Le centre-ville Rennais va-t-il devenir un parcours du combattant, évitant les commerces qui nous piste via Wifi ?

Suite à la lecture de différents articles à propos d’une expérimentation que souhaite mener le Carré Rennais ayant pour but de mesurer le flux de clients dans une trentaine de magasins rennais, j’ai eu peur pour ma vie privée. Par conséquent, j’ai recherché quelques sources de droits sur le sujet que j’aimerais mettre en avant, au vu de l’amateurisme de l’entreprise commercialisant ces boitiers Wifi pisteurs (je fais ça pour aider) :

@CryptoPartyRNS @PrivaticsInria nous allons effectivement refaire un point avec Carrerenais et CNIl pour nous assurer que tout est conforme

— bealder (@bealder) February 10, 2017

• Sur l’article premier de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, celui-ci indique que « [L’informatique] ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. ». De plus, il est précisé dans l’alinéa suivant que « Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi. ».
• Sur l’article 32 de la loi du 6 janvier 1978, indiquant que « La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, […] : De l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ; De la finalité poursuivie par le traitement auquel les données sont destinées ; ».
• Sur les préconisations de la CNIL concernant les dispositifs de mesure de fréquentation des magasins, imposant que « [Les] mesures doivent être prises pour garantir l’anonymat des personnes » et que « Le consentement préalable et éclairé des personnes est nécessaire pour pouvoir conserver les données non anonymisées plus longtemps [que la durrée où le client est dans le magasin]. »
  Sur la définition de consentement donnée par le Parlement européen.
• Sur la délibération n° 2015-255 du 16 juillet 2015, toujours en vigueur, refusant la mise en œuvre par la société JCDecaux d’un traitement automatisé de données à caractère personnel ayant pour finalité de tester une méthodologie d’estimation quantitative des flux piétons sur la dalle de La Défense et sa validation par le Conseil d’État.
• Sur l’article 226-16 du code Pénal, indiquant que « Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. ».

Pour finir, j’aimerais donner quelques informations techniques sur le tracking par wifi.

Les visiteurs pourrons simplement couper le wifi de leurs smartphones pour de ne pas participer au projet.

— Carré Rennais (@CarreRennais) February 10, 2017

En effet, comme on pourrait le penser et comme le Carré Rennais l’affirme, il ne suffit pas de désactiver le wifi sur nos téléphones pour ne pas être capté par un système de mesures de fréquentation des magasins. Comme l’indique l’article du site tuxicoman.jesuislibre.net, publié le 1 octobre 2015, « Sur Android 4.3, [le téléphone scanne constamment les réseaux wifi à proximité] même lorsque l’utilisateur a désactivé le Wifi. ».

https://twitter.com/DavidLibeau/status/830159781243523072

Edit : 15/02/17

Mise à jour à propos de l’intervention de M. Compagnon du Carré Rennais sur BFMTV

Transcription de son intervention au micro de BFMTV

« L’objectif du boitier, en fait, est de savoir dans les magasins, en fait, la fréquentation. Il n’y a absolument pas de tracking. Quand la personne entre dans le magasin, on n’a aucun moyen de l’identifier, on n’a aucun moyen de savoir qui elle est, on peut pas avoir son adresse, on peut pas avoir son mail, on peut pas avoir son numéro de téléphone… Ce que nous on fait au niveau du centre-ville, ça existe dans la plupart des centres commerciaux de France et de l’ a… [non compréhensible]. »

Dans cette intervention, différente informations son erronées ou non précises.

« Il n’y a absolument pas de tracking. »

Pourquoi c’est du tracking ?

Définition. Le mot « tracking » est anglais et est traduit par « pistage » par différentes sources. On peut définir le « pistage » comme l’action de suivre une personne en la surveillant, porter attention au chemin (la piste) que la personne empreinte.

Ici, les boîtiers wifi et le dispositif de mesure de fréquentation des magasins constituent bien du tracking. Marion Trommenschlager, responsable projets au Carré Rennais, l’indique très formellement dans l’article du Telegramme, « « On va pouvoir analyser leurs comportements selon leurs déplacements. ».

