demander l'annulation de la délibération qu'elle attaque. Par voie de conséquence, elle n'est pas fondée à demander qu'il soit enjoint à la CNIL de lui délivrer l'autorisation sollicitée », a déclaré le Conseil d’État.

Source : Décision Conseil d’État

Et vous ?

Que pensez-vous de ce rejet ?

Pensez-vous qu'il est fondé ?

[goomazio]

C'est super qu'on soit protégé de telles choses. Il me semblait pourtant qu'on avait déja utilisé des pubs qui nous filment et nous analyse...

Le refus vient du manque de clarté sur l'utilisation des données ? Que peuvent-ils faire pour y remédier ? Faire ce genre d'événement dans des lieux privés ? Indiquer le pourquoi sur d'autres pubs aux alentours ?

[nikau6]

Le refus vient du manque de clarté sur l'utilisation des données ? Que peuvent-ils faire pour y remédier ? Faire ce genre d'événement dans des lieux privés ? Indiquer le pourquoi sur d'autres pubs aux alentours ?

Le problème est bien plus profond que cela. Ça n'est pas simplement une question de données, c'est aussi une question d'étique et de respect. Pour moi ce qu'ils proposent de faire ca n'est rien de moins que du piratage, du vol de données, á des fins commerciales.

[goomazio]

Le problème est bien plus profond que cela. Ça n'est pas simplement une question de données, c'est aussi une question d'étique et de respect. Pour moi ce qu'ils proposent de faire ça n'est rien de moins que du piratage, du vol de données, à des fins commerciales.

C'est interdit dans ce cas et pas dans le cas d'un site Internet. La différence viendrait du fait que les gens n'ont pas consentit à donner ces données privées ou qu'ils n'étaient juste pas informés du type et de l'utilisation de ces données.

Ils ne peuvent donc pas proposer de CGU informant l'utilisateur. Déjà parce qu'ils ne peuvent pas prévenir les "utilisateurs" vu qu'on ne choisit à aucun moment d'en être un. (QUID des sites qui ont un bouton "J'aime" de facebook et qui ne permettent pas aux utilisateurs de lire des CGU avant d'être enregistré dans les BD de facebook ?) et aussi parce que ce ne serait pas possible car ils devraient baliser la zone autour des antennes qui récupères les données pour avertir les gens. Mais, si c'était possible, qu'est-ce qui les empêcherait de faire ce genre de récolte de données ?

[nikau6]

C'est interdit dans ce cas et pas dans le cas d'un site Internet. La différence viendrait du fait que les gens n'ont pas consentit à donner ces données privées ou qu'ils n'étaient juste pas informés du type et de l'utilisation de ces données.

Ils ne peuvent donc pas proposer de CGU informant l'utilisateur. Déjà parce qu'ils ne peuvent pas prévenir les "utilisateurs" vu qu'on ne choisit à aucun moment d'en être un. (QUID des sites qui ont un bouton "J'aime" de facebook et qui ne permettent pas aux utilisateurs de lire des CGU avant d'être enregistré dans les BD de facebook ?) et aussi parce que ce ne serait pas possible car ils devraient baliser la zone autour des antennes qui récupères les données pour avertir les gens. Mais, si c'était possible, qu'est-ce qui les empêcherait de faire ce genre de récolte de données ?

Ça n'est parce que certaines pratiques discutables existent qu'il faut accepter leurs généralisations á tous les niveaux. Et puis, de mon point de vue, il y a une TRES grande différence entre des sites internet récoltants des données, et une entreprise installant une boite au coin d'une rue pour récolter les données des portables dans un but commercial. On change de monde. C'est une certaine forme de piratage, de vol.
Parce que sinon alors, pourquoi interdire les intrusions á distance dans les ordinateurs ? Si c'est juste pour jeter un oeil, ou pour récolter des données á des fins commerciales, les sites internet le font bien ? Et pourquoi interdire á quelqu'un de rentrer chez toi si il ne fait que jeter un oeil afin de savoir ce que tu achètes, et qu'il puisse te mettre les bonnes pubs dans ta boite aux lettres, on le fait bien sur internet ?

