Anonymisation vs Pseudonymisation : quel est le véritable statut de données codées ?

Le 16 janvier dernier, le Comité Européen à la Protection des Données (CEPD) a ravivé un débat crucial en matière de protection des données personnelles, en réaffirmant que la pseudonymisation vise à réduire les risques pour les droits et libertés des individus, sans les éliminer totalement.

‍

Mais alors, quel est véritablement le statut des données pseudonymisées ?

‍

L’affaire en cours devant la Cour de Justice de l’Union Européenne (CJUE), opposant le CEPD au Conseil de Résolution Unique de l’Union Européenne (SRB) (Affaire C-413/23 P), pourrait redéfinir la manière dont la pseudonymisation est interprétée au niveau européen et soulève des interrogations sur les obligations des responsables de traitement dans un environnement numérique toujours plus complexe.

‍

Cette affaire place au cœur des débats la question de savoir si des données codées, et dès lors pseudonymisées, doivent être considérées ou non comme des données personnelles, soumises aux exigences du RGPD.

‍

Clarification de la notion de pseudonymisation par le CEPD

‍

Le 16 janvier dernier, le CEPD adoptait des lignes directrices indiquant que les données pseudonymisées sont, et demeurent, des données personnelles dès lors qu’elles peuvent être reliées à une personne par le responsable de traitement ou tout autre personne. Par conséquent, peu importe que les données pseudonymisées et que les informations additionnelles permettant l’identification d’une personne se trouvent dans des mains différentes, dès lors qu’il est possible de réidentifier cette dernière.

‍

Ainsi, le CEPD rappelle que si la pseudonymisation permet de réduire les risques pour les personnes concernées, il n’en demeure pas moins que les entités ayant recours à ce procédé doivent se conformer à l’ensemble des exigences du RGPD, et notamment aux principes de légalité, de transparence et de confidentialité.

‍

Cette position du CEPD est d’ailleurs celle adoptée dans le cadre de l’affaire CEPD c. SRB.

‍

Contexte de l’affaire CEPD c. SRB

‍

L’affaire commence en 2017, quand le SRB met en place un plan de résolution bancaire, dans lequel il permet aux actionnaires et créanciers impactés d’exprimer leurs opinions sous forme électronique. Le SRB confie à Deloitte, en qualité de sous-traitant, l’analyse de ces avis qu’il lui transmet en remplaçant le nom de chaque participant par un code alphanumérique.

‍

Saisi de cinq plaintes, le CEPD a conclu à la violation par le SRB des obligations d’information des personnes concernées, et a considéré que :

- les données partagées par SRB avec son sous-traitant étaient des données pseudonymisées, dès lors que le code alphanumérique partagé par le SRB permettait de relier les réponses données lors de la phase d’enregistrement à celles données lors de la phase de consultation du plan de résolution bancaire ; et

- le défaut de mention du sous-traitant comme potentiel destinataire des données collectées et traitées dans la politique de confidentialité du SRB constituait une violation de l’article 15 du Règlement Général sur la Protection des Données (RGPD).

‍

L’affaire a alors été portée devant le Tribunal de l’Union Européenne (TUE) par le SRB, faisant appel de cette décision dès lors qu’il considérait que les données envoyées étaient anonymes puisque les données fournies par les personnes concernées pour s’identifier dans la phase d’enregistrement n’avaient pas été divulguées au sous-traitant.

‍

Décision du TUE

‍

Le 26 avril 2023, le TUE annule la décision du CEPD, considérant que ce dernier avait, à tort, considéré les données pseudonymes confiées à Deloitte comme des données personnelles, sans en examiner le contenu, la finalité ou l’effet (CJUE, Nowak c. DPC, 20 décembre 2017, C-434/16).

‍

En effet, le TUE a estimé que le CEPD n’avait pas pris en compte, dans son analyse, le fait que le destinataire des données ne disposait d’aucun moyen légal pour accéder aux informations supplémentaires nécessaires pour réidentifier les personnes concernées. Le CEPD ne pouvait dès lors pas valablement conclure que les informations transmises au sous-traitant étaient relatives à une personne physique identifiable.

‍

Le CEPD a alors fait appel de cette décision en contestant l’interprétation par le TUE de la notion de données personnelles et en soutenant que les données pseudonymisées sont et demeurent des données personnelles dès lors que les informations permettant la réidentification des personnes concernées continuent d’exister.

‍

C’est dans ce contexte que l’Avocat Général de la CJUE a rendu un avis éclairant.

