Anonymisation et Pseudonymisation: Deux concept à ne pas confondre en matière de Protection des Données personnelles

  • Avant de parler d’Anonymisation et de Pseudonymisation, juste un rappel succinct de la notion de donnée à caractère personnel

Une donnée à caractère personnel est au sens de la Loi, toute information de quelque nature qu’elle soit et indépendamment de son support, y compris le son et l’image relative à une personne physique identifiée ou identifiable directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique. Le traitement (Collecte, Stockage, suppression, transfert…) de telles informations est soumis à des obligations légales découlant de la loi ivoirienne N°2013-450 du 19 Juin 2019 et du Règlement Général (Européen) sur la Protection des Données (RGPD).

Ce sont entre autres:

  • L’obligation d’Information,
  • le consentement de la personne dont les données font l’objet de traitement,
  • la déclaration, l’avis, et l’obtention d’autorisation délivrée par l’autorité de protection des données à caractère personnel.

La personne qui prend l’initiative du traitement, encore appelée responsable du traitement,  est tenu de remplir ces obligations avant, pendant et après avoir mis en œuvre le traitement.

Partant de ce fait, on peut aisément en déduire que toute information qui ne contient pas de données à caractère personnel n’est pas soumise à la réglementation en la matière.

  • PROBLÉMATIQUE DE L’ANONYMISATION ET DE LA PSEUDONYMISATION
Qu’est ce que l’anonymisation?

Selon la CNIL (Autorité française de la protection des données à caractère personnel) , l’anonymisation est un traitement qui consiste à utiliser un ensemble de techniques de manière à rendre impossible  en pratique, toute identification de la personne par quelque moyen que ce soit et ce, de manière irréversible.

Autrement dit, c’est une technique appliquée au données à caractère personnel qui permet d’empêcher de manière absolue et irréversible toute ré-identification de ces données que ce soit par le responsable de traitement lui même ou une tierce personne.

Voir aussi: Publication de données à caractère personnel des enfants sur internet : quelles sont les implications ?

Dans la Jurisprudence Française, le conseil d’Etat a été clair sur cette question et dans une décision rendue le 8 Février  2017,  il à estimé qu’une donnée “ne peut être regardée comme rendue anonyme que lorsque l’identification de la personne concernée, directement ou indirectement, devient impossible que ce soit par le responsable du traitement ou par un tiers. Tel n’est pas le cas lorsqu’il demeure possible d’individualiser une personne ou de relier entre elles des données résultant de deux enregistrements qui la concernent.”

Ainsi,  quand une personne utilise par exemple les techniques de cryptographie à clé secrète et que le metteur en œuvre détient toujours la clé, on ne peut parler d’anonymisation…

Lorsque l’anonymisation est effective, la réglementation sur la Protection des Données à Caractère personnel ne s’applique plus à ces données. La raison est toute simple: ces données ne permettent plus d’identifier de manière directe ou même indirecte une personne. Ce ne sont donc plus des données à caractère personnel.

Que dire de la Pseudonymisation?

La Pseudonimisation est considérée quant à elle, comme une technique de sécurisation réversible contrairement à l’anonymisation qui est irréversible. Ainsi, selon le RGPD, la Pseudonnymisation est « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ».  En effet, la Pseudonymisation consiste à réduire le rapport entre les données permettant d’identifier une personnes et les autres données de cette dernière. Cette technique permet toujours d’identifier une personne grâce à ses données à caractère personnel. Cela dit, elle consiste simplement à remplacer un attribut par un autre au sein d’un enregistrement. Mais en tout état de cause, il est toujours possible à un certain moment de relier les données et de ré-identifier les personnes concernées.

Dès lors, le fait de pseudonymiser des données ne nous exclut pas des obligations relatives à la protection sur les données à caractère personnel vu que cette technique pourrait permettre d’identifier « indirectement » une personne.

Le chiffrement, le hachage, obfuscation, les signatures électroniques sont par ailleurs des techniques de Pseudonymisation.

Il est donc capital de faire une distinction terminologique en l’espèce, lorsque nous utilisons une technique car bien souvent ce sont des détails qui comptent énormément dans le processus de mise en conformité à la réglementation sur la protection des données à caractère personnel.

Une chose est certaine, il n’existe pas de risque zéro en matière informatique. En cas de doute, il faut toujours requérir l’avis de l’autorité de protection des données à caractère personnel pour élucider  toute zone d’ombre quant à la technique employée.

Cet article vous a t-il plu ? Vous avez des préoccupations, un point de vu à partager ? Faites-le nous savoir à travers vos commentaires. Surtout n’oubliez pas de vous abonner à notre site internet et nos pages sur les réseaux sociaux (Facebook ; Twitter) pour plus d’informations sur le Droit des Technologies de l’Information et de la Communication.

Ange Uriel Kouassi, JurisTIC-CI

 

Merci de laisser un commentaire