L’anonymisation et la pseudonymisation sont deux concepts qui sont parfois confondus. L’une de leurs différences réside dans les garanties qui protègent les droits des personnes concernées : alors que l’ensemble de données anonymisées ne relève pas du champ d’application du règlement général sur la protection des données (RGPD), l’ensemble de données pseudonymisées et les informations supplémentaires liées à cet ensemble de données en relèvent. Dans ce billet, nous examinons les différences entre les deux termes et les implications de l’utilisation de l’une ou l’autre technique.
Les informations anonymisées sont un ensemble de données qui ne se rapportent pas à une personne physique identifiée ou identifiable (considérant 26 du RGPD), tandis que les informations pseudonymisées sont un ensemble de données qui ne peuvent pas être attribuées à une personne concernée sans l’utilisation d’informations supplémentaires, exigent que ces informations supplémentaires soient identifiées séparément et, en outre, sont soumises à des mesures techniques et organisationnelles visant à garantir que les données personnelles ne sont pas attribuées à une personne physique identifiée ou identifiable (article 4, paragraphe 5).
La transformation d’un ensemble de données personnelles en informations anonymes ou pseudonymisées nécessite un traitement sur ces données personnelles. Le traitement de l’anonymisation génère un seul nouvel ensemble de données, tandis que le traitement de la pseudonymisation génère deux nouveaux ensembles de données : les informations pseudonymisées et les informations supplémentaires permettant d’annuler l’anonymisation.
L’ensemble de données anonymisées ne relève pas du champ d’application du règlement général sur la protection des données (RGPD) (considérant 26), bien qu’il puisse relever d’autres législations (par exemple, la sécurité nationale, la santé publique, les infrastructures critiques, etc.)
- Le traitement généré par les données anonymisées constitue bien un traitement de données à caractère personnel, qui peut être considéré comme compatible avec la finalité initiale du traitement des données à caractère personnel dont les données sont issues (avis 05/2014 sur les techniques d’anonymisation, paragraphe 2.2.1. – Légitimité du processus d’anonymisation).
- L’ensemble de données anonymisées ne relève pas du champ d’application du RGPD dans la mesure où il peut être objectivement démontré qu’il n’existe aucune capacité matérielle d’associer les données anonymisées à une personne physique spécifique, directement ou indirectement, par l’utilisation d’autres ensembles de données, d’informations ou de mesures techniques et matérielles éventuellement disponibles pour des tiers.
En d’autres termes, les données sont considérées comme anonymes dans la mesure où il n’y a aucune probabilité raisonnable qu’une personne puisse identifier la personne physique dans l’ensemble de données. Cette évaluation doit tenir compte des coûts, du temps nécessaire pour procéder à la réidentification ou des moyens technologiques nécessaires pour parvenir à l’inversion de l’anonymisation, qu’ils soient actuels ou qu’ils tiennent compte des évolutions technologiques (considérant 26).
L’ensemble de données pseudonymisées, ainsi que les informations supplémentaires liées à cet ensemble de données, entrent dans le champ d’application du RGPD, tout comme le traitement qui les génère. Ainsi, l’ensemble de données pseudonymisées est protégé par quatre types de protections : Premièrement, le traitement de pseudonymisation lui-même, qui doit empêcher la réidentification sans les informations supplémentaires ; deuxièmement, les principes et les garanties du RGPD, qui fixent des limites, entre autres, à la finalité, à la période de conservation ou à la divulgation des données pseudonymisées ; troisièmement, les garanties supplémentaires incorporées dans le traitement des données pseudonymisées en fonction du risque pour les droits et libertés des personnes physiques ; quatrièmement, dérivées de ce qui précède, les garanties techniques et organisationnelles prévues dans le but de prévenir la matérialisation de violations des données personnelles, tant sur l’ensemble pseudonymisé que sur les informations supplémentaires.
En revanche, du point de vue du RGPD, un seul type de garantie s’applique à l’ensemble de données anonymisées : la robustesse du processus d’anonymisation contre une éventuelle ré-identification. Une fois que le jeu de données est anonymisé, l’obligation de mettre en œuvre les trois autres séries de garanties disparaît, du moins du point de vue de la législation sur la protection des données.
Toutefois, les garanties qui peuvent découler d’autres législations (voir la section 2.2.3 de l’avis 5/2014) seront toujours applicables et des limitations au traitement peuvent être établies (par exemple, par le biais de conditions intégrées dans les licences d’utilisation des informations anonymisées).
Les droits et libertés des personnes concernées doivent également être protégés dans les processus d’anonymisation et de pseudonymisation. Compte tenu du fait que les exigences énoncées dans le RGPD concernant la restriction du traitement, la conservation des données, les communications et transferts internationaux ou les mesures de protection de la confidentialité n’ont pas à être respectées pour l’ensemble de données anonymisées, les processus d’anonymisation doivent être conçus et validés en tenant compte de la protection des droits mentionnés. Pour cela, il faut être en mesure de démontrer un niveau de qualité objectif dans le traitement de l’anonymisation, et il est recommandé de déterminer comment le risque de réidentification évolue dans le temps.
Dans tous les cas, l’inversion de l’anonymisation implique la pleine application du RGPD aux entités obligées qui traitent des données personnelles.