Maintenant qu’on sait que tous les Etats Membres l’Union Européenne partageront bientôt (il faut garder espoir !) une même définition de la pseudonymisation, vous devez vous dire : « mais à quoi cela peut bien servir dès lors que les CNIL européennes soumettent les données pseudonymisées au même régime que les données à caractère personnel ? » Non ?
La lecture de la version du RGPD du 9 mars 2015 vous laisserait sans doute sur votre faim, alors. En effet, le terme pseudonymisation apparaît sept fois dans le document, mais une seule fois dans les dispositions réglementaires, pour être défini !
Ça ne sert à rien donc ? Non, non. N’oubliez pas qu’il s’agit d’un projet, qu’il doit encore être discuté par plusieurs instances et qu’il est clairement qu’il faut encore harmoniser le reste du texte.
Pour mesurer l’intérêt de la pseudonymisation, il faut donc lire entre les lignes.
Le projet comporte un article 10 intitulé « Traitement ne nécessitant pas l’identification ». Le texte évoque systématiquement des « données à caractère personnel », donc un tel type de traitement restera soumis à la loi Informatique et Libertés.
Oui, mais…
Mais le texte précise ensuite que si pour les besoins du traitement, le responsable n’a pas ou plus besoin d’identifier la personne concernée, il ne sera pas tenu de conserver ou d’obtenir des informations supplémentaires ni de procéder à d’autres traitements pour identifier la personne concernée à la seule fin de respecter la loi.
Intéressant, non ? Si la personne ne peut pas être identifiée, bien que l’on traite des données personnelles, le texte ne s’appliquera pas !
Bon, vous vous en doutez, il y a un §2 qui vient relativiser ce beau principe. Ce qui ne s’appliquera pas, ce seront les articles relatifs aux droits de la personne concernée : l’information, le droit d’accès, etc. Et ces dispositions ne s’appliqueront pas tant que la personne concernée, désireuse d’exercer ses droits, n’aura pas fourni au responsable de traitement des informations complémentaires permettant de l’identifier.
Vous espériez mieux ? C’est déjà un grand pas en avant ! Et le texte n’a pas encore tiré les conséquences de la notion de pseudonymisation !
Pour autant, il est probablement inutile de rêver à une inapplication totale du règlement. En effet, dans sa lettre du 5 février 2015 à la Commission, le Groupe de l’Article 29 précise :
Sauf à ce que le législateur décide de passer outre cette quasi mise en garde, la pseudonymisation ne permettra pas un traitement libre des données.
Mais rien n’empêche d’envisager un traitement encore plus facilité, non ?