Bon, comme apparemment, tout le monde apprécie que je décortique le projet de RGPD, autant se faire plaisir et continuer. Aujourd’hui, je vous propose donc un nouveau chapitre, en deux actes, sur… la pseudonymisation !
Pour commencer, faisons un petit point de terminologie. Vous savez comme les juristes peuvent être tatillons en la matière.
« donnée à caractère personnel » : désigne toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.
« donnée anonyme » : a contrario, désigne toute information qu’on ne peut plus relier à une personne, directement ou indirectement.
« anonymisation » : désigne le processus permettant de rompre tout lien entre une donnée et une personne, afin de produire une donnée anonyme.
Partant, vous aurez compris que la donnée « anonymisée » n’existe pas ; il faut parler de donnée anonyme.
Et la « donnée pseudonymisée », dans tout ça ? C’est la plus délicate à définir.
En effet, l’idée de la pseudonymisation est partagée par l’ensemble des autorités de protection des données de l’Union Européenne. Récemment, le Groupe de l’Article 29 – qui rassemble les CNIL européennes – a d’ailleurs fait usage de cette notion dans une lettre adressée à la Commission Européenne.
Mais chaque Etat membre, chaque autorité de protection des données retiennent une définition différente de la notion.
Qu’à cela ne tienne, le législateur européen a décidé de prendre le taureau par les cornes et de poser une définition unique, similaire pour tous les Etats membres :
« pseudonymisation : le traitement de données à caractère personnel de telle façon qu’elles ne puissent plus être attribuées à une personne concernée sans avoir recours à des informations supplémentaires, pour autant que celles-ci soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir cette non-attribution à une personne identifiée ou identifiable. »
Concrètement, une « donnée pseudonymisée », ce devrait donc rapidement être une donnée qui, seule, ne peut pas être reliée à une personne. Mais ce n’est pas tout. La donnée sera considérée comme pseudonymisée seulement si les informations supplémentaires nécessaires à relier la donnée et la personne qu’elle concerne sont conservées séparément et dans des conditions particulières. En clair, tout dépendra de s’il existe une sorte de table de concordance et des modalités pour y accéder.
A contrario, une donnée ne serait pas pseudonymisée si les informations complémentaires nécessaires pour identifier la personne sont librement accessibles. Ce point pourrait toutefois évoluer, l’Allemagne et le Royaume-Uni souhaitant ajouter à cette définition : « ou pour autant que l’attribution à une telle personne concernée nécessite un temps, des dépenses et des efforts disproportionnés ». De la sorte, la pseudonymisation concernerait également l’hypothèse dans laquelle il n’existerait pas de tables de concordance, mais des jeux de données permettant, de par leur confrontation, la réidentification des personnes concernées.
Vous me suivez ?