RGPD : Données anonymes

Pour assurer la protection de la vie privée des citoyens français et contrôler l’utilisation de leurs données personnelles, la nouvelle loi RGPD a émis des dispositions à l’endroit des entreprises sur le traitement de ces données. Cette dernière contraint les entreprises à une utilisation restrictive des données des clients. C’est pour cette raison qu’elles optent de plus en plus pour l’utilisation des données anonymes. Mais l’anonymisation étant perçue comme un traitement, elle n’échappe pas au règlement.

Définition

Les données anonymes sont des données à caractère personnel qui ont été dépersonnalisées. Une donnée à caractère personnel est toute donnée permettant d’identifier un citoyen européen, directement ou indirectement. Elle regroupe les informations comme:

  • Nom et prénom
  • Adresse
  • Date et lieu de naissance
  • Carte de paiement
  • Numéro de téléphone
  • Numéro de sécurité sociale
  • Photo
  • Données biométriques

Pour obtenir des données anonymes, on procède par l’anonymisation. C’est un concept qui offre une protection de la vie privée tout en permettant aux entreprises, dont les activités nécessitent l’usage de ces données, d’y accéder. L’anonymisation peut se faire de deux manières à savoir:

  • L’anonymisation irréversible : elle consiste à supprimer de façon définitive tous les caractères qui pourraient permettre d’identifier les données personnelles des individus. De cette manière il sera quasiment impossible d’identifier la personne à nouveau.
  • L’anonymisation réversible ou pseudonymisation : ici, il s’agit plutôt de remplacer l’identifiant par un pseudonyme afin de rendre la donnée anonyme, de sorte à ce qu’il soit possible de lever l’anonymat au besoin.

Pourquoi rendre les données anonymes ?

Le Règlement Général sur la Protection des Données (RGPD) du 25 mai 2018 établit les règles relatives à la protection des personnes physiques, au traitement des données à caractère personnel et à la libre circulation de ces données. Son objectif est de protéger la liberté et les droits fondamentaux de tous les citoyens européens, de sorte à éviter l’utilisation illicite et à des fins malveillantes de leurs informations personnelles. Il s’applique au traitement automatisé de tout ou partie des données à caractère personnel. Il intervient également pour le traitement non-automatisé de ces types de données, contenues ou appelées à l’être dans un fichier. Le fait est que ces règles sont très contraignantes pour les entreprises qui doivent à tout prix avoir accès à ces données, comme par exemple celles qui interviennent dans la recherche en matière de santé publique. C’est pour cette raison que l’anonymisation est requise. Car les données anonymes ne sont pas soumises au RGPD.

Les dispositions du RGPD

Bien que les résultats de l’anonymisation ne relèvent pas du règlement, le processus en lui-même est considéré comme un traitement de données, donc soumis aux dispositions du RGPD. Ce dernier reprend, à travers le considérant 26, le concept d’anonymisation et consacre celui de pseudonymisation. Il dispose : « Il y a lieu d’appliquer les principes relatifs à la protection des données à toute information concernant une personne physique identifiée ou identifiable. […] Les données à caractère personnel qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable. […] Il n’y a dès lors pas lieu d’appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable. Le présent règlement ne s’applique pas, par conséquent, au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche».

Dispositions applicables à l’anonymisation

Selon le RGPD, les données anonymes regroupent des données qui ne s’appliquent pas à une personne physique identifiée ou identifiable. Ce sont des données à caractère personnel qui ont été rendues anonymes de sorte à ce que le concerné ne puisse plus être reconnu. Afin de reconnaître une donnée anonyme, le responsable du traitement doit avoir recours à des moyens raisonnables, c’est-à-dire qui nécessitent une utilisation dans une moindre mesure de certaines ressources comme les technologies, les ressources financières ou encore le temps consacré. Si avec ces moyens, il est impossible d’identifier directement ou indirectement la personne physique, la donnée peut dès lors être qualifiée de donnée anonyme et échapper à la réglementation. Dans le cas contraire, l’article 11 et le considérant 57 précisent que le responsable du traitement n’a pas le droit de conserver ou de chercher des informations supplémentaires. Ni même d’effectuer des traitements additionnels pour identifier la personne concernée dans le but de respecter les dispositions du RGPD. Selon le règlement, l’identification doit comprendre celle numérique qui utilise par exemple un mécanisme d’authentification. C’est-à-dire qu’elle doit utiliser les mêmes identifiants que la personne concernée pour se connecter au service en ligne proposé par le responsable de traitement. En cas de problème, la personne concernée a tout à fait le droit d’exiger de jouir des bénéfices des dispositions mentionnées plus haut. A ce moment, le considérant 57 autorise le responsable du traitement à accepter les informations supplémentaires que lui fournira le concerné pour l’aider dans l’exercice de ses droits.

Dispositions applicables à la pseudonymisation

D’après l’article 4, la pseudonymisation est « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles, afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ».

Il a été retenu que contrairement à l’anonymisation qui permet de déboucher sur une donnée anonyme (donc non prise en compte par le RGPD), la pseudonymisation est une des garanties des responsables du traitement et des sous-traitants pour remplir leurs rôles en ce qui concerne la protection des données. Ceci ne veut pas dire que les termes de transparence et de respect du droit des personnes concernées sont allégés. La pseudonymisation va simplement réduire les risques pour les personnes concernées et aider les responsables du traitement et les sous-traitants dans l’exercice de leurs fonctions. Plusieurs articles du règlement permettent d’étayer ces faits. L’article 6 précise que le responsable a le droit d’effectuer un traitement à une fin autre que celle autorisée par la personne concernée grâce à la pseudonymisation. L’article 32 l’autorise à garantir un niveau de sécurité adapté au risque de divulgation, de destruction, d’altération ou de perte non-autorisée des données.

Articles liés à ce sujet :