‍

Opinion de l’Avocat Général

‍

Les données pseudonymisées doivent-elle être automatiquement caractérisées comme identifiantes, indépendamment de l’accessibilité aux données d’identification supplémentaires, ou si doivent-elles être considérées comme données personnelles uniquement pour les acteurs pouvant raisonnablement réidentifier les personnes concernées ?

‍

En répondant à cette question, l’Avocat Général rappelle d’abord que les données anonymes sont exclues du champ d’application du RGPD, et que partant, les données pseudonymes ne le sont également que dans la mesure où les personnes concernées ne sont pas identifiables.

‍

Dès lors, l’Avocat Général fait une interprétation stricte du concept de données personnelles et conclut que les données pseudonymisées peuvent échapper à la qualification de données à caractère personnelle, lorsque le risque d’identification est inexistant ou insignifiant. Ainsi, des données pseudonymisées pourraient ne pas être considérées comme des données personnelles pour le destinataire des données, s’il lui est impossible de réidentifier les personnes concernées, et ce même si cela est possible pour l’expéditeur des informations.

‍

Aux yeux de l’Avocat Général, il serait disproportionné d’imposer à une entité des obligations découlant du RGPD si cette dernière ne peut raisonnablement pas identifier les personnes concernées, puisque cela l’obligerait à fournir des efforts pour tenter spécifiquement la réidentification. Par conséquent, l’Avocat Général recommande de déterminer si le traitement de pseudonymisation des données était suffisamment robuste pour conclure que Deloitte ne pouvait raisonnablement pas identifier les personnes concernées.  

‍

Néanmoins, l’Avocat Général rappelle que le résultat de cette analyse n’impacte aucunement l’obligation pour le responsable de traitement de fournir aux personnes concernées l’ensemble des informations exigées par le RGPD avant tout transfert de données.

‍

Il convient désormais de surveiller la décision à venir de la CJUE, qui, bien qu’elle ne soit pas liée par ces conclusions, suit généralement l’avis de l’Avocat Général.

‍

Et en droit français ?

‍

Les questions relatives à la pseudonymisation des données auront marqué l’intérêt, tant européen que français, durant le mois de février. En effet, en rappelant à l’ordre Qwant, le moteur de recherche français, pour non-respect de ses obligations en matière de protection des données personnelles, la CNIL a pu préciser la différence entre anonymisation et pseudonymisation.

‍

L’envoi par Qwant à Microsoft d’adresses IP tronquées ou hachées ne permet pas une anonymisation complète des données, contrairement à ce qui était avancé parQwant à l’occasion de contrôles réalisés en 2019. En conséquence, les données étaient bel et bien considérées comme des données personnelles, devant être soumises aux obligations du RGPD, particulièrement en termes de transparence et d’information des utilisateurs.

‍

Cette décision de la CNIL, et les conclusions de l’Avocat Général de la CJUE, soulignent l’importance de qualifier correctement les données traitées, et de se conformer aux exigences du RGPD afin d’assurer le respect des droits et des personnes concernées.

‍

Recommandations pour les entreprises

‍

À la lumière de ces affaires, il est essentiel que les entreprises adoptent des mesures concrètes pour assurer la conformité avec le RGPD :

- Évaluation précise de la nature des données traitées : Avant tout transfert ou traitement de données, déterminer si elles sont véritablement anonymisées ou simplement pseudonymisées. Les données pseudonymisées restent des données personnelles et sont soumises au RGPD.

- Transparence envers les utilisateurs : Informer clairement les individus sur la collecte, l'utilisation et le transfert de leurs données. Cette information doit être accessible, compréhensible et fournie au moment de la collecte des données.

- Choix rigoureux des partenaires : S'assurer que les tiers avec lesquels des données sont partagées respectent également les normes du RGPD. Des accords de traitement des données doivent être établis pour encadrer ces relations.

- Mise à jour régulière des politiques de confidentialité : Adapter continuellement les politiques internes en fonction des évolutions législatives et des recommandations des autorités de protection des données.

- Formation et sensibilisation : Former les employés aux principes de protection des données et aux procédures internes pour garantir une application cohérente et efficace du RGPD.

‍

Sources :

• ‍Conclusions de l’Avocat Général‍
• Norton Rose Fulbright, CJEU Advocate General clarifies when pseudonymised data falls outside the definition of personal data, 10 février 2025 ‍
• Covington, CJEU Advocate General Supports Pragmatic Definition of Personal Data, 6 février 2025‍
• GDPR Hub, CJEU -C-413/23 - EDPS v SRB

Jeannie Mongouachon, avocate associée et Juliette Lobstein, avocate collaboratrice chez Squair