Base de jurisprudence

Ariane Web: Conseil d'État 393714, lecture du 8 février 2017, ECLI:FR:CECHR:2017:393714.20170208

Décision n° 393714
8 février 2017
Conseil d'État

N° 393714
ECLI:FR:CECHR:2017:393714.20170208
Mentionné aux tables du recueil Lebon
10ème - 9ème chambres réunies
M. Jacques Reiller, rapporteur
Mme Aurélie Bretonneau, rapporteur public
SCP GATINEAU, FATTACCINI, avocats


Lecture du mercredi 8 février 2017
REPUBLIQUE FRANCAISE

AU NOM DU PEUPLE FRANCAIS



Vu la procédure suivante :

Par une requête sommaire, un mémoire complémentaire et trois mémoires en réplique, enregistrés les 23 septembre et 16 décembre 2015, 21 octobre et 8 décembre 2016 et 12 janvier 2017 au secrétariat du contentieux du Conseil d'Etat, la société JCDecaux France demande au Conseil d'Etat :

1°) d'annuler pour excès de pouvoir la délibération n° 2015-255 du 16 juillet 2015 par laquelle la Commission nationale de l'informatique et des libertés a refusé de lui donner l'autorisation de mettre en oeuvre un traitement automatisé de données à caractère personnel ayant pour finalité de tester une méthodologie d'estimation quantitative des flux de piétons sur la dalle de La Défense ;

2°) d'accorder l'autorisation demandée, ou subsidiairement, d'enjoindre à la Commission nationale de l'informatique et des libertés de lui délivrer cette autorisation ;

3°) et de mettre à la charge de l'Etat la somme de 4 500 euros au titre de l'article L. 761-1 du code de justice administrative.



Vu les autres pièces du dossier ;

Vu :
- la directive 95/46 CE du Parlement européen et du Conseil du 24 octobre 1995 ;
- le code de l'environnement ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le code de justice administrative ;


Après avoir entendu en séance publique :

- le rapport de M. Jacques Reiller, conseiller d'Etat,

- les conclusions de Mme Aurélie Bretonneau, rapporteur public ;

La parole ayant été donnée, avant et après les conclusions, à la SCP Gatineau, Fattaccini, avocat de la société JCDecaux France ;



Considérant ce qui suit :

1. Il ressort des pièces du dossier que, le 4 février 2015, la société JCDecaux France a déposé auprès de la Commission nationale de l'informatique et des libertés (CNIL) une demande d'autorisation d'un traitement automatisé de données à caractère personnel ayant pour finalité de tester pendant quatre semaines une méthodologie d'estimation quantitative des flux de piétons sur la dalle de La Défense ainsi que des axes de déplacements effectués dans ce périmètre. Le projet consiste en l'installation de six boîtiers de comptage Wifi sur le mobilier publicitaire de la société JCDecaux France, afin de capter les adresses MAC, identifiants réseaux des appareils mobiles ayant l'interface Wifi activée dans un rayon de 25 mètres, et à calculer leur position géographique. Par une délibération du 16 juillet 2015, dont la société JCDecaux France demande l'annulation pour excès de pouvoir, la CNIL a refusé à la société l'autorisation de mettre en oeuvre ce traitement automatisé de données.

2. Aux termes du 4ème alinéa de l'article L.581-9 du code de l'environnement : " Tout système de mesure automatique de l'audience d'un dispositif publicitaire ou d'analyse de la typologie ou du comportement des personnes passant à proximité d'un dispositif publicitaire est soumis à autorisation de la Commission nationale de l'informatique et des libertés ". Aux termes du deuxième alinéa de l'article 2 de la loi du 6 janvier 1978 : " Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ". Aux termes de l'article 7 de la même loi : " Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l'une des conditions suivantes : (...) 5° La réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux de la personne concernée ". Enfin, aux termes de l'article 32 de cette loi : " I. La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l'a été au préalable, par le responsable du traitement ou son représentant : 1° De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ; 2° De la finalité poursuivie par le traitement auquel les données sont destinées ; (...) / III. Lorsque les données à caractère personnel n'ont pas été recueillies auprès de la personne concernée, le responsable du traitement ou son représentant doit fournir à cette dernière les informations énumérées au I dès l'enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données. (...) IV. Si les données à caractère personnel recueillies sont appelées à faire l'objet à bref délai d'un procédé d'anonymisation préalablement reconnu conforme aux dispositions de la présente loi par la Commission nationale de l'informatique et des libertés, les informations délivrées par le responsable du traitement à la personne concernée peuvent se limiter à celles mentionnées au 1° et au 2° du I ".

