A l'entrée du centre commercial Les Quatre Temps, sur le parvis du quartier d'affaires de la Défense, il y a une petite affichette colorée que la plupart des clients n'ont sans doute pas remarquée en allant faire leurs courses. Dommage.

Sur cette affichette, partagée sur les réseaux sociaux depuis dimanche, on apprend qu'Unibail Rodamco, le groupe propriétaire du centre commercial, peut collecter au passage de ses clients des données personnelles depuis leur téléphone portable, "aux fins de réaliser des statistiques concernant les flux de clientèle de [ses] centres commerciaux".

(Rue89)

(Oui, oui, vous avez bien lu : le site est aussi protégé par "pulvérisateur ADN", de la marque Smartwater, "société qui lutte contre la délinquance". Il s'agit d'asperger un braqueur en action d'un liquide "inodore, indélébile et encodé", qui signera son passage.

En 2014, "LSA" rapportait que plusieurs centres commerciaux en France étaient équipés du dispositif.)

Pour ce qui est de la collecte de données, le centre commercial précise qu'elles ne seraient conservées "que" pendant une durée de six mois. Mais comment une telle collecte est-elle possible ?

Des infos qui valent de l'or

Quand le wifi est activé sur un smartphone, il envoie des signaux radio qui, s'ils sont interceptés par des capteurs, permettent de calculer les trajets de son propriétaire et de déduire son temps de stationnement (dans un magasin, par exemple).

Cela signifie concrètement qu'en me baladant dans un centre commercial ayant installé des capteurs, l'établissement va pouvoir me suivre à la trace : tiens, la cliente est d'abord entrée chez Afflelou, puis a passé quatre minutes chez Marionnaud, avant de filer chez Camille Albane où elle est restée exactement 47 minutes. Elle s'est enfin échappée à 15h55, en direction du métro.

Sur les affichettes collées aux entrées, Le Quatre Temps explique aux clients, sans complexe et dans un langage marketé, qu'on leur veut du bien : la collecte de données permet "d'améliorer nos services et votre expérience client".

Mathieu Cunche, maître de conférences à l'Insa de Lyon et membre du groupe Privatics de l’Inria, interviewé par Arte, expliquait ce qui poussait des centres commerciaux à collecter ces données :

"Ce sont des informations très utiles pour savoir combien de personnes sont venues aujourd'hui, à quelle heure était le pic d'affluence, à quelle fréquence est-ce que reviennent les clients... Toutes ces informations valent de l'or pour les personnes qui managent les magasins. "

Un tel dispositif pourrait, à terme, être utilisé pour de la publicité ciblée, exactement comme sur internet. Imaginez : un capteur repère ma présence dans le centre et tente de m'aguicher avec une pub pour des lunettes de soleil parce qu'il sait que deux semaines plus tôt j'avais passé du temps chez l'opticien.

Dans le centre commercial de La Défense, le client est chaudement invité à "rester connecté". Le wifi est "gratuit et illimité". Des prises ont été installées dans les accoudoirs des canapés pour recharger son téléphone.

Absent, malheureusement

Contactée par Rue89, la direction des Quatre Temps n'a pas répondu à nos questions – "le directeur du centre est malheureusement absent". Voilà ce qui nous a été transmis, au nom d'Unibail-Rodamco :

"Je vous confirme que Les 4 Temps ont effectué un test visant à mieux comprendre les grands types de parcours clients effectués par les visiteurs. A cette fin, la collecte d’une donnée anonymisée a été mise en place.



Une déclaration Cnil [Commission nationale de l'informatique et des libertés] a été effectuée et des échanges avec la Cnil sont en cours depuis deux ans.



Ce pilote a été arrêté début mai, les dernières données collectées ont été supprimées."

La direction confirme que la collecte s'effectuait en interceptant le signal wifi des clients. La présence de l'affichette en ce mois de juillet, aux entrées de l'immense centre commercial, n'est qu'un oubli, me dit-on.

Les internautes ayant récemment écrit au centre commercial ont obtenu la même réponse (voir mail ci-dessous), avec une précision supplémentaire :

"Seule l'adresse MAC des téléphones mobiles [un numéro unique rattaché à un appareil, NDLR] était collectée jusqu'à mai 2017."

Pour info, si tu veux retweet aux personnes qui ont posté sur la première image pic.twitter.com/eIldqsVcCr — Harvester Not CISSP (@Harvesterify) 11 juillet 2017

Si l'expérimentation est terminée, et si les données ont bien été effacées des serveurs, l'"expérimentation" pose tout de même de nombreuses questions et problèmes.

"C'est une blague ?"

Quand je montre l'affichette oubliée à Mathieu Cunche, il rit nerveusement. "C'est une blague ?" Il trouve ce qu'il lit à voix haute "un peu gros". Je me suis rendue ce mercredi à La Défense : les affichettes étaient toujours collées aux vitres, identiques mot pour mot.

Pour le maître de conférences que j'ai au bout du fil, un tel système de traçage passif n'est pas anecdotique : des sociétés se spécialisent dans leur développement et des dispositifs similaires sont déployés dans d'autres centres commerciaux français, comme aux Etats-Unis.

A Rennes, récemment, une association de commerçants fomentait le projet de cartographier les déplacements de leurs clients en surveillant les signaux wifi de leur téléphone. Le projet critiqué a été suspendu.

Si la plupart des internautes ont aujourd'hui conscience qu'ils peuvent être tracés sur internet, nous sommes peu au fait que la même chose est possible dans notre monde de béton.

"Le traçage cyberphysique est en plein essor", dit Mathieu Cunche.

