La Cnil donne des précisions sur l’anonymisation des données

On sait qu’un des enjeux de la réglementation sur les données personnelles (RGPD, mais aussi loi du 6 janvier 1978 modifiée, intégrant également la directive Police Justice) est la préservation de l’identité des personnes par l’impossibilité de les identifier de manière directe (prénom, nom – la personne est « identifiée« ) ou indirecte (tout élément permettant d’identifier une personne qui de ce fait est « identifiable« ). Par conséquent, beaucoup de traitements de données, surtout de données en masse (dites « Big Data » en bon franglais) nécessitent absolument d’être purgées de tout moyen d’identification.

La Cnil est récemment revenue sur ces questions d’anonymisation dans un article de synthèse sur son site, intitulé « L’anonymisation de données personnelles « , le 19 mai dernier.

La Commission commence par donner la définition de l’anonymisation :

« L’anonymisation est un traitement qui consiste à utiliser un ensemble de techniques de manière à rendre impossible, en pratique, toute identification de la personne par quelque moyen que ce soit et de manière irréversible. »

Elle rappelle ensuite qu’il ne faut pas confondre anonymisation et pseudonymisation. Le RGPD a en effet introduit cette subtile distinction – aux yeux du néophyte – mais en fait essentielle compte tenu de la différence de régime dans le traitement des données (voir article 4 point 5 du RGPD).

La formulation de la Cnil est assez claire, plus claire en tout cas que l’article du RGPD précité. Nous retiendrons, dans l’ensemble de l’encadré consacré au sujet, cette phrase qui résume assez bien le concept :

« En pratique, la pseudonymisation consiste à remplacer les données directement identifiantes (nom, prénom, etc.) d’un jeu de données par des données indirectement identifiantes (alias, numéro séquentiel, etc.). »

Nous avions en son temps consacré une actualité à cette pseudonymisation : RGPD : entre anonymisation et pseudonymisation, le 2 février 2018.

Méthode pour bien anonymiser

Suit alors le corps même de l’article structuré en 4 points principaux :

• Pourquoi anonymiser des données personnelles ?
• Comment anonymiser tout en préservant au maximum l’utilité du jeu de données ?
• Comment vérifier l’efficacité de l’anonymisation ?
• Comment se prémunir des risques liés à l’anonymisation ?

Comme à son habitude la Cnil renvoie en fin d’article aux sources pertinentes dont notamment l’avis 05/2014 du G29, déjà cité dans notre actualité précitée, et le Code des relations entre le public et l’administration (article L.312-1-2).

Plus d’infos : https://www.cnil.fr/fr/lanonymisation-de-donnees-personnelles

Didier Frochot

Didier Frochot est titulaire d’une maîtrise de droit privé et d’un DESS de gestion. Présent dans le secteur de l’information-documentation depuis 1982, il est Consultant et Formateur depuis 1984, il collabore à la rubrique Droit du mensuel professionnel Archimag depuis 2003. Il fut par le passé Responsable pédagogique du cycle supérieur de l’INTD/CNAM pendant 10 ans (1989-1998).

Spécialités
E-réputation – Propriété intellectuelle, Droit des technologies de l’information, de la documentation et des médiathèques, Données personnelles et RGPD – Technologies de l’information (Internet/Intranet : recherche d’informations conception de sites) – Documentation – Traitement de l’information – Information, documentation et veille juridiques.

Voir aussi

Données personnelles : la CJUE invalide l'accord de la Commission européenne sur le Safe Harbor

Google My Business : les jurisprudences en matière de données personnelles

Le RGPD : quel bilan plus d’un an après son entrée en application ?