Ce que votre DPO demandera sur le comptage de personnes

Pourquoi la mesure de visiteurs atterrit sur le bureau du DPO

Compter les visiteurs, c’est mesurer des personnes dans un espace physique, et la plupart des façons de le faire touchent à quelque chose qui pourrait être personnel : des signaux émis par un téléphone, ou des images à une porte. Un DPO, le délégué à la protection des données, ou une équipe conformité a raison de ralentir le projet et de demander ce qui est collecté, ce qui est conservé, et si quiconque pourrait un jour être isolé dans les données. Cette page rassemble les questions qui reviennent quand une AIPD, une analyse d’impact relative à la protection des données (aussi appelée DPIA), se penche sur la mesure de visiteurs, et indique où trouver les réponses écrites. C’est un repère, pas un conseil juridique, et elle ne remplace pas l’évaluation propre à votre organisation.

Les questions à prévoir

Une AIPD déroule une série prévisible : ce qui est collecté, si quelque chose est demandé aux visiteurs, ce qui est conservé, si quiconque peut être isolé dans les données, si les caméras stockent des images, et où vont les chiffres. Plutôt que de les reformuler ici, les réponses sont exposées point par point dans ce que les équipes conformité nous demandent ; cette page porte sur l’évaluation qui les entoure, et non sur une seconde copie des mêmes réponses.

Des statistiques, jamais des fichiers sur des personnes

Une distinction à poser tôt dans toute évaluation : ce que la méthode livre, ce sont des statistiques, pas des dossiers sur des individus. Comptages de visiteurs, temps de présence, flux, taux de captation et tendances arrivent sous forme de chiffres agrégés, et il n’existe derrière eux aucun enregistrement stocké d’une personne, puisque toutes les données personnelles sont supprimées de manière irréversible au cœur même de la méthode. C’est un point de départ différent des systèmes qui collectent d’abord des données personnelles et les protègent ensuite.

Où trouver les réponses écrites

Un DPO voudra des sources, pas des résumés. La position de conformité est exposée sur analyse de fréquentation conforme au RGPD, y compris ce que l’approbation réglementaire change pour un examen : Bumbee Labs exploite la seule méthode de mesure de fréquentation en Europe approuvée par une autorité de protection des données, si bien que la question centrale, cette méthode produit-elle des données personnelles, a déjà été posée et tranchée là où cela compte le plus. Le parcours pas à pas du signal à la statistique, collecte, anonymisation, filtrage, traitement et analyse, est décrit sur les données fournies. Notre politique de confidentialité pose la position sans détour : nous n’identifions pas les personnes, et nous ne construisons pas de profils des personnes comptées. Des réponses plus courtes aux questions les plus fréquentes se trouvent dans la FAQ.

Ce que votre propre évaluation tranche encore

Décider si votre organisation mène une analyse d’impact formelle, et ce qu’elle doit couvrir, revient à votre DPO et à votre fonction conformité. Rien sur cette page ne s’y substitue. Ce que nous pouvons faire, c’est rendre le travail rapide : une documentation en langage clair, des réponses directes et écrites aux questions restantes, et une présentation de la méthode, du parcours des données et du tableau de bord avec votre DPO dans la salle. Des organisations aux exigences de confidentialité élevées, communes, bibliothèques, pôles de transport, ont posé les mêmes questions avant de s’engager. Quand vous serez prêt, parlez à notre équipe et venez avec les questions que votre DPO posera de toute façon.