La récente décision de la Tribunal de l'Union européenne (TUE) sur l'affaire CRU/Deloitte nous montre que la frontière entre les données personnelles, pseudonymisées et anonymisées, sur le plan juridique, n'est pas toujours claire.
Dans cette décision, le Contrôleur européen de la protection des données (CEPD) a considéré que les informations transmises à Deloitte par le Centre de recherche et d'innovation de l'Union européenne (CRU) constituaient des données à caractère personnel. Le Tribunal a cependant apporté des nuances à cette position, appliquant, ainsi, la solution de l'affaire Breyer.
Un rappel des définitions
Les données personnelles sont des informations qui peuvent être utilisées pour identifier directement ou indirectement une personne physique. Cela peut inclure des informations telles :
- que le nom,
- l'adresse,
- le numéro de téléphone,
- l'adresse e-mail,
- l'adresse IP,
- les identifiants de connexion,
- les données de localisation,
- les données de santé,
- les données financières, etc.
Les données pseudonymisées sont des informations qui ont été modifiées pour ne plus pouvoir identifier directement une personne, mais qui peuvent toujours être associées à celle-ci avec l'aide d'une clé de correspondance. Par exemple, si une entreprise "anonymise" les noms de ses clients en les remplaçant par des identifiants uniques, mais conserve une clé de correspondance pour relier les identifiants à des noms réels, alors ces données sont pseudonymisées.
Enfin, les données anonymisées sont des informations qui ne peuvent pas être liées à une personne physique identifiée ou identifiable, même avec l'utilisation d'une clé de correspondance. Par exemple, si une entreprise collecte des données sur la fréquentation d'un site web et supprime toutes les informations personnelles telles que les adresses IP et les cookies, de sorte que les données ne peuvent plus être associées à une personne, alors ces données sont anonymisées.
⛔ Toutefois, il est important de noter que, sur le plan technique, il n'est généralement pas possible d'anonymiser complètement les données. Des techniques avancées peuvent permettre de recouper des informations et de retrouver l'identité des personnes concernées. Par conséquent, il est essentiel de prendre des précautions supplémentaires pour protéger la vie privée et la sécurité des personnes, même lorsque les données sont considérées comme anonymisées.
Retrouvez notre article sur ces éléments afin de comprendre la distinction entre pseudonymisation et anonymisation.
Les critères de qualification des données à caractère personnel selon la CJUE
Dans cette affaire, le CEPD a considéré que les informations transmises à Deloitte constituaient des données à caractère personnel, bien que les informations aient été pseudonymisées. En effet, il soutenait que le fait que Deloitte n'ait pas eu accès aux informations permettant la réidentification des personnes n'excluait pas que celles-ci constituaient des données à caractère personnel, en se basant sur la jurisprudence Breyer de la CJUE (C‑582/14, EU:C:2016:779).
Le CRU avait fourni à Deloitte des une base de données contenant des codes alphanumériques et des commentaires associés. Ces informations, seules, ne permettaient pas de réidentifier les personnes. Le CRU avait conservé une table de correspondance entre les codes alphanumériques et les identités des personnes concernées.
Or la jurisprudence Breyer prévoit que, pour déterminer si les informations transmises constituaient des données à caractère personnel, il convient de se placer du point de vue du destinataire de ces données, en l'occurrence Deloitte.
En effet, les informations supplémentaires nécessaires pour identifier les personnes concernées étaient détenues non pas par Deloitte, mais par le CRU.
Ainsi, pour que les données détenues par Deloitte soient considérées comme personnelles, il faut que Deloitte puisse raisonnablement identifier les personnes.
Il a donc estimé que les deux conditions cumulatives pour qu'une information soit considérée comme une donnée à caractère personnel n'étaient pas remplies (sur le plan juridique) : les informations transmises se rapportaient, certes, à une personne physique (1), mais qui n'était pas identifiée ou identifiable (2).
Que retenir de cette décision ?
Dans le cadre d'une transmission de données à caractère personnel pseudonymisées, il convient au responsable du traitement de vérifier si le destinataire dispose de moyens légaux et réalisables lui permettant d'identifier les personnes concernées :
- Si c'est le cas, cela constitue une transmission de données personnelles. Il est alors soumis aux obligations du RGPD (informer les personnes concernées de la transmission de leurs données, mettre en place des mesures de sécurité appropriées, garantir que les personnes concernées peuvent exercer leurs droits...) ;
- Si ce n'est pas le cas, les personnes concernées ne peuvent pas être identifiées, et les données ne sont plus, sur le plan juridique, à caractère personnel. Dans ce cas, le responsable du traitement n'est pas soumis aux obligations découlant du RGPD. Attention toutefois, il doit tout de même mettre en place des mesures de sécurité appropriées pour protéger les informations transmises, puisqu'une donnée pseudonymisée reste une donnée personnelle sur le plan technique, et qu'il est toujours possible de retrouver les informations supplémentaires permettant d'identifier la personne concernée. Il faut s'assurer que les moyens de réidentification soient pas accessibles de manière raisonnable au destinataire.
En fin de compte, la détermination de la nécessité de précautions supplémentaires dépendra du contexte spécifique de chaque situation, en tenant compte à la fois des aspects techniques et des considérations juridiques et pratiques.
L'évaluation du caractère raisonnable de la réidentification repose sur plusieurs facteurs, tels que :
- la disponibilité des informations supplémentaires nécessaires à la réassociation des identifiants pseudonymes avec des personnes réelles,
- ainsi que les ressources, le temps et les compétences techniques requises pour effectuer cette réidentification.
Cela signifie qu'il est important de déterminer si la possibilité de réidentifier les personnes concernées est raisonnable ou non.
Si la réidentification est jugée peu probable ou techniquement difficile, il peut ne pas être nécessaire de mettre en place des mesures de sécurité supplémentaires de grande envergure. Il convient de considérer l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne.
Regroupez vos mesures de sécurité avec facilité grâce à l'outil de gestion de Dastra. Essayez-le gratuitement pendant 30 jours dès maintenant !