Dans cet article, nous visons à démystifier les concepts de pseudonymisation et d’anonymisation dans le cadre de la législation sur la protection des données. Nous explorerons les différences pratiques entre les deux et éclairerons le récent arrêt du Tribunal de l’UE (TUE), qui a des implications significatives pour la pratique de traitement des données. Maîtriser cette différence est essentielle lors de la planification de votre structure de traitement des données.
De manière générale, si une réidentification est possible, cela constitue un cas de pseudonymisation qui nécessite le respect de la législation sur la protection des données. En revanche, si les données personnelles sont réellement anonymisées, elles ne tombent plus sous le champ d’application et peuvent donc être utilisées sans aucune limite en matière de protection des données. Cependant, la question est de savoir si les données que quelqu’un d’autre (mais pas l’entreprise qui traite les données) peut réidentifier sont considérées comme pseudonymes ou anonymes. Dans une décision récente, le Tribunal de l’UE a confirmé que les données qu’une entreprise ne peut pas réidentifier avec les moyens dont elle dispose raisonnablement sont considérées anonymes aux fins de cette entreprise. Cette décision a fait l’objet d’un appel et la Cour de justice de l’Union européenne (CJUE) devra bientôt trouver une réponse définitive à cette question d’ordre pratique.
Définitions de la pseudonymisation et de l’anonymisation
La définition légale sous le RGPD et LPD
Dans l’UE, le RGPD propose des définitions de la pseudonymisation et de l’anonymisation.
Selon le RGPD :
- La pseudonymisation consiste à traiter des données à caractère personnel de manière à ce qu’elles ne puissent pas être reliées à une personne spécifique sans information supplémentaire distincte, dans le cadre de mesures de sécurité strictes.
- L’anonymisation dépend de l’identifiabilité de la personne concernée. Si elle ne peut pas être identifiée, les données sont anonymisées. L’identifiabilité est déterminée par l’ensemble des moyens susceptibles d’être utilisés pour identifier une personne directement ou indirectement.
La Loi fédérale suisse sur la protection des données (LPD) ne donne pas de définitions explicites, mais assimile l’anonymisation à la suppression, ce qui signifie que la personne concernée ne peut plus être identifiée. La pseudonymisation, quant à elle, rend l’identification plus difficile mais pas impossible.
Compte tenu de l’imprécision des termes utilisés et des limites qui les distinguent, les autorités de contrôle et les experts juridiques ont apporté leurs contributions afin de mieux comprendre ces deux concepts et ainsi guider les sociétés vers une meilleure conformité en matière de protection des données.
La pseudonymisation et l’anonymisation en pratique
La pseudonymisation est donc généralement une technique qui consiste à remplacer les caractéristiques identifiables des données par d’autres identifiants. Ce processus rend difficile, voire impossible, de retrouver l’origine de la personne concernée. Cette technique est particulièrement importante pour les entreprises, car elle permet un certain niveau d’analyse tout en sauvegardant les identités individuelles.
Le remplacement des informations identifiables des employés, des patients ou des clients (par exemple les noms) par des identifiants uniques accessibles uniquement au personnel autorisé garantit que les données puissent être utilisées à des fins de recherche ou d’analyse sans compromettre la vie privée de l’individu. Le hachage, le cryptage et la tokenisation sont des techniques utiles pour garantir la pseudonymisation. Néanmoins, il convient de relever que les données pseudonymisées sont toujours considérées comme des données à caractère personnel. Par conséquent, les entreprises doivent mettre en œuvre des mesures techniques et organisationnelles robustes pour se prémunir contre la réversibilité des données pseudonymisées et doivent se conformer pleinement aux lois applicables en matière de confidentialité, y compris la limitation de la finalité et la définition d’une base légale pour le traitement.
L’anonymisation, en revanche, consiste à modifier les données à caractère personnel de telle sorte que l’identification de la personne devient pratiquement impossible sans un effort disproportionné, ce qui rend les données hors du champ d’application du cadre législatif sur la protection des données, tels que le RGPD et la LPD. L’anonymisation est également un outil permettant d’éviter la suppression des données et de les utiliser à d’autres fins, par exemple à des fins statistiques ou de formation. Ce processus permet un niveau élevé de protection des données à caractère personnel, en garantissant que les identités individuelles restent cachées d’une manière non réversible. Les techniques d’anonymisation sont par exemple la randomisation, l’agrégation et la généralisation, souvent combinées en plusieurs couches pour rendre impossible la réidentification.
La mise en place d’une véritable anonymisation nécessite souvent des configurations techniques complexes, afin de s’assurer qu’aucune combinaison de données ne puisse conduire à une identification des individus.
L’affaire T-557/20 du Tribunal de l’UE
Bien que cela ait longtemps été la norme, le Tribunal de l’Union européenne a récemment apporté des éclaircissements supplémentaires sur ce que ces deux concepts impliquent et sur la manière dont les entreprises peuvent les distinguer.