Sur la légalité externe :

3. En premier lieu, en relevant dans la délibération attaquée qu'" il n'est pas envisagé que les droits d'opposition, d'accès et de rectification trouvent à s'appliquer, compte tenu de la finalité du traitement et de ses modalités de mise en oeuvre ", la CNIL a à la fois constaté, dans le projet de la société JCDecaux France, l'absence de dispositions relatives aux droits d'opposition, d'accès et de rectification, et rapporté ce défaut à la conception du traitement qui tient pour acquis que ces dispositions ne sauraient concerner les données collectées, en raison de leur anonymisation. En décrivant ainsi les conséquences logiques de prémisses contestées, la CNIL a exposé clairement son propre raisonnement. Le moyen tiré d'une insuffisance de motivation de sa décision ne peut donc qu'être écarté.

4. En second lieu, dès lors qu'il incombait à la société JCDecaux France de fournir à la CNIL tous éléments utiles pour apprécier la portée de la collecte de données à laquelle elle entendait procéder, elle ne saurait reprocher à cette dernière de ne pas l'avoir informée de l'importance de la question du respect de l'obligation d'information des personnes concernées par la collecte des données. Le moyen tiré de ce que la CNIL aurait induit en erreur la société dans le cours de la procédure d'instruction de sa demande doit donc être écarté.

Sur la légalité interne :

En ce qui concerne le moyen relatif au caractère direct ou indirect de la collecte des données envisagée par la société JCDecaux France :

5. Il ressort des pièces du dossier que la société JCDecaux France entend collecter les adresses MAC des terminaux mobiles des personnes passant auprès de ses panneaux publicitaires. Alors même que cette collecte ne nécessite aucune intervention des personnes concernées, elle a néanmoins le caractère d'une collecte directe de données personnelles. La CNIL n'a donc pas commis d'erreur de droit en faisant application des dispositions du paragraphe I de l'article 32 de la loi du 6 janvier 1978 relatives aux collectes directes et non de son paragraphe III régissant les collectes indirectes.

En ce qui concerne les moyens relatifs à la qualification de la méthode de traitement des données envisagée par la société JCDecaux France :

6. En premier lieu, si la CNIL a pris en compte, au cours de l'instruction de l'affaire, l'avis du 10 avril 2014 par lequel le groupe de travail sur la protection des personnes à l'égard du traitement des données à caractère personnel, institué par l'article 29 de la directive du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, a analysé l'efficacité et les limites des techniques d'anonymisation, il ressort des termes mêmes de sa décision, qui ne vise ni ne cite cet avis, qu'elle ne s'est pas estimée liée par les recommandations de ce groupe de travail qui sont dépourvues de valeur normative. La société requérante ne peut donc utilement reprocher à la CNIL, ni d'avoir adopté la distinction faite par le Groupe dit " de l'article 29 " entre les techniques dites d'anonymisation et celles dites de " pseudonymisation ", ni d'avoir ignoré ses préconisations tendant à apprécier le risque d'identification à la lumière des facteurs conjoncturels propres à chaque espèce.

7. En second lieu, il résulte de la définition de la donnée personnelle donnée par les dispositions, citées au point 2 ci-dessus, de l'article 2 de la loi du 6 janvier 1978, qu'une telle donnée ne peut être regardée comme rendue anonyme que lorsque l'identification de la personne concernée, directement ou indirectement, devient impossible que ce soit par le responsable du traitement ou par un tiers. Tel n'est pas le cas lorsqu'il demeure possible d'individualiser une personne ou de relier entre elles des données résultant de deux enregistrements qui la concernent.

