Les nouvelles technologies de localisation du consommateur à l’épreuve des données personnelles

Written on 4 Apr 2016

De nouvelles technologies permettent dorénavant d’établir la position
précise des consommateurs lors de leurs emplettes en collectant les données
émises spontanément par leurs smartphones ou via les applications téléchargées
sur ceux-ci.

Les données ainsi collectées sont susceptibles de permettre
l’identification du prospect devant le magasin ou celle des clients dans les
rayonnages  et sont donc qualifiables de
données à caractère personnel au sens de la loi Informatique et Liberté du 6
janvier 1978. Par conséquent, ces technologies de localisation du consommateur présentent
des enjeux tant au regard de l’information du consommateur sur le traitement de
ses données personnelles (I) qu’à celui du recueil de son consentement à un tel
traitement (II).

I – L’information préalable et
l’anonymat du consommateur: prérequis de toute captation automatique des
données

La CNIL a appréhendé les dispositifs permettant de capter les données
émises spontanément par nos smartphones (adresses MAC de la carte réseau par
exemple) dans une recommandation du 19 août 2014 relative aux mesures de
fréquentation et d’analyse du comportement des clients dans les magasins.

Tout consommateur doit être informé de la mise en place en magasin de
dispositifs susceptibles de collecter des informations sur sa présence, de la
finalité de ces dispositifs et de l’identité du responsable du traitement.

En outre, ces données ne peuvent être conservées que sous réserve de
l’obtention du consentement exprès du consommateur ou à défaut, sous réserve de
leur anonymisation. 

 Sinon, elles doivent être supprimées
dès la sortie du consommateur du magasin ou faire l’objet de mesures telles que
l’utilisation d’un algorithme d’anonymisation des données.

Enfin, lorsque de tels dispositifs ont “pour finalité de mesurer l’audience d’un dispositif publicitaire, ou
d’analyser la typologie ou le comportement des personnes passant à proximité
d’un dispositif publicitaire
“, ils doivent faire l’objet d’une
autorisation auprès de la CNIL – et non plus d’une simple déclaration. 

Didactique mais lacunaire, la recommandation de la CNIL n’aborde pas la
situation dans laquelle le consommateur a préalablement accepté le recours à un
procédé de captation de ces données via une application de type Ibeacon
installée sur le terminal de son smartphone.

II- Le consentement exprès du
consommateur et les technologies de type Ibeacon

Parangon des nouvelles technologies à finalité marketing, les technologies
Ibeacon permettent d’envoyer et de recevoir des notifications ou
“pushs” sur son smartphone lorsque l’utilisateur approche ou
s’éloigne d’un lieu équipé de cette technologie. Plus particulièrement, ces
technologies permettent :

– lorsque le prospect est à l’entrée du magasin (voire sur le seuil à
l’extérieur), de lui envoyer des “pushs” de bienvenue et des listes
de promotions; 

– lorsque le client est situé dans les rayons alentours, de lui envoyer des
messages publicitaires ou promotionnels sur les produits situés dans les rayons
alentours;

– enfin, lorsqu’il est situé à moins de 50 cm de la balise Ibeacon,
d’envoyer des informations sur les produits consultés ou ” à vue”.

Il semble possible d’appliquer à cette prospection par message envoyé par
Ibeacon les règles définies par la CNIL dans sa recommandation relative à la
prospection commerciale par SMS-MMS.

Ce faisant, la mise en œuvre de cette technologie requiert le consentement
exprès et spécifique du consommateur préalablement à toute prospection par
Ibeacon ainsi qu’à tout partage ou cession des données collectées, ce qui n’est
pas sans soulever quelques problématiques.

En effet, le recueil du consentement du consommateur devrait idéalement
être effectué lors de son entrée en magasin afin que l’information préalable
délivrée soit complète et précise et que le consentement donné soit pertinent,
mais le caractère fastidieux d’un tel procédé fait douter de son efficacité.

A l’heure actuelle, le consentement est généralement recueilli par
l’éditeur au moment du téléchargement de l’application, ce qui a le mérite de
la simplicité même si le caractère conforme du consentement ainsi donné par le
consommateur peut être discuté au vu de l’information non circonstanciée qui
lui est alors délivrée.