Parfois qualifiées de « pétrole du XXIe siècle », les données à caractère personnel voient leur valeur commerciale croître à mesure que la révolution numérique se poursuit. Cette source de croissance économique ne doit toutefois pas occulter les risques d’atteintes à la vie privée que causerait une exploitation commerciale incontrôlée de ces précieuses données. Les législations françaises et européennes en matière de protection des données à caractère personnel reposent sur cette volonté de trouver un compromis entre protection de la vie privée, innovation technologique et croissance économique.
Respectivement consacrés par la loi « Informatique et Libertés » du 6 janvier 1978 modifiée notamment en 2004 pour transposer la Directive européenne de 1995, et par le Règlement européen 2016/679 du 27 avril 2016, les concepts d’anonymisation et de pseudonymisation offrent, à des degrés divers, une protection de la vie privée tout en permettant l’accessibilité des données aux activités susceptibles d’en nécessiter l’utilisation.
1. Le cadre légal actuel (loi de 1978 et directive de 1995)
1.1 L’anonymisation
Mentionnée au considérant 26 de la directive de 1995 et à l’article 32 IV de la Loi de 1978, l’anonymisation est un traitement de données à caractère personnel effectué dans le but d’empêcher toute identification de la personne concernée. Très difficile à mettre en œuvre en pratique, ce procédé doit être irréversible afin d’empêcher toute ré-identification[1]. Lorsque c’est le cas, l’anonymisation permet, selon le G29, de « faire sortir les données anonymisées du champ d’application de la législation sur la protection des données »[2].
Toutefois, dans la plupart des cas, le traitement permettant l’anonymisation des données intervient postérieurement à la collecte des données. Le responsable de traitement doit donc, entre la collecte et l’anonymisation, se conformer à certaines obligations :
- L’anonymisation à bref délai: les données personnelles sont collectées puis anonymisées quelques secondes après. En raison de ce délai très court pendant lequel les données ne sont pas anonymes, le responsable de traitement bénéficie d’une obligation d’information alléguée : il doit indiquer son identité et la finalité du traitement.
- L’anonymisation ultérieure: ce procédé permet, une fois le délai de conservation atteint, de ne pas supprimer les données personnelles (pour les conserver à des fins statistiques par exemple). Jusqu’à cette anonymisation, les données doivent avoir été collectées et traitées dans le strict respect de la Loi de 1978.
L’article 32 IV de la Loi de 1978 modifié par la Loi pour une République numérique du 7 octobre 2016 précise que le procédé d’anonymisation utilisé doit avoir été préalablement reconnu conforme la loi par la CNIL qui dispose en la matière d’un pouvoir de certification et d’homologation (article 11).
A noter qu’il existe toutefois une exception en matière de données sensibles. Si la collecte de ces données est en principe interdite, elle pourra faire l’objet d’une demande d’autorisation à la CNIL en cas de recours à un procédé d’anonymisation.
Il convient cependant d’insister sur la difficulté que représente une anonymisation réellement irréversible de données à caractère personnel dans la mesure où plus le volume de données croît, plus les risques de ré-identification par recoupement sont importants. Dans une décision du 8 février 2017, le Conseil d‘Etat a confirmé le refus de la Cnil d’autoriser l’expérimentation de la société JCDecaux ayant pour finalité de comptabiliser le flux des piétons sur la dalle du quartier d’affaires de Paris La Défense. JCDecaux présentait à la CNIL son dispositif comme reposant sur un procédé d’anonymisation tel qu’elle se considérait comme dispensé de l’obligation d’information des personnes concernées, et considérait qu’en raison de l’algorythme mis en œuvre, elle ne traitait pas de données personnelles. Toutefois, après analyse des mesures techniques mises en œuvre, la CNIL a jugé que ces mesures ne permettaient pas d’assurer une véritable anonymisation des données. En effet, la CNIL a retenu que dans la mesure où le dispositif visait non seulement à calculer le nombre de passage de piétons mais également le nombre de fois où un même passant repasse sur l’esplanade sur une période donnée, JCDecaux devait nécessairement isoler les piétons pour pouvoir identifier les piétons qui repassaient au même endroit. Une corrélation entre les données collectées demeurait ainsi possible.
