Anonymiser les données ne suffit pas à s'exonérer du RGPD
Pour s'abstraire du RGPD, les entreprises ont recours à l'anonymisation de données. En pratique, cette opération doit respecter des critères très stricts, pour éviter toute réidentification des personnes concernées.
PublicitéEn principe, les données anonymisées ne sont pas concernées par le RGPD. En effet, le Règlement général sur la protection des données (« RGPD ») ne s'applique qu'en présence de données à caractère personnel, lesquelles se définissent comme « toute information se rapportant à une personne physique identifiée ou identifiable [1] ».
En conséquence, « il n'y a dès lors pas lieu d'appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable. » [2]
Mais, en pratique, il faut distinguer la pseudonymisation et l'anonymisation. La pseudonymisation est un traitement de données personnelles réalisé de façon à rendre impossible l'attribution d'une donnée à la personne concernée, sans avoir recours à des informations supplémentaires. Les données directement identifiantes (nom, prénom, date de naissance, etc...) sont ainsi remplacées par des données indirectement identifiantes (alias ou numéros séquentiels). L'anonymisation consiste à rendre impossible toute identification de la personne par quelque moyen que ce soit, et ce, de manière irréversible. Elle permet l'exploitation de données personnelles, sans violer les droits et libertés des personnes, les données ne pouvant pas être renvoyées à une personne physique. L'impact de leur diffusion est ainsi nécessairement limité.
Se prémunir de techniques de réidentification
Cependant, il peut arriver qu'en pensant anonymiser, le responsable de traitement ait en fait pseudonomysé [3] les données. Compte-tenu de l'importance et des responsabilités associées à une mauvaise anonymisation des informations, les autorités de protection des données personnelles ont établi trois critères permettant de s'assurer que les données sont véritablement anonymisées [4] :
- L'individualisation : un individu ne doit pas pouvoir être isolé dans le jeu de données ;
- La corrélation : il ne doit pas être possible de relier entre eux des ensembles de données distincts concernant un même individu ;
- L'inférence : de nouvelles informations sur un individu ne doivent pas pouvoir être déduite, de façon quasi certaine.
Toutefois, le progrès technologique pourrait permettre le développement de systèmes ou solutions permettant la réidentification des personnes concernées, même après anonymisation via les méthodes conventionnelles connues à ce jour. Aussi, conformément à une délibération de la CNIL [5], il est recommandé de prévoir un engagement avec chaque utilisateur des jeux de données anonymes afin de ne pas tenter une quelconque réidentification.
Publicité1) Définition de la CNIL
2) Considérant 26, RGPD
3) GPDP, 18 juillet 2023, n° 9920977
4) Avis sur les techniques d'anonymisation
5) Délibération n°2016-047 du 26 février 2016, CNIL
Article rédigé par
Christiane Féral-Schuhl, Avocat associé du cabinet Féral-Schuhl / Sainte-Marie
Christiane Féral-Schuhl est avocat associé du cabinet Féral-Schuhl / Sainte-Marie. Elle est également auteur de l'ouvrage de référence Cyberdroit, paru chez Dalloz. Depuis plus de 30 ans, elle exerce ainsi dans le secteur du droit de l'informatique et des nouvelles technologies. Elle est également médiatrice agréée auprès du Centre de Médiation et d'Arbitrage de Paris (CMAP).
Elle a été bâtonnier du Barreau de Paris (mandat exercé de 2011 à 2013) et présidente du Conseil National des Barreaux (2018-2020).
Elle a participé à de nombreux groupes de travail et commissions officiels : membre de la commission parlementaire de réflexion et de propositions ad hoc sur « le droit et les libertés à l'âge du numérique » (rapport « Numérique et libertés : un nouvel âge démocratique » en 2015), personnalité qualifiée au Haut Conseil à l'égalité entre les femmes et les hommes (2013-2015)...
Suivez l'auteur sur Linked In, Twitter
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire