Face aux panneaux publicitaires numériques, nous devons affirmer la dimension collective des données personnelles

Depuis quelques années, les panneaux publicitaires sous forme d’écrans se multiplient dans le métro et ailleurs. A la gare Saint Lazare, une expérimentation a été lancée en vue de les utiliser à des fins de comptage des passants via des capteurs détectant les adresses MAC de leurs smartphones. Outre la question des dépenses énergétiques de ces dispositifs qualifiés d’inutiles par beaucoup, ces expérimentations interrogent le cadre légal qui entoure la notion de « données personnelles ».

Prenons l’histoire à ses débuts, lorsque Thomas Bourgenot (@_LoboTom_), du collectif Résistance à l’agression publicitaire (RAP) poste sur Twitter trois photos des panneaux prises à la gare Saint-Lazare. Sur leur tranche, on peut lire le message suivant : « Ce mobilier est équipé d’une mesure anonyme de l’audience opérée par Retency pour le compte de Métrobus. » Et en plus petit, une seconde ligne dit : « Si vous ne souhaitez pas faire partie de cette mesure d’audience rendez-vous sur https://retency.com/stats/. » Sur son site internet, la société Retency écrit qu’elle « a obtenu une autorisation de la Commission Nationale de l’Informatique et des Libertés (CNIL) » et qu’il est possible de se soustraire à l’expérimentation en saisissant son adresse wifi ou bluetooth dans les champs prévus.

D’autres expérimentations de ce type sont en cours, notamment à la gare de Dijon (lire à cet effet le communiqué de presse de Retency et la Délibération de la CNIL sur Légifrance). Comme l’a très justement rappelé la journaliste BFM Tech Elsa Trujillo, la CNIL considère ces expérimentations légales « à condition d’anonymiser les données en question et d’informer les passants du dispositif par un affichage clair ». La CNIL précise également sur la page dédiée au sujet (Dispositifs de mesure d’audience et de fréquentation dans des espaces accessibles au public : la CNIL rappelle les règles), que « Dans le cadre d’une anonymisation à bref délai, l’impact du traitement sur les personnes est moindre. Aussi, le premier niveau d’information peut se limiter à mentionner la finalité du traitement (c’est moi qui souligne), l’identité du responsable de traitement et l’existence des droits pour les personnes. » En d’autres termes, vue la nature du dispositif et la rapidité du système d’anonymisation (5 minutes à Saint Lazare et à Dijon), on considère qu’on peut se passer du consentement des passants. La CNIL mentionne également un second niveau d’information plus exigeant (article 13 du RGPD) mais celui-ci ne semble pas s’appliquer à notre cas, puisqu’il concerne seulement la collecte de données réellement personnelles (c’est-à-dire attachées à un individu et non anonymisées).

La position ambiguë de la CNIL

A partir de là, plusieurs questions se posent. D’une part, il y a le régime spécifique accordé par la CNIL : celle-ci considère que les données récoltées ne sont pas personnelles puisqu’elles sont anonymisées rapidement. Pour le juriste et auteur du blog Scinfolex Lionel Maurel (@Calimaq), ce parti pris se discute : « au moment où elles sont récoltées et avant d’être anonymisées, les données sont encore identifiantes : on pourrait donc juger qu’il est nécessaire de se baser sur le consentement libre et éclairé des personnes pour les collecter ». Par ailleurs, la CNIL accorde un droit d’opposition a posteriori aux passants (sous forme d’opt-out), d’où l’interrogation de Lionel Maurel : « cela revient à admettre que la collecte initiale rentre dans le champ des traitements couverts par le RGPD, sauf que si c’était le cas, la CNIL devrait retenir l’option du consentement préalable. » Expliquons-nous : habituellement, c’est lorsque des données personnelles sont collectées qu’un droit d’opposition est possible, par exemple pour les modifier ou les supprimer. Dans notre cas, les données ne sont pas personnelles (donc : non attachées à une personne), mais la CNIL permet tout de même aux personnes de s’opposer à leur collecte. Nous sommes donc dans une sorte d’entre-deux juridique qui n’est pas tout à fait clair, et surtout très paradoxal.

Il reste une autre manière de justifier juridiquement la collecte des données sans consentement explicite : « l’intérêt légitime de l’entreprise » (article 6 du RGPD). Si l’entreprise a besoin de ces données pour des raisons économiques qui engagent sa survie, alors le RGPD prévoit que la collecte peut être effectuée sans consentement explicite. Il subsiste bien sûr un flou autour de cette notion d’intérêt légitime qui a également été mobilisée pour justifier l’utilisation des capteurs (en tout cas à Dijon selon la délibération du 09 juin 2017, antérieure à l’entrée en vigueur du RGPD), mais cela n’ôte rien au fait qu’accorder un droit d’opposition reste incohérent.

