Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a clos la procédure ouverte contre la société de Kiosques Valora. Cette dernière a en effet confirmé au PFPDT qu’elle ne traite aucune donnée concernant des personnes, mais qu’elle exploite uniquement à des fins statistiques des données agrégées. Plusieurs médias avaient rapporté que les kiosques répertoriaient les données de téléphonie mobile de leurs clients à des fins de publicité personnalisée. C’est néanmoins l’occasion de faire le point sur les exigences applicables aux systèmes de localisation de personnes et les recommandations du PFPDT et les principes en la matière.

On recourt de plus en plus aux systèmes de localisation de personnes, par exemple pour optimiser les flux de trafic ou de personnes, ou pour analyser le comportement des clients, notamment à des fins de marketing. Ces systèmes permettent même, dans certains cas, de recueillir des données sensibles ou d’établir des profils de la personnalité. Voilà pourquoi il convient de faire preuve de prudence lors de leur utilisation.

Plusieurs moyens techniques permettent de suivre le déplacement d’une personne dans un espace donné (par exemple un magasin). Non seulement les images vidéos peuvent être utilisés (et couplées à un système de reconnaissance biométrique, des plaques d’immatriculation, etc.), mais également des technologies identifiant les téléphones portables. Une personne peut ainsi être suivie à chaque passage près d’une balise réceptrice dans le magasin voire être reconnue lorsqu’elle entre ou passe à proximité d’un autre magasin du même groupe. Des publicités ciblées peuvent aussi lui être adressées.

La justification du traitement
Dans le cas où les données sont collectées et immédiatement anonymisées (y compris en étant agrégées) et traitées à des fins statistiques, l’atteinte peut généralement être considérée comme proportionnée. Dans les autres cas, il faut un motif justificatif:

  • Le consentement des personnes concernées: il doit être libre et éclairé. Il sera souvent difficile d’informer clairement les personnes concernées et de leur permettre d’accepter ou de refuser, sauf dans le cas où la localisation est liée à l’utilisation d’une application et que cette dernière permet de choisir librement d’être ou non localisée et identifiée. C’est probablement le seul motif justificatif qui puisse permettre une analyse individualisée des données.
  • L’intérêt public: ce pourrait être le cas si le traitement a pour but d’améliorer la sécurité.
  • L’intérêt privé: il est possible d’invoquer un intérêt privé prépondérant par exemple s’il est prévu d’utiliser le système de localisation pour mesurer les fréquences de passage des clients ou pour analyser le comportement moyen des catégories de clients, mais pas de certaines personnes en particulier.

L’information des personnes concernées
Si la collecte n’est pas reconnaissable, une information au moins générale devra être donnée sur le type de données collectées, le but de la collecte et le responsable du traitement. L’information doit évidemment avoir lieu avant la collecte, par exemple avec des panneaux bien visibles à l’entrée du périmètre concerné.

Si des données biométriques sont concernées (notamment la reconnaissance faciale ou de la démarche), une information d’autant plus précise sera exigée. On utilisera des gabarits (modèles de référence) au lieu de données bruts, la durée de conservation sera limitée et les données seront anonymisées dès que possible. Un consentement explicite sera en outre demandé, comme dans le cas de l’établissement de profils de personnalité.