La ville néerlandaise d’Enschede se voit infliger une amende GDPR pour du traçage wifi
Enschede devra verser 600.000 euros, parce que la ville a suivi des gens sur une base individuelle. Or il s’agit là d’une infraction à la réglementation européenne sur le respect de vie privée.
Enschede utilise depuis mai 2018 des capteurs wifi pour collecter des informations sur les visiteurs et les habitants de la ville et leurs déplacements. Les traceurs enregistrent les adresses MAC (les numéros d’identification uniques d’appareils internet tels des smartphones et tablettes), mais aussi le temps que les personnes passent en certains endroits, et la puissance du signal.
Comme ces données sont enregistrées sur une période assez longue, il s’agit, selon l’Autoriteit Persoonsgegevens (AP) néerlandaise, de ‘suivi’ et non plus de comptage de personnes. L’objectif de la ville n’était pourtant pas de suivre les individus, mais le simple fait que le traçage wifi le permette, constitue en soi déjà une infraction, selon l’autorité en charge de la confidentialité.
Filtres et pseudo-anonymat insuffisants
L’AP a poursuivi son enquête et estime que le respect de la vie privée des citoyens a été insuffisamment garanti et que les filtres promis pour conserver la confidentialité n’étaient pas adéquats. Un filtre ciblant des gens qui déclarent explicitement ne pas vouloir participer à cette expérience doit s’assurer que les données de ceux-ci ne soient pas conservées à long terme. De plus, ce système n’était pas hermétique.
En outre, les adresses MAC étaient rendues pseudo-anonymes, alors que dans la pratique, il s’agissait du même pseudo-anonymat pour l’ensemble des différents traceurs wifi, ce qui fait que les adresses en question étaient conservées en tant que modèle unique et ce, durant six à sept mois.
En tout, sur une période d’un peu moins de deux ans, les données d’1,8 million d’appareils uniques ont été traitées par la ville.
‘L’objectif n’était pas qu’on puisse savoir quel magasin, médecin, église ou mosquée était visitée. Cela fait partie du privé et doit le rester. Afin que les gens puissent agir comme bon leur semble, sans être freinés par un possible enregistrement’, déclare la vice-présidente de l’AP, Monique Verdier, par la voie d’un communiqué. La décision dans sa totalité se trouve ici.
En appel
Les données étaient accessibles pour la ville et deux entreprises concernées. Depuis le 1er mai 2020, Enschede a interrompu cette pratique après intervention de l’AP. La ville a cependant fait appel de l’amende reçue.
Le système belge plus respectueux de la confidentialité
La pratique d’Enschede fait penser à ce que des villes belges telles Courtrai font actuellement. Proximus fournit à la ville des informations sur la façon dont les visiteurs se déplacent sur base des données GSM.
Ce projet fut pointé du doigt, parce qu’au moment de l’annonce, il n’y avait pour le citoyen et le client de Proximus pas la moindre possibilité de se désinscrire. Ce n’est qu’un peu moins d’un mois plus tard qu’il devint possible d’envoyer dans ce but un courriel à Proximus même.
Il n’empêche que ce système est un peu plus respectueux de la confidentialité que celui d’Enschede. C’est ainsi que Courtrai ne reçoit aucune information sur des données individuelles rendues anonymes, mais bien des tendances générales, comme le nombre de visiteurs provenant des différentes provinces. Ce projet fut par la suite aussi examiné par l’Autorité belge de protection des données.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici