Une société a déposé auprès de la Commission nationale de l’informatique et des libertés (Cnil) une demande d’autorisation d’un traitement automatisé des flux de piétons sur la dalle de La Défense ainsi que sur des axes de déplacements effectués dans ce périmètre, par l’installation de boitiers de comptage wifi.
Par une délibération du 16 juillet 2015, la Cnil a refusé à la société l’autorisation de mettre en oeuvre un tel traitement. En effet, elle relève que la société entend collecter les adresses des terminaux mobiles des personnes passant près de ces boitiers et ce, de manière directe, même si la collecte ne nécessite aucune intervention des personnes concernées.
Lobjectif est donc d’identifier les déplacements des personnes et leur répétition sur la dalle piétonne.
Le Conseil dEtat, dans une décision du 8 février 2017, rejette la requête de la société.
La Haute autorité administrative rappelle quil résulte de la définition de la donnée personnelle, inscrite à l’article 2 de la loi du 6 janvier 1978, qu’une telle donnée ne peut être considérée comme rendue anonyme que lorsque l’identification de la personne concernée, directement ou indirectement, devient impossible, que ce soit par le responsable du traitement ou par un tiers. Tel n’est pas le cas lorsqu’il demeure possible d’individualiser une personne ou de relier entre elles des données résultant de deux enregistrements qui la concernent.
Elle relève ensuite que la Cnil n’a pas commis d’erreur de droit en faisant application des dispositions du paragraphe I l’article 32 de la loi du 6 janvier 1978 relatives aux collectes directes et non de celles régissant les collectes indirectes.
Le Conseil dEtat ajoute que la Cnil a pris en compte tant le contexte du traitement présenté que ses objectifs, ainsi que l’ensemble des données techniques afférentes au nombre de personnes traversant la dalle de La Défense, et a légitimement estimé que les objectifs de la collecte étaient incompatibles avec une anonymisation des informations recueillies.