Or, la CNIL rappelle dans sa délibération que « pour qu’une solution d’anonymisation soit efficace, elle doit empêcher toutes les parties d’isoler un individu dans un ensemble de données, de relier entre eux deux enregistrements dans un ensemble de données (ou dans deux ensembles de données séparés) et de déduire des informations de cet ensemble de données ». Dès lors, la CNIL a considéré que JCDecaux, en tant que responsable du traitement, devait en particulier respecter ses obligations d’informations des personnes concernées, ce qui n’a pas été le cas en l’espèce.
1.2 La pseudonymisation
La pseudonymisation est une technique « visant à remplacer un attribut par un autre dans un enregistrement ». Elle n’est prévue ni par la Directive de 1995 ni par la Loi de 1978. Dans son avis 05/2014 sur les Techniques d’anonymisation adopté le 10 avril 2014[3], le G29 indique que « la pseudonymisation n’est pas une méthode d’anonymisation » car « le pseudonymat n’est pas de nature à empêcher qu’une personne concernée soit identifiable et reste donc dans le champ d’application du régime juridique de la protection des données »[4]. Le G29 insiste sur les risques d’individualisation d’une personne concernée et de corrélation entre différents ensembles de données avec relativement peu de données pseudonymisées[5] (le RGPD évoque à plusieurs reprises les risques de « renversement non autorisé du processus de pseudonymisation »[6]) et précise que « l’utilisation de données pseudonymisées n’est en soi pas suffisante pour justifier un allègement des obligations à la charge des responsables de traitement et des sous-traitant »[7].
Cette technique n’en demeure pas moins « une mesure de sécurité utile » qui réduit la corrélation d’un ensemble de données avec l’identité originale d’une personne concernée. Elle peut notamment constituer un argument, dans le cadre d’un dossier de demande d’autorisation, afin de mettre en avant la volonté du responsable de traitement de limiter au maximum l’impact du traitement sur la vie privée des personnes concernées.
2. Le cadre légal applicable à partir de mai 2018
Applicable à partir du 25 mai 2018, le RGDP[8] reprend la notion d’anonymisation et consacre le concept de pseudonymisation :
- « Il y a lieu d’appliquer les principes relatifs à la protection des données à toute information concernant une personne physique identifiée ou identifiable ».
- « Les données à caractère personnel qui ont fait l’objet d’une pseudonymisation […] devraient être considérées comme des informations concernant une personne physique identifiable ».
- « Il n’y a pas lieu d’appliquer les principes relatifs à la protection des données aux informations anonymes. […] Le règlement ne s’applique pas au traitement de telles informations anonymes ».
2.1 L’anonymisation
Le RGPD (considérant 26) définie les données anonymes comme :
- Les informations ne concernant pas une personne physique identifiée ou identifiable ;
- Les données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable.
Pour déterminer si une personne physique est identifiable, le RGPD précise qu’il convient de prendre en considération l’ensemble des moyens raisonnablement (tels que le coût de l’identification et le temps nécessaire à celle-ci, les technologies disponibles et leur évolution) susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage. Lorsque la personne physique n’est pas identifiable, le règlement ne s’applique pas
Par ailleurs, l’article 11 du RGPD (et le considérant 57) prévoit une disposition spéciale, « lorsque les finalités du traitement n’imposent pas ou plus d’identifier une personne concernée ». Le responsable du traitement ne doit ni chercher à obtenir ou à conserver des informations supplémentaires, ni procéder à d’autres traitements pour identifier la personne concernée à la seule fin de respecter le RGPD.