Enfin, on pourrait légitimement questionner le fait que les passants sont bien informés ou non de la présence du dispositif via « un affichage clair », comme le préconise la CNIL. A la Gare Saint-Lazare, les photos montrent un texte écrit en latéral et en petit, sur un panneau d’affichage dont il y a fort à parier qu’il ne suscitera pas un intérêt suffisant pour qu’on s’y arrête, à moins d’être membre d’un collectif anti-pub. Dans la délibération du 09 juin qui concerne Dijon, la CNIL demandait à ce que Retency mette à proximité immédiate des dispositifs publicitaires « des affiches au format A4, sur lesquelles seront également présents des logos permettant d’attirer l’attention du public sur cette dernière ». Je ne sais pas si c’est le cas à Saint-Lazare et quand bien même, je doute fortement que cela incite à quoi que ce soit.

Des données pas si personnelles

Cependant, et pour en revenir à la question initiale de la collecte des données, un autre point mérite toute notre attention. Il est relatif à ce qu’on entend par « données personnelles ». Dans le cas des capteurs d’audience, la donnée récupérée est une adresse MAC, c’est-à-dire un identifiant physique stocké dans une carte réseau. Prise seule, cette donnée a un intérêt limité : c’est bien parce qu’on mesure plusieurs passages de plusieurs personnes (dit autrement : une foule) que la donnée individuelle produit du sens. La mesure de l’audience est en fait une donnée collective. La preuve : si je me retire seul de l’expérimentation, cela ne changera strictement rien à l’affaire puisque les données des autres passants suffiront à poursuivre l’expérimentation. L’individu n’est donc pas la bonne échelle pour s’opposer à ce mécanisme de collecte.

A ce stade, il est nécessaire de se demander pourquoi on pourrait s’opposer à cette collecte. Rappelons que les mesures d’audience servent à plusieurs choses : d’abord à compter le nombre de personnes qui passent devant un panneau afin d’ajuster le prix de l’espace publicitaire destiné aux annonceurs. Elles servent également à mieux comprendre les parcours des usagers en vue d’améliorer l’efficacité des panneaux. En théorie, les résultats de ces mesures d’audience pourraient donc permettre d’optimiser le prix des espaces publicitaires, le positionnement des écrans à l’intérieur d’un espace (zones chaudes ou zones froides) et peut-être même les publicités elles-mêmes (ce dernier point est une pure supposition : si on sait que les passant circulent plus ou moins vite devant un écran, alors on pourrait en théorie décider d’allonger ou de diminuer la durée d’une publicité). Quoiqu’il en soit, ces mesures d’audience permettent de rendre plus efficace la publicité et donc de capter notre attention avec plus de précision. Cette capture, symptôme de la fameuse « économie de l’attention », produit des effets sur nos sociétés (écologiques, sociaux), qui ont largement été documentés par des spécialistes du cerveau ou des chercheurs en sciences humaines et sociales, comme Yves Citton.

En s’élevant un peu, nous comprenons donc que la somme de nos données personnelles entre dans une boucle de rétroaction qui permet l’amélioration continue des processus de captation d’attention. C’est un peu comme si nous travaillions gratuitement pour les publicitaires, contre nous-mêmes. A ce titre, on peut légitimement interroger l’affirmation de la CNIL comme quoi « Dans le cadre d’une anonymisation à bref délai, l’impact du traitement sur les personnes est moindre ». Dans notre cas, on voit bien que la sensibilité de « l’impact » ne dépend pas du fait que la donnée ait été anonymisée ou non, mais des effets collectifs qu’elle produira sur notre attention. De ce point de vue, le droit tel qu’il est écrit par la CNIL n’est pas neutre : il accompagne une logique technologique de mise en performance de notre attention. Si l’on se prête à un petit exercice avant / après, notre attention n’en sort pas gagnante.

Et comme je l’écrivais plus haut : le fait de pouvoir se soustraire de l’opération individuellement est un coup d’épée dans l’eau, voire une hypocrisie totale. En effet, d’une part l’opération continuera sans moi même si je m’en retire, et d’autre part, les conséquences collectives m’affecteront de toute manière si je continue à circuler dans cet espace (qui dans le cas d’une gare, est un espace public financé par l’impôt).

De la nécessité d’envisager les données sous leur forme collective

Cet angle mort du droit qui ne reconnaît pas la dimension collective des données personnelles a fait l’objet d’un passage dans le Rapport Villani « donner un sens à l’intelligence artificielle » (p 148) où il est écrit qu’ « un individu peut être protégé de manière granulaire contre la collecte d’une information qui l’identifie, mais cette protection ne couvre pas la configuration réticulaire (en réseau) que toute information revêt. » Ce même rapport invite à « penser les droits collectifs sur les données » et, comme le notait Lionel Maurel dans un autre billet (dont je recommande vivement la lecture) le rapport fait également mention de la notion de « données d’intérêt général ». Sans entrer dans les détails, on comprend que le sujet n’est pas vraiment nouveau.

Il est possible de sortir de cette situation par le haut, en demandant la prise en compte du caractère collectif de nos données personnelles. Ce travail a été amorcé par Lionel Maurel et Laura Aufrère, doctorante au Centre d’Économie de Paris, dans un document disponible en ligne : Pour une protection sociale des données personnelles. Je cite Lionel : « Dans  nos propositions, nous avons émis l’idée que les données dites « personnelles » devraient en réalité être reconnues comme des « données citoyennes » pour manifester l’idée que nous devrions conserver un pouvoir collectif de contrôle sur leur usage, y compris lorsque les données sont anonymisées. »

Aujourd’hui, il n’y a de recours possible ni contre l’extension des procédés de captation de l’attention, ni contre les modifications de l’espace public issues de l’analyse de nos données collectives. Quand la CNIL dit « les personnes », elles les considèrent une à une, telle que le postule la règlementation, mais elle est incapable de voir « les personnes » comme une entité collective, ayant les intérêts d’un groupe. Or nous devrions, en démocratie, avoir notre mot à dire sur ces aspects qui engagent nos modes de vivre-ensemble, par exemple sous forme de « class-action », c’est-à-dire de recours collectif qui permettrait de fusionner assez de plaintes pour peser sur les décisions qui prévalent à la mise en place de ces dispositifs. En un mot : des effets collectifs demandent des réponses collectives. C’est cela que permettrait la protection sociale des données.

J’ajoute à cette réflexion une précision de taille : avant la question du traitement des données personnelles, les écrans publicitaires font déjà l’objet de vives critiques relatives à leur impact énergétique ou encore à la pollution visuelle et lumineuse qu’ils génèrent. Interroger la dimension des données n’enlève rien au fait que ces critiques restent prioritaires. Avant de décider du cadre de légal qui régule la gestion des données capturées, il conviendrait de se demander collectivement si oui ou non il est utile et responsable de multiplier la présence de ces dispositifs. Sans quoi nous risquons de nous retrouver avec des « panneaux publicitaires éthiques », qui ne nous volerons pas nos données mais qui pourraient bien continuer à gaspiller autant de ressources minières pour pas grand-chose.

Irénée Régnauld (@maisouvaleweb), pour lire mon livre c’est par là, et pour me soutenir, par ici.


NB : Un dernier point, il conviendrait également de s’interroger sur les dispositifs d’écoute ou de surveillance présents dans certains appareils mais désactivés lors de leur lancement. Récemment, Google a défrayé la chronique car des utilisateurs américains avaient trouvé un micro caché dans la solution de sécurité résidentielle Nest. Ce micro n’apparaissait même pas dans les spécifications techniques du produit. La société a précisé que « Nest Guard dispose effectivement d’un micro qui n’était pas activé par défaut », et a fini par tout de même s’excuser de ce petit oubli. Je ne connais pas les spécifications techniques des panneaux numériques de Retency (la société appartient à Publicis et JCDecaux), mais le simple fait que ces capteurs existent sans être activés – ou puissent être ajoutés si facilement – en dit long sur le projet technologique qui anime ces sociétés. A revers, le simple fait que nous acceptions de disposer dans l’espace public des appareils dotés de ces capteurs en dit long sur notre manière d’appréhender le futur, et le profond déterminisme technique qui la sous-tend. Comme le dit l’adage, ce qui est possible techniquement n’est pas toujours socialement souhaitable.

NB (2) : cet article un peu à chaud peut contenir des erreurs ou demander quelques précisions supplémentaires (je ne suis pas juriste), si c’est le cas, merci de me les signaler (gentiment).

13 comments

  1. Pingback: Khrys’presso du 1er avril 2019 – Framablog

  2. Pingback: Toronto Quayside : la cité-État numérique peut-elle être démocratique ? | Mais où va le Web

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *