En principe, les données anonymisées ne sont pas concernées par le RGPD. En effet, le Règlement général sur la protection des données (« RGPD ») ne s'applique qu'en présence de données à caractère personnel, lesquelles se définissent comme « toute information se rapportant à une personne physique identifiée ou identifiable [1] ».
En conséquence, « il n'y a dès lors pas lieu d'appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable. » [2]
Mais, en pratique, il faut distinguer la pseudonymisation et l'anonymisation. La pseudonymisation est un traitement de données personnelles réalisé de façon à rendre impossible l'attribution d'une donnée à la personne concernée, sans avoir recours à des informations supplémentaires. Les données directement identifiantes (nom, prénom, date de naissance, etc...) sont ainsi remplacées par des données indirectement identifiantes (alias ou numéros séquentiels). L'anonymisation consiste à rendre impossible toute identification de la personne par quelque moyen que ce soit, et ce, de manière irréversible. Elle permet l'exploitation de données personnelles, sans violer les droits et libertés des personnes, les données ne pouvant pas être renvoyées à une personne physique. L'impact de leur diffusion est ainsi nécessairement limité.
Se prémunir de techniques de réidentification
Cependant, il peut arriver qu'en pensant anonymiser, le responsable de traitement ait en fait pseudonomysé [3] les données. Compte-tenu de l'importance et des responsabilités associées à une mauvaise anonymisation des informations, les autorités de protection des données personnelles ont établi trois critères permettant de s'assurer que les données sont véritablement anonymisées [4] :
- L'individualisation : un individu ne doit pas pouvoir être isolé dans le jeu de données ;
- La corrélation : il ne doit pas être possible de relier entre eux des ensembles de données distincts concernant un même individu ;
- L'inférence : de nouvelles informations sur un individu ne doivent pas pouvoir être déduite, de façon quasi certaine.
Toutefois, le progrès technologique pourrait permettre le développement de systèmes ou solutions permettant la réidentification des personnes concernées, même après anonymisation via les méthodes conventionnelles connues à ce jour. Aussi, conformément à une délibération de la CNIL [5], il est recommandé de prévoir un engagement avec chaque utilisateur des jeux de données anonymes afin de ne pas tenter une quelconque réidentification.
1) Définition de la CNIL
2) Considérant 26, RGPD
3) GPDP, 18 juillet 2023, n° 9920977
4) Avis sur les techniques d'anonymisation
5) Délibération n°2016-047 du 26 février 2016, CNIL
Anonymiser les données ne suffit pas à s'exonérer du RGPD
Pour s'abstraire du RGPD, les entreprises ont recours à l'anonymisation de données. En pratique, cette opération doit respecter des critères très stricts, pour éviter toute réidentification des personnes concernées.