Dans ce cas, et pour autant qu’il soit capable de démontrer qu’il n’est pas (ou plus) en position d’identifier les personnes, le responsable doit en informer les personnes concernées, si cela est « possible ». De même, les droits des personnes (accès, rectification, effacement, limitation, portabilité…) ne sont pas applicables aux traitements ne permettant pas l’identification.
La personne concernée par ces traitements pourra toutefois invoquer le bénéfice des dispositions susmentionnées afin d’exercer les droits que leur confèrent ces articles, pour autant que celle-ci fournisse au responsable du traitement des informations complémentaires qui permettent de l’identifier. Le responsable ne peut donc pas refuser des informations supplémentaires fournies par la personne concernée afin de faciliter l’exercice de ses droits.
Cet article est qualifié de « peu claire » par la doctrine (et paradoxale dans la mesure ou il sera difficile d’informer une personne que l’on n’est pas parvenu à identifier) et fera vraisemblablement l’objet de précisions ultérieures.
Par ailleurs, selon un des responsables de la CNIL, des précisions devront être apportées au sujet de l’anonymisation effectuée à bref délai, pour savoir si, comme dans loi de 1978, l’obligation d’information bénéficiera d’un allègement.
2.2 La pseudonymisation
Définie à l’article 4 du RGPD, la pseudonymisation est un « traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ».
Le considérant 28 précise que la pseudonymisation peut réduire les risques pour les personnes concernées et aider les responsables du traitement et les sous-traitants à remplir leurs obligations en matière de protection des données. A ce titre, la pseudonymisation est prévue par plusieurs articles du RGPD:
- Article 6: la pseudonymisation est l’une des garanties appropriées permettant d’effectuer un traitement à une fin autre que celle pour laquelle les données ont été collectées, sans avoir obtenu le consentement de la personne au sujet de cette finalité autre.
- Article 25 et considérant 78: la pseudonymisation est l’une des mesures techniques évoquées (avec le chiffrement) pour se conformer aux nouveaux principes de protection dès la conception et de protection par défaut (Privacy by design / by default).
- Article 32: la pseudonymisation est également l’une des mesures techniques susceptibles de permettre au responsable du traitement et au sous-traitant de garantir un niveau de sécurité adapté au risque de destruction, de perte, d’altération ou de divulgation non autorisée de données personnelles.
- Article 89 et considérant 156 : la pseudonymisation est évoquée parmi les garanties applicables au traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. Notons que les Etats membres pourront légiférer pour limiter, dans le cas ou les garanties (telles que la pseudonymisation) seront jugées suffisantes, les droits des personnes concernées (accès, portabilité…).
- Article 40: les codes de conduite élaborés par les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants pourront préciser les modalités de la pseudonymisation.
Les négociations lors de l’élaboration du Règlement ont été le théâtre d’un affrontement entre l’Allemagne, favorable à l’établissement d’une catégorie distincte de données à caractère personnel pour les données pseudonymisées qui aurait permis au responsable de traitement de se soustraire au respect de certaines obligations du règlement, et la France qui y était opposée. Les autorités françaises estimaient que la pseudonymisation ne présentait pas les mêmes garanties de protection que l’anonymisation et ont obtenu gain de cause.
Par conséquent, à l’inverse de l’anonymisation qui permettra de sortir du champ d’application du Règlement, la pseudonymisation constituera une des garanties proposées aux responsables du traitement et sous-traitants pour remplir leurs obligations en matière de protection des données mais n’aura pas pour conséquence un allègement en termes de transparence et de respect du droit des personnes concernées (exception faite de l’article 89 à la discrétion des Etats membres).
Alexandre Mandil
***
[2] Considérant 26 de la Directive de 1995 : « les principes de la protection ne s’appliquent pas aux données rendues anonymes d’une manière telle que la personne concernée n’est plus identifiable »;
[3] http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp216_fr.pdf
[4] http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp216_fr.pdf
[5] Le G29 cite l’exemple de l’affaire AOL de 2006.
[6] Considérant 75, considérant 85
[7] http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp218_en.pdf
[8] Notamment le considérant 26