« Quand la personne entre dans le magasin, on a aucun moyen de l’identifier »

Entrer dans le magasin

Ici, vous affirmer, en substance, que le système de mesure de fréquentation des magasins n’est actif uniquement lorsque « la personne entre dans le magasin ». Or ceci est faux. Je me suis personellement rendu près de plusieurs magasins et ai aperçus vos boîtiers, déjà installés. Ceux-ci sont positionnés près des vitrines et près de la rue et semblent être équipés d’une antenne wifi omnidirectionnelle. De plus, je n’ai constaté la présence d’aucun dispositif d’arrêt des ondes, telle une cage de faraday. Cela signifie que le boitier est en mesure de capter les téléphones de toutes personnes en dehors du magasin, soit sur l’espace public et sur l’espace privé ne vous appartenant pas (propriétés mitoyennes, par exemple).

https://twitter.com/DavidLibeau/status/831424363438161921

L’identification

Je veux bien croire que vous n’ayez aucun moyen d’identifier le téléphone et donc la personne. Cependant, pour analyser les comportements et les déplacements des clients, l’identification est, par définition, obligatoire. Cette identification peut être (et doit être) anonymisé, mais cela reste une identification.

Pour une expérimentation transparente, il faut que les rennais(es) puissent comprendre très précisément comment fonctionnent ces boîtiers wifi. Pour cela, la seule solution est la publication des codes sources du boitier.

SOURCES :
(Consultées le 10/02/2017)

Info dans la presse :
– Telegramme http://www.letelegramme.fr/economie/commerce-le-wifi-pour-mesurer-les-flux-a-rennes-09-02-2017-11393947.php
– Ouest France http://www.ouest-france.fr/bretagne/rennes-35000/rennes-les-commercants-pourront-suivre-leurs-clients-la-trace-4791286
– 20 minutes http://www.20minutes.fr/rennes/2011831-20170210-rennes-capteurs-wifi-suivre-clients-centre-ville

Vérification de l’info :
– Article sur le blog du Carré Rennais http://www.carrerennais.fr/actualite/digitalvous-commerce-physique-data-course-a-lanticipation/
– Page Linkedin Marion Trommenschlager https://www.linkedin.com/in/marion-trommenschlager-782a5a3a (« Blog de recherche » https://www.investigateurs.fr)
– Article « Transformation du commerce physique : un allié nommé Data ? » https://www.investigateurs.fr/data-thick-data/a1-thick-data/
– Tweet @carrerennais https://twitter.com/CarreRennais/status/829726459069661184

Sources de droit :
– Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460#LEGIARTI000006528189
– Article 32 de la loi du 6 janvier 1978 https://www.legifrance.gouv.fr/affichTexteArticle.do?idArticle=LEGIARTI000024506226&cidTexte=LEGITEXT000006068624
– Préconisation de la CNIL sur les dispositifs de mesure de fréquentation des magasins https://www.cnil.fr/fr/mesure-de-frequentation-et-analyse-du-comportement-des-consommateurs-dans-les-magasins
– Définition du consentement par le Parlement européen http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/wp187_fr.pdf
– Délibération n° 2015-255 du 16 juillet 2015 (Jurisprudence) https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000031159401&fastReqId=1223935144&fastPos=3
– Validation du Conseil d’État N° 393714 http://arianeinternet.conseil-etat.fr/arianeinternet/getdoc.asp?id=209297&fonds=DCE
– Article 226-16 du code Pénal https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006070719&idArticle=LEGIARTI000006417955&dateTexte=&categorieLien=cid

Informations techniques :
– TRACKING PAR LES ÉMISSIONS WIFI ET BLUETOOTH https://tuxicoman.jesuislibre.net/2015/10/tracking-par-les-emissions-wifi-et-bluetooth.html
– HOW TO STOP CONSTANT WI-FI SCANNING ON ANDROID 4.3 https://www.androidpit.com/stop-constant-wi-fi-scanning-on-android-4-3

Sources pour la MAJ du 15/02/2017
– Intervention du Carré Rennais sur BFMTV http://www.bfmtv.com/mediaplayer/video/a-rennes-des-commercants-pistent-leurs-clients-via-le-reseau-wifi-914479.html

Définition de « tracking », « pistage », « pister » :
– Traduction de « tracking » par WordReference http://www.wordreference.com/enfr/tracking
– Traduction de « tracking » par ISC CNRS http://dico.isc.cnrs.fr/dico/tr/chercher_en?r=tracking&send=Traduire
– Définition de « pister » par Wikitionary https://fr.wiktionary.org/wiki/pister
– Définition de pister par CNRTL http://www.cnrtl.fr/definition/pister (sens n°2)