EDIT : Mon avis est que ces pratiques devraient être interdites, et peu importe les garanties qui peuvent être fournies concernant l'utilisation des données. Je m'en fiche qu'ils aient besoin de statistiques pour installer leurs panneaux publicitaire que je déteste, ça n'est pas le monde dans lequel j'ai envie de vivre.

[NSKis]

C'est interdit dans ce cas et pas dans le cas d'un site Internet. La différence viendrait du fait que les gens n'ont pas consentit à donner ces données privées ou qu'ils n'étaient juste pas informés du type et de l'utilisation de ces données.

Il ne faut pas tout mélanger!!!

1. Dans le cas d'un site internet, la personne décide en tout conscience de visiter un site. Et pour les gens inconscients de ce que cela implique, les sites "sérieux" affichent maintenant une annonce avertissant le cas échéant l'utilisateur qu'il est la cible de cookies

2. Dans le cas de JCDecaux, on est tout simplement dans le vol, une démarche qui s'apparente au pick-pocket qui vole le porte-monnaie des passants!!! Cette société se propose d'enregistrer des données personnelles à des passants qui n'ont rien demandé et cela sans que aucune victime puisse s'en rendre compte ni s'y opposer... C'est l'exemple type de la dérive d'un monde qui ne respecte plus rien et surtout pas l'individu!!!

Le pire dans l'affaire est que les responsables de JCDecaux ne se rendent même pas compte de l'ampleur de leur dérapage éthique... Ils n'ont pas la moindre gêne à exiger l'annulation d'une décision qui défend la liberté publique... Le fric est vraiment roi!!!

[goomazio]

On dit visiblement la même chose... Pourtant vous vojs opposez à ce que je dis. Je prends simplement le point de vue de ceux qui décident à notre place, les grandes entreprises et l'état...

[Erico29]

Ils ont demandé l'autorisation de la CNIL, c'est déjà ça.... Que se serait il passé si ils ne l'avaient pas fait ? ..... Rien sans doute. Et comment aurait on pu nous protéger si ils avaient finalement eu l'autorisation ? .... En coupant le wifi je suppose. Oui, mais est-ce suffisant ? Il y a sûrement d'autres moyens... D'où ma question : D'autres collecteurs de données-desperados sont sûrement en activité, sans qu'on le sache; comment peut on se protéger individuellement, comme autrefois au Far Ouest ?

[NSKis]

Ils ont demandé l'autorisation de la CNIL, c'est déjà ça.... Que se serait il passé si ils ne l'avaient pas fait ? ..... Rien sans doute. Et comment aurait on pu nous protéger si ils avaient finalement eu l'autorisation ? .... En coupant le wifi je suppose. Oui, mais est-ce suffisant ? Il y a sûrement d'autres moyens... D'où ma question : D'autres collecteurs de données-desperados sont sûrement en activité, sans qu'on le sache; comment peut on se protéger individuellement, comme autrefois au Far Ouest ?

La réponse est malheureusement simple: La seule solution pour "se protéger individuellement" est de se promener comme il y a 30 ans avec dans sa poche uniquement un bout de papier et un bon vieux stylo!!!


La CNIL n'est qu'un "cache sexe en format timbre poste":

1° La CNIL n'a aucun moyen d'enquêter, de contrôler, de mener des actions préventives, ni de faire appliquer ses décisions!!!

2° Si la CNIL n'est pas questionnée, il n'y a pas d'avis de la CNIL

3° Une fois que la CNIL a donné son avis, qu'est-ce qui empêche un JCDecaux de mettre en place ce qui a lui été refusé? Est-ce que la CNIL va inspecter chaque installation de cette entreprise "voyou" aux quatre coins de la France? Rien, il n'y aura aucune intervention sur le terrain!!!

[Matthieu Vergne]

C'est une certaine forme de piratage, de vol.

2. Dans le cas de JCDecaux, on est tout simplement dans le vol, une démarche qui s'apparente au pick-pocket qui vole le porte-monnaie des passants!!!

Merci d'arrêter de parler de vol à tout bout de champs. Dans le numérique, il est très rare qu'un cas puisse s'apparenter à un vol, tout simplement parce qu'il suffit de copier, et non de retirer à autrui ce qui lui appartient (il n'y a pas de vol sans soustraction du bien). On pourra éventuellement qualifier de vol certains ransomwares, mais dans le cas général de copie sans accord on parle de contrefaçon.