8. Il ressort des pièces du dossier que pour rendre anonymes les données collectées, la société JCDecaux France a prévu de tronquer les adresses MAC de leur dernier demi-octet, avant de les compléter par une suite de caractères en application de la technique dite de " salage " et de mettre en oeuvre une méthode dite de " hachage à clé ", en transformant une donnée. La société requérante soutient que ces opérations rendent négligeable le risque de pouvoir identifier les personnes en cause, d'autant que la collecte de données se déroule dans le cadre d'une expérimentation limitée dans le temps et a pour objet d'améliorer la valorisation de ses panneaux publicitaires, ce qui rend sans intérêt pour elle l'identification des personnes concernées. Toutefois, d'une part, les procédés de " hachage " et de " salage ", s'ils visent à empêcher l'accès des tiers aux données, laissent le gestionnaire du traitement en mesure de procéder à l'identification des personnes concernées et n'interdisent ni de corréler des enregistrements relatifs à un même individu, ni d'inférer des informations le concernant. D'autre part, le traitement conçu par la société JCDecaux tend non seulement à compter le nombre de terminaux mobiles, équipés d'une connexion Wifi active, détectés à proximité du mobilier publicitaire, mais aussi à mesurer la répétition de leurs passages et à déterminer les parcours réalisés d'un mobilier publicitaire à un autre. Ce traitement a ainsi pour objet d'identifier les déplacements des personnes et leur répétition sur la dalle piétonne de La Défense, pendant toute la durée de l'expérience. La CNIL, qui, contrairement à ce que soutient la société requérante, a pris en compte, sans erreur de fait, tant le contexte du traitement présenté que ses objectifs ainsi que l'ensemble des données techniques afférentes au nombre de personnes traversant la dalle de La Défense et au " taux de collision " qui découle de l'amputation d'une partie de l'adresse MAC, n'a donc entaché sa décision ni d'erreur de droit, ni d'erreur d'appréciation en estimant, au regard de l'ensemble des moyens permettant d'identifier la personne titulaire des données collectées, ainsi que le prescrit l'article 2 de la loi du 6 janvier 1978, que les objectifs mêmes de la collecte des données par la société JCDecaux France étaient incompatibles avec une anonymisation des informations recueillies.

En ce qui concerne le moyen relatif à l'information des personnes :

9. La société requérante soutient qu'elle peut se prévaloir des dispositions, citées au point 2, du IV de l'article 32 de la loi du 6 janvier 1978, qui limitent les obligations d'information des personnes concernées par la collecte de données " appelées à faire l'objet à bref délai d'un procédé d'anonymisation ". Cependant, la CNIL, dès lors qu'elle estimait que les dispositifs proposés n'avaient pas pour effet de rendre anonymes les données, a relevé à bon droit que le projet de traitement entrait dans le champ d'application des dispositions de droit commun en matière d'information des personnes concernées. Le moyen tiré de ce que la CNIL aurait commis une erreur de droit en estimant que l'information prévue par le projet de la société requérante était insuffisante, ne peut donc qu'être écarté.

10. Il résulte de tout ce qui précède que la société JCDecaux France n'est pas fondée à demander l'annulation de la délibération qu'elle attaque. Par voie de conséquence, elle n'est pas fondée à demander qu'il soit enjoint à la CNIL de lui délivrer l'autorisation sollicitée.

Sur les conclusions présentées au titre des dispositions de l'article L. 761-1 du code de justice administrative :

11. Les dispositions de l'article L. 761-1 du code de justice administrative font obstacle à ce qu'une somme soit mise à ce titre à la charge de l'Etat qui n'est pas, dans la présente instance, la partie perdante.



D E C I D E :
--------------

Article 1er : La requête de la société JCDecaux France est rejetée.
Article 2 : La présente décision sera notifiée à la Société JCDecaux France et à la Commission nationale de l'informatique et des libertés.


Voir aussi