L’affaire tourne autour du partage d’informations entre le Conseil de résolution unique (un organe de régulation) (CRU) et un cabinet de conseil. Le CRU soutenait que les informations qu’ils avaient fournies au cabinet de conseil, comprenant des commentaires d’actionnaires et de créanciers, ne révélaient pas d’individus spécifiques car elles avaient été anonymisées. Ils estimaient que les données étaient anonymes car elles étaient accompagnées d’un code qui empêchait l’identification par le cabinet de conseil. Cependant, le Contrôleur européen de la protection des données (CEPD) n’était pas d’accord. Il faisait valoir que même avec ce code, les informations pouvaient toujours être liées à des individus en fonction de leur contenu et de leur objectif. Le tribunal s’est finalement rangé du côté du CRU, soulignant que le CEPD n’avait pas correctement pris en compte la capacité du cabinet de conseil à identifier des individus à partir des informations fournies.
Le cas en question souligne l’importance de prendre en compte la position et les pouvoirs des parties impliquées lors de la distinction entre ces processus. Pour simplifier, les entreprises peuvent tirer deux enseignements clés de cette affaire :
- Les données peuvent toujours être considérées comme des données personnelles si elles peuvent être liées à un individu spécifique par leur contenu, leur objectif ou leur effet : le Tribunal a souligné que pour déterminer si des informations se rapportent à une « personne physique identifiable », il y a lieu tenir compte de tous les moyens raisonnables d’identification. Cela inclut l’évaluation de facteurs tels que l’individualisation et l’effort nécessaire pour l’identification. Si les données personnelles sont simplement pseudonymisées, alors les entreprises doivent toujours se conformer à leurs obligations en vertu de la législation sur la protection des données.
- L’identifiabilité dépend des moyens raisonnables disponibles pour l’entreprise pour identifier une personne, soit directement, soit indirectement : Compte tenu du point précédent, le Tribunal a finalement souligné l’importance de prendre en compte la position de l’entreprise lors de l’évaluation de l’identifiabilité et des moyens à sa disposition. Si l’entité est capable, grâce aux moyens dont elle dispose, de ré-identifier la personne concernée, alors nous sommes en présence d’un processus de pseudonymisation. Si, en revanche, l’entreprise est incapable, avec les moyens dont elle dispose et sans effort disproportionné, de ré-identifier la personne concernée, alors nous sommes en présence d’un processus d’anonymisation.
Cette décision a été portée en appel devant la Cour de justice de l’Union européenne (CJUE), qui devra décider si les conclusions du Tribunal sont fondées ou à défaut, devra fournir une interprétation finale des deux concepts. En revanche, la CJUE a manqué l’occasion d’adopter une position claire sur cette question dans une affaire similaire récente concernant les numéros d’identification des véhicules (C-319/22) et n’a pas encore fourni de réponse, ce qui n’est pas pertinent dans le cas présent.
Cette décision comporte d’importantes implications pour les entreprises et leurs activités de traitement des données. Elle met en avant le fait que des données peuvent constituer des informations personnelles pour une partie (données pseudonymisées), tandis qu’elles peuvent ne pas avoir le même statut pour une autre partie dépourvue des moyens de les réidentifier (données anonymisées). Les entreprises doivent faire preuve de diligence dans l’évaluation des capacités des parties impliquées dans le traitement des données pour déterminer le niveau de protection approprié requis.
Conclusion : Points principaux à retenir pour les entreprises
La mise en place de techniques de pseudonymisation ou d’anonymisation n’est pas une tâche facile, mais elle est nécessaire pour garantir un niveau élevé de protection des données tout au long des activités de traitement des données effectuées par les entreprises. Le récent jugement du Tribunal de l’Union européenne souligne l’importance de faire une distinction claire entre la pseudonymisation et l’anonymisation dans les pratiques de traitement des données et les différentes conséquences légales qui en découlent.
- Si les données personnelles sont réellement anonymisées, elles ne relèvent plus du régime de la législation sur la protection des données. L’anonymisation est donc également un outil permettant d’éviter la suppression des données et de les utiliser à des fins ultérieures, telles que des études statistiques et des formations, par exemple. Les exemples de techniques d’anonymisation comprennent la randomisation, l’agrégation et la généralisation, souvent combinées en plusieurs couches.
- Les entreprises doivent évaluer attentivement si, avec les moyens à leur disposition, elles peuvent réidentifier un sujet de données à partir des données traitées. Si la réidentification est possible, cela constitue de la pseudonymisation et nécessite la conformité à la législation sur la protection des données. La pseudonymisation, par exemple, via le hachage, le chiffrement et la tokenisation, est toutefois une mesure de sécurité utile et garantit que les données peuvent être utilisées à des fins de recherche ou d’analyse sans compromettre la vie privée individuelle.
N’hésitez pas à prendre rendez-vous avec nos experts pour en savoir plus sur nos services de protection des données !