La CNIL n'est qu'un "cache sexe en format timbre poste":

1° La CNIL n'a aucun moyen d'enquêter, de contrôler, de mener des actions préventives, ni de faire appliquer ses décisions!!!

2° Si la CNIL n'est pas questionnée, il n'y a pas d'avis de la CNIL

3° Une fois que la CNIL a donné son avis, qu'est-ce qui empêche un JCDecaux de mettre en place ce qui a lui été refusé? Est-ce que la CNIL va inspecter chaque installation de cette entreprise "voyou" aux quatre coins de la France? Rien, il n'y aura aucune intervention sur le terrain!!!

Heureusement, elle a plus de pouvoir que tu ne le crois:
http://www.cil.cnrs.fr/CIL/spip.php?article1582

Encore heureux qu'elle n'est pas limitée au bon vouloir des agents, et qu'elle peut mener ses propres enquêtes. De même, son avis est vis à vis des lois qui touchent son domaine, autrement on parle bien d'autorisation et non de simple avis. C'est bien pour cela que JCDeceaux se plaint, car sans cette autorisation il ne peut pas le faire sans risquer des poursuites judiciaires avec sanctions à la clé.

[Aurelien.Regat-Barrel]

Merci d'arrêter de parler de vol à tout bout de champs. Dans le numérique, il est très rare qu'un cas puisse s'apparenter à un vol, tout simplement parce qu'il suffit de copier, et non de retirer à autrui ce qui lui appartient (il n'y a pas de vol sans soustraction du bien). On pourra éventuellement qualifier de vol certains ransomwares, mais dans le cas général de copie sans accord on parle de contrefaçon.

Je comprends ta remarque, mais quel terme faut-il utiliser alors (dans le cas qui nous intéresse) ?

[Grogro]

Pour info, cela vaudrait le coup que des associations anticorruption creusent du côté de JCDecaux. Cette entreprise, certes réellement innovante et qui sait toujours innover (ils ont inventé entres autres l'abribus et les vélos en libre-service), détient un monopole de fait pour le mobilier urbain de la quasi totalité des villes. Et entretient des liens très proches avec les politiques.

Un exemple : http://www.lepoint.fr/societe/velib-...2071461_23.php

[Matthieu Vergne]

Je comprends ta remarque, mais quel terme faut-il utiliser alors (dans le cas qui nous intéresse) ?

Comme ici on ne parle pas d’œuvres de l'esprit mais de données liées à l'identité des individus, parler de contrefaçon n'irait pas non plus. J'ai parlé un peu vite. Dans ce cas ci, on parle de captation de données, mais j'imagine que ça ne te va pas vu que ça reste neutre. On pourrait éventuellement détourner la notion d'espionnage, qui normalement est dédiée aux captations d'informations nationales importantes par des agents étrangers, mais les articles 411-6 à 411-8 du code pénal pourraient facilement être réécrits pour des informations à caractère privé. Exemple avec le 411-7 :

Le fait de recueillir ou de rassembler, en vue de les livrer à une puissance étrangère, à une entreprise ou organisation étrangère ou sous contrôle étranger ou à leurs agents, des renseignements, procédés, objets, documents, données informatisées ou fichiers dont l'exploitation, la divulgation ou la réunion est de nature à porter atteinte aux intérêts fondamentaux de la nation est puni de dix ans d'emprisonnement et de 150 000 euros d'amende.

Si je le rédige en m'inspirant de l'article 226-1 sur les atteintes à la vie privée :

Le fait de recueillir ou de rassembler, en vue de les livrer à une puissance étrangère, à une entreprise ou organisation ou à leurs agents, des renseignements, procédés, objets, documents, données informatisées ou fichiers dont l'exploitation, la divulgation ou la réunion est de nature à porter atteinte à la vie privée d'autrui est puni d'un an d'emprisonnement et de 45 000 euros d'amende.

