ARTICLES

La notion d’anonymisation des données à caractère personnel :


25 septembre 2017



Arrêt rendu le 8 février 2017 par le Conseil d’Etat (9ème et 10ème ch) : 

 

En théorie, la distinction entre l’anonymisation et la pseudonymisation est simple : seule la première empêche réellement l’identification de la personne, directement ou indirectement.

 

Mais en pratique, cette distinction s’avère complexe dès lors  qu’il n’y a pas d’anonymisation parfaite et que celle-ci constitue plutôt un objectif.

 

D’ailleurs, le Règlement général sur la protection des données (RGPD), qui entrera en vigueur en mai 2018, impose de tenir compte, pour déterminer si une personne est identifiable, de l’ensemble des moyens « susceptibles d’être raisonnablement mis en œuvre » par le responsable du traitement (ou le tiers) pour identifier la personne, ce qui montre bien qu’il existe une gradation dans les méthodes d’anonymisation (algorithme de chiffrement, hachage, dégradation de l’information par suppression, masquage ou ajout de bruit, agrégation d’informations, etc.).

 

Globalement, « les techniques existantes se regroupent autour de deux grands principes : (i) transformer les données pour qu’elles ne se réfèrent plus à une personne désignée, et (ii) généraliser les données de façon à ce qu’elles ne soient plus spécifiques à une personne mais communes à un ensemble de personnes » (J.-G. de Ruffray, Données personnelles.

 

Mesures d’audience : anonymisation et droit à l’information, Expertises, mai 2017, p.185-189, spéc.p.186).  

 

Trois critères ont été posés par le Groupe de travail « article 29 », qui regroupe les différentes autorités de régulation européennes, dans un avis du 10 avril 2014 (Avis n° 05/2014 du 10 avril 2014 sur les Techniques d’anonymisation du Groupe de travail « article 29 » sur la protection des données) : l’individualisation (est-il toujours possible d’isoler un individu ?), la corrélation (est-il toujours possible de relier entre eux les enregistrements relatifs à un individu ?) et l’inférence (peut-on déduire des informations concernant un individu ?). Si le traitement répond à ces trois critères, il sera considéré comme anonyme ; il pourra également l’être s’il ne respecte pas l’un des trois critères, mais seulement après une analyse détaillée des risques de ré-identification.

 

Dans les autres cas, il réalise une simple pseudonymisation.

 

C’est cette position que reprend le Conseil d’Etat, dans un arrêt rendu par les 9ème et 10ème ch. réunies le 8 février 2017, sur le fondement de l’article 2 de la loi Informatique et libertés : une donnée personnelle « ne peut être regardée comme rendue anonyme que lorsque l’identification de la personne concernée, directement ou indirectement, devient impossible que ce soit par le responsable du traitement ou par un tiers.

 

Tel n’est pas le cas lorsqu’il demeure possible d’individualiser une personne ou de relier entre elles des données résultant de deux enregistrements qui la concernent ».

 

En l’espèce, pour éviter tout risque de ré-identification, la société JCDecaux avait pris soin de recourir à une double technique : d’une part, les données collectées, qui étaient transmises toutes les deux minutes à un serveur situé en Allemagne, étaient tronquées du dernier demi-octet de l’adresse MAC de chaque téléphone ; d’autre part, elles étaient hachées selon un procédé de chiffrement qui devait en garantir l’anonymisation.

 

Dès lors, la société JCDecaux ne disposait que d’un résultat cryptographique qui ne lui permettait pas d’identifier un individu.

 

Cependant, la société JCDecaux était en mesure de recouper des données sur un même individu puisque le système permettait de repérer le nombre de passages d’une même personne dans la zone en question.

 

La CNIL en avait déduit qu’il ne s’agissait pas d’un véritable procédé d’anonymisation, et elle est approuvée par le Conseil d’Etat au motif qu’il demeurait « possible d’individualiser une personne ou de relier entre elles des données résultant de deux enregistrements qui la concernent ».

 

Le Conseil d’Etat relève d’ailleurs que les objectifs mêmes de la collecte de données étaient incompatibles avec une anonymisation des données recueillies puisque le procédé visait « non seulement à compter le nombre de terminaux mobiles, équipés d’une connexion Wifi active, détectés à proximité du mobilier publicitaire, mais aussi à mesurer la répétition de leurs passages et à déterminer les parcours réalisés d’un mobilier publicitaire à un autre.

 

Ce traitement a ainsi pour objet d’identifier les déplacements des personnes et leur répétition sur la dalle piétonne de La Défense, pendant toute la durée de l’expérience ».

 

Dès lors, le responsable du traitement devait informer les personnes concernées de leurs droits, conformément aux dispositions de l’article 32, I de la loi Informatique et libertés, ce qui n’était guère possible en l’espèce.

 

En effet, « les personnes n’avaient à aucun moment la possibilité de faire valoir leur droit d’opposition, et d’une façon générale l’information par affichage n’était guère possible à garantir, du fait notamment de la portée de 25 mètres des bornes installées par la société, qui plus est dans une zone ouverte sans passage obligé dans un espace restreint qui aurait pu les amener à prendre connaissance des informations » (J.-G. de Ruffray, art. préc., spéc. p.188).

 

Autrement dit, cet arrêt du Conseil d’Etat semble condamner tout type de traitement ayant pour finalité de mesurer un déplacement, sa fréquence, sa durée dans le temps, devant un panneau publicitaire comme dans un magasin (par exemple, pour mesurer les trajets effectués dans le magasin, l’intérêt porté aux promotions mises en avant, etc.), sans le consentement des intéressés.

 

La collecte de ces données fournies par les objets connectés, qui sont censées devenir l’ « or noir » de la nouvelle économie, se heurte ainsi à une réglementation européenne conçue de manière très stricte.

 

Demeure une question : cette protection rigoureuse sera-t-elle longtemps tenable face à la pression liée à l’essor des industries du big data ?  

 

Annabel QUIN,
Maître de conférences à l’Université de Bretagne-Sud
Ancienne avocat au Barreau de Paris

 

 

 Mise en ligne: 25/09/2017





LES AVOCATS ALTA-JURIS