Anonymisation

Dans le mail que Les Quatre Temps ont adressé à l'internaute, il est précisé que l'établissement a collecté des données "de façon anonyme et non individualisée".

L'adresse MAC que le magasin a collectée est pourtant un numéro unique, rattaché au réseau wifi de chaque smartphone et donc à un individu en particulier (exactement comme un numéro de téléphone portable).

C'est une donnée personnelle.

C'est aussi paradoxal avec ce qui est inscrit sur l'affichette : "Vous pouvez accéder aux données collectées ou vous opposer à ce traitement en écrivant à contact.donnees.personnelles@unibail-rodamco.com".

Pour permettre à un client d'accéder à ses données, il faut pouvoir le retrouver dans la masse d'informations collectées. Et donc l'identifier parmi celles-ci.

Au regard des informations fournies par le centre commercial, il semble que le dispositif n'était pas conforme à la réglementation de la Cnil, qui demande aux établissements mesurant la fréquentation de leurs magasins d'anonymiser leurs données si celles-ci sont conservées.

Pour anonymiser les données, l'établissement peut par exemple systématiquement supprimer les deux derniers chiffres du numéro MAC.

Sur la même esplanade de La Défense, en 2015, JCDecaux avait prévu de suivre les badauds qui passaient à proximité de leurs encarts publicitaires, en collectant les adresses MAC de leur téléphone, dans un périmètre de 25 mètres. La Cnil s'y était opposée, estimant notamment que les garanties d'anonymisation n'étaient pas suffisantes :

"Pour qu'une solution d'anonymisation soit efficace, elle doit empêcher toutes les parties d'isoler un individu dans un ensemble de données."

Sans consentement

Pour garantir la vie privée des personnes, la Cnil demande à ce que ce type de données, si elles ne sont pas anonymisées, soient traitées "à la volée".

"Les données émises par le téléphone portable doivent être supprimées lorsque son porteur sort du magasin."

A La Défense, les données des clients pouvaient être conservées jusqu'à six mois.

Si les données ne sont pas anonymisées et conservées plusieurs mois, cela signifie que le centre commercial peut potentiellement deviner qu'un client X, repéré par l'identifiant unique de son portable, est venu faire ses courses le 4 avril, puis le 3 mai, puis le surlendemain. Et si le client a loupé l'affichette orange de l'entrée, il n'en saura jamais rien.

A défaut d'anonymisation des données, le consentement "préalable et éclairé des personnes est nécessaire", dicte la Cnil. Au Quatre Temps, on proposait aux clients de s'opposer après coup à la collecte de leurs données personnelles.

"Le traçage est imposé sans demander au préalable le consentement", critique Arthur Messaud, juriste à La Quadrature du Net, association de défense des droits et libertés des citoyens sur internet.

Pour lui, une telle collecte revient à constituer des fiches de chaque client avec ses allers et venues étalés dans le temps.

"Les traces de mobilité sont, à la base, des données brutes. Mais si elles sont traitées avec les bons algorithmes et autres jeux de données, elles peuvent permettre d'extraire des données personnelles et sensibles", met en garde Mathieu Cunche.

Un établissement qui trace ses clients peut par exemple détecter qu'untel client est venu régulièrement chez eux avec la même personne. Un ami, un parent, un amant, dont le portable aura fait exactement le même cheminement dans l'établissement. Tiens, untel semble avoir déjeuné dans le restaurant du centre commercial, à plusieurs reprises. Ils ont fait vite la dernière fois : 25 minutes sur place, entre 12 heures et 13 heures.

Voilà pourquoi un tel type de dispositif, intrusif, est inquiétant, abonde le juriste. "Pour faire de la surveillance étatique, c'est une mine d'or", ajoute-t-il.

Quelles solutions ?

Pour éviter de se faire pister en faisant ses courses, on peut bien sûr désactiver le wifi de son smartphone à chaque fois que l'on sort de chez soi. Comme le suggère Mathieu Cunche, certaines applications comme Wi-Fi Matic, permettent de le désactiver automatiquement lorsque l'on se trouve dans des endroits non familiers. Des solutions qui ne sont pas pour autant satisfaisantes :

"Cela force l'utilisateur à réduire son expérience pour prévenir le traçage pour lequel il n'a pas donné son autorisation."

Arthur Messaud de La Quadrature du Net dit la même chose : c'est une solution à court-terme, qui ne règle rien.

"Ce n'est pas aux gens de s'adapter, surtout que ce type d'astuce pour se protéger sera caduque quand dans une, deux ou trois semaines, on trouvera de nouvelles façons de pister les gens."

La révision de la directive ePrivacy est en ce moment en cours à Bruxelles. L'enjeu est "crucial pour la vie privée", soulignait La Quadrature du Net, critique sur plusieurs dispositions du projet, notamment sur la géolocalisation des individus à partir de leurs terminaux. Le consentement des individus pour l'analyse de ce type de données ne peut être effectué sans leur consentement explicite, soutient l'association.

"Face à ce type de technologies qui ne cessent de croître, les seules solutions sont collectives", abonde au téléphone Arthur Messaud.

Il y a pour lui d'autres moyens de protection, plus efficaces que de désactiver le wifi de son téléphone : contacter la Cnil, réfléchir à des moyens d'actions entre usagers, porter plainte au pénal pour atteinte à la vie privée ou encore écrire aux députés européens.

Chers riverains, si vous remarquez un dispositif similaire dans un autre centre commercial, n'hésitez pas à nous envoyer une photo de l'affichage (ebrouze@rue89.com).

Aller plus loin

Un salarié peut-il refuser d’être géolocalisé ?

Clearblue m’a ciblée : quand la pub te rappelle que tu es en âge de procréer