Le plus simple serait évidemment de compléter cet article 226-1, qui ne parle hélas que des paroles et de l'image de la personne, il suffirait alors de parler tout simplement d'atteinte à la vie privée. Dans les faits, ce sont les articles 226-16 à 226-24 qui régissent le traitement des données informatiques et la nécessité de demander l'autorisation à la CNIL, mais je n'ai pas trouvé de terme particulier à utiliser (on pourra se contenter de "captation frauduleuse de données").

Donc il y a quand même du choix, "vol" est donc à bannir.

[sinople]

He ben chez nous en Suisse c'est plutôt l'inverse... on le met en place en l'annonçant en grande pompe.

https://www.swisscom.ch/fr/about/med...ung-Pully.html

Bien entendu c'est un mandat "étatique" donc la protection des données passe au second plan derrière le "bien commun"...

[atb]

Décision injuste pour ne pas dire stupide.

Quand on sait que Google a lancé récemment son busniness de panneaux publicitaires. Apple y songe fortement. Tous les constructeurs / fournisseurs mobile veulent leur part du gâteau. Les données perso circulent à gogo chez les ricains et chinois,...

Mais quand une société française demande gentillement à le faire bah non vous respecter pas le droit. Google savent déjà combien de fois vous allez pisser par jour (j’exagère à peine).

Mais notre société française non. Du plus à les lire, certains commentaires sont à gerber. Hypocrisie totale de certains membres du club. Vous êtes , vos données appartiennent déjà à ces multinationales. Là au moins, ça fait enrichir une société française. De plus sa survie, dans quelques années, dépend beaucoup de ce secteur du numérique / digital.

Lorsque la CNIL feront plier google et semblable . Là on parlera sérieusement sur la protection de la vie privée.

[tbc92]

+10000 pour atb.

[Matthieu Vergne]

@atb : Si la majorité des pays pouvaient se targuer d'être des modèles de préservation de la paix par la mise à mort immédiates des gens ayant des intérêts qui ne plaisent pas, est-ce que tu irais dire que la France est un pays arriéré car elle ne sait pas éduquer sa population de grévistes ?

Et je ne sais pas de la survie de quoi tu parles, mais si c'est de celle du pays ça n'a juste pas de sens, et si c'est de celle de l'entreprise ce n'est juste pas un argument : on ne va pas autoriser quelque chose juste parce que ça permet de faire des entreprises, sinon tout ce qui est illégal ne le serait plus vu qu'on peut faire une entreprise avec n'importe quoi. Il y a des tas d'entreprises faisables sans avoir besoin de ça, ça n'a rien de vital.

C'est une question de valeurs, mon cher, et non de savoir si l'un est plus stupide que l'autre.

[shadowmoon]

Décision injuste pour ne pas dire stupide.

Je trouve que ce point de vue est faux.

la CNIL ne rejette pas le dispositif de JCDecaux sur le fait d'obtenir des données, mais sur la manière employée.

Si ma mémoire est bonne, les panneaux publicitaires de Google, fonctionnent sur le principe de l'utilisateur "actif", c'est lui qui déclenche et autorise donc le transfert.

Et d'ailleurs Google a toujours averti ses clients que l'utilisation des applications a pour contre-partie la collecte de données, sans directement stocker avec de quoi les identifier.

Dans le cas du dispositif de JCDecaux, si j'ai bien compris, tout se fait de manière automatique, sans intervention, ni autorisation. De plus, les passants ne sont pas informé, et ne peuvent même pas bloquer cette collecte de données.

Enfin, une partie des informations acquises de cette manière permet d'identifier indirectement les personnes.

Dans ces conditions, je pense que la décision de la CNIL est justifié.

A mon avis, si JCDecaux propose un dispositif qui demande le consentement des personnes avant prendre les données et en garantissant leur anonymat, la CNIL l'approuvera.

[tbc92]

JCDecaux n'aura donc pas le droit de collecter ces données.
Aura-t-il le droit de les acheter à Nokia/Apple/xxx, qui eux, les collectent sans rien demander à personne, et les revendent sans vergogne ?

[Grisou]

Et Après JcDECAUX, ce sera le Ministère de l’intérieur, ou de la Défense qui en feront la demande, Pour pouvoir pister tout le monde !

On va faire comme dans la série télévisée, "person of interest". Attention on vous surveille !