Le Parti Pirate en Bretagne
Strollad Morlaeron Breizh

Categories

Accueil du site > Politique > Traçage wifi : Installation à Rennes de 30 boîtiers chez des commerçants

2 mars 2017
Mistral OZ

Traçage wifi : Installation à Rennes de 30 boîtiers chez des commerçants

Information et débat autour de cette technologie de traçage.

De quoi s’agit-il ?

Le carré Rennais (association réunissant des commerçants à Rennes) a annoncé mettre en place des dispositifs qui vont identifier les « flux » (entrée / sortie) d’une 30aine de magasins du centre ville.

Cela a suscité des réactions sur les réseaux sociaux et dans les médias. Le Parti Pirate a été interpellé pour savoir si nous nous opposons à ce dispositif. Or pour faire les choses bien, nous aimerions comprendre de quoi il est question et en débattre avant de donner notre position. Il s’agit d’une pratique relativement nouvelle mais qui est loin d’être isolée au seul Carré Rennais. En fait, c’est même plutôt une pratique qui s’est répandue sans aucune information publique. Elle a fait l’objet le 8 février 2017 d’une décision du Conseil d’État concernant l’esplanade de la Défense à Paris (JCDecaux) et cette technique est aussi utilisée dans de grands centres commerciaux [1].

Concrètement, la carte wifi qui équipe nos smartphones est identifiée par un numéro unique. Ce numéro est une sorte de numéro de série qui fait l’objet d’une norme et il est attribué par une association de professionnels au niveau international (l’IEEE). Ce numéro de série se nomme une adresse MAC. Elle a le format suivant 01:00:5E:00:00:00. Cette adresse est diffusée par nos appareils même lorsqu’ils ne sont connectés à aucun réseau (il suffit que la carte wifi soit active [2]). Les boîtiers mis en place ne proposent pas d’accès internet : ils sont simplement présent en observation et récupèrent cette adresse. Ils se servent alors de cette identification (adresse MAC) pour nous tracer. Ils identifient avec une relative approximation notre position dans l’espace et vos déplacements.

Par la suite, ces positions, enregistrées périodiquement (environ toutes les 2 minutes) servent à tracer la carte des déplacements, quantifier la présence dans l’espace (où je suis) et le temps (combien de temps j’y passe) ainsi que la récurrence des visites (combien de fois je reviens). Ils ont une portée maximale d’environ 50 mètres et peuvent s’interconnecter (néanmoins ils peuvent être restreint à moins de 50m).

Qu’en dit le Carré Rennais ?

Le CR et le prestataire de la solution nous ont fourni des informations. C’est évidemment déclaratif, nous n’avons pas pu obtenir de documents. Mais il faut noter cependant qu’ils ont fait le choix de communiquer à ce sujet et ont retardé la mise en place du dispositif le temps de faire une demande spécifique à la CNIL quant à la légalité de leur dispositif (ce qui veut dire que pour le moment les dispositifs ne seraient pas actifs). Le fait que le Conseil d’État ait rejeté la demande de JCDecaux (cf. décision du 8 février 2017) est la cause principale de ce retard mais il est appréciable qu’ils aient fait la démarche de mise en conformité préalable. Ce qui est loin d’être le cas de tous ceux qui utilisent ces dispositifs (nous ne savons pas encore si c’est le cas à Rennes, nous investiguons mais cela est assez probable). Ces dispositifs ne seront pas configurés à 50m de portée mais selon la disposition du magasin, uniquement sur son espace de vente (et pas sur la rue devant la boutique).

Nous reviendrons sur les détails techniques du dispositif du CR dans un autre article. Pour le moment nous poursuivons les échanges pour bien comprendre comment ils souhaitent le mettre en œuvre. De leur coté, certaines choses sont encore en réflexion puisqu’ils attendent la réponse de la CNIL. De notre coté, nous ne voulons pas focaliser sur le CR car c’est une question beaucoup plus large. Cependant, nous restons très vigilants y compris sur la solution du CR et nous y reviendrons.

La MAC est-elle une donnée personnelle ?

Le Conseil d’État a tranché la question. Non, ce n’est pas en soi une donnée personnelle mais dans la mesure où elle permet de manière indirecte d’identifier une personne unique (via son smartphone), elle est dès lors protégée par la loi de la même manière. Concrètement, cela signifie une double contrainte :

  • La CNIL se doit d’être encore plus vigilante sur les finalités poursuivies et le traitement accordé aux données.
  • Il doit y avoir une information auprès du public, ainsi qu’un droit d’accès, d’opposition et de rectification (sauf si la donnée est anonymisée à « court terme »).

Il faut alors considérer également si la donnée peut être anonymisée à court terme car dans le cas contraire, cela rendrait le dispositif extrêmement complexe à mettre en place (comment faire valoir un droit d’opposition ou un droit d’accès avec une information personnelle que les personnes ne sont mêmes pas conscientes de diffuser ?). Non que ce soit impossible, mais cela rend la chose assez compliquée. Sur Internet, on peut désactiver les coo