Par Haas Avocats
Le tribunal de l’Union européenne a rendu le 26 avril une décision inédite établissant qu’une donnée pseudonymisée peut perdre son caractère de donnée personnelle dans le cadre de son transfert.Les faits sont les suivants :
Pour permettre au Conseil de résolution unique (CRU) de prendre une décision visant à accorder ou non un dédommagement aux actionnaires et aux créanciers, il les invitait à faire des commentaires/évaluations qui, après pseudonymisation étaient transférés à l’auditeur externe (Deloitte)
Ce transfert est considéré illicite par le CEPD car, selon ce dernier, le CRU n’aurait pas régulièrement informé les personnes concernées du fait que Deloitte était un destinataire[1] de données à caractère personnel.
La problématique majeure traitée ici est la notion même de donnée personnelle au regard de la double définition pseudonymisation / anonymisation.
Une application stricte de la jurisprudence « Breyer »
En l’espèce, l’accès aux commentaires/évaluation par le personnel du CRU se faisait à l’aide d’un code alphanumérique aléatoire unique de 33 chiffres. Cet identifiant était généré au moment de la réception des réponses au formulaire. Les commentaires portant ledit code ont été transférés au personnel habilité de Deloitte, par le biais d’un serveur virtuel de données sécurisé et dédié au CRU.
Dans ce contexte, le CRU était le seul à pouvoir faire le lien entre le code alphanumérique des commentaires et l’identité des actionnaires/créanciers.
Les données transférées par le CRU ont été considérées comme des données pseudonymisées par le CEPD lequel considère que le CRU a violé l’article 15 du Règlement 2018/1725 pour défaut d’information des actionnaires et créanciers de la possibilité que leurs données à caractère personnel soient communiquées à Deloitte.
Le CRU a demandé au tribunal de l’UE de revenir sur la décision du CEPD en arguant que les informations transmises à Deloitte ne constituaient pas des données à caractère personnel au sens de l’article 3 du Règlement 2018/1725[2].
L'application de la jurisprudence « Breyer » remise en cause par le Tribunal de l’UE
Le CRU soutient que les données sont rendues anonymes pour un tiers, et cela, même si l’information permettant la réidentification n’est pas irrévocablement éliminée et est conservée par l’auteur du transfert. Son argumentaire s’axe donc autour de l’évaluation du risque de réidentification et d’une remise en cause de la définition traditionnelle opposant pseudonymisation (réidentification possible) et anonymisation (processus irréversible, réidentification impossible).
Le Tribunal de l’UE apporte un nouvel éclairage à la jurisprudence Breyer (16 octobre 2016)[3] en décidant d’annuler la décision du CEPD.
Le Tribunal de l’UE reproche en effet au CEPD de ne pas avoir recherché si Deloitte disposait des moyens légaux et réalisables en pratique lui permettant d’accéder aux informations supplémentaires nécessaires à la réidentification des auteurs des commentaires, afin de pouvoir les requalifier de données à caractère personnel.
A suivre cette nouvelle décision, l’existence d’une table de concordance permettant de remonter à la personne visée par une donnée pseudonymisée n’est pas un argument absolu. Une interprétation doit être donnée sur les possibilités de réidentification.
Il s’agit donc de vérifier au cas par cas l’existence de moyens légaux et réalisables en pratique permettant à l’entité disposant des données pseudonymisée d’accéder à la table de concordance auprès de l’entité tierce qui la détient.
Une frontière entre pseudonymisation et anonymisation difficile à tracer
Pour rappel, la CNIL a eu l’occasion de rappeler que l’anonymisation qui empêche de manière irréversible toute identification même indirecte de la personne ne devait pas être confondue avec la pseudonymisation.
Qu'est ce que la pseudonymisation ?
La pseudonymisation consiste en effet à remplacer les données directement identifiantes (nom, prénom, etc.) d’un jeu de données par des données indirectement identifiantes (alias, numéro séquentiel, etc.).
Depuis l’arrêt « Breyer »[4] et les lignes directrices du G29/CEPD visant les techniques d’anonymisation, juridictions et autorités de contrôles se sont attachées à préciser la définition de la « pseudonymisation » ainsi que des techniques d’anonymisation.
Le contexte est délicat car il invite à concilier deux objectifs pouvant apparaître contradictoires :
- D’un côté assurer une protection renforcée des personnes concernées en permettant au RGPD et à ses règles de s’appliquer à un maximum d’hypothèses. Il s’agit ici de tendre vers une restriction forte de la notion d’anonymisation en démontrant que grâce aux évolutions technologiques les traitements de données opérées permettent d’identifier la personne même indirectement. Cette position est défendue par le CEPD depuis les lignes directrices du 10 avril 2014.
- De l’autre, permettre l’essor de l’intelligence artificielle, des analyses statistiques, de la recherche médicale et scientifique etc. et plus généralement de toutes les activités consommatrices de grandes masses de données. Un tel but suppose de limiter la notion de pseudonymisation et d’étendre la notion d’anonymisation afin d’écarter l’application du RGPD et de ses contraintes aux traitements mis en œuvre. Le Tribunal de l’UE ouvre la voie en rebondissant sur le critère d’évaluation des « possibilités de réidentification » déjà visé au sein de l’arrêt Breyer.
Les enjeux de la pseudonymisation des données
Au-delà de cette conciliation nécessaire, le critère de « réidentification possible » ne va pas sans poser des difficultés d’ordre pratique, voire éthique.
Une telle décision pourrait en effet conduire à favoriser le transfert/stockage de données pseudonymisées sans table de concordance au sein de pays à la marge d’accords internationaux et dont la situation rendrait irréalisable la mise en place de procédures légales permettant à l’entité destinataire d’obtenir la table de concordance.
On pourrait facilement imaginer qu’un tel postulat conduise au développement de nouvelles pratiques du côté des hébergeurs et/ou des responsables de traitement afin d’écarter l’application du RGPD à des données simplement pseudonymisées.
Les implications pourraient être importantes, dans la mesure où ces données pseudonymisées ne seraient plus considérées comme personnelles. Notamment, ce qui veut dire :
- plus besoin d’accord sur la protection des données;
- plus de besoin de garanties adéquates;
- plus besoin d’informer les personnes concernées.
De la même manière, quand certains traitements ou certaines données requièrent un hébergement spécifique[5] comme les données de santé avec les HDS[6], il pourrait être tentant de les pseudonymiser pour échapper à leur régime de protection spécifique et réduire drastiquement les coûts.
Il convient donc de rester vigilant sur l’évolution des pratiques et l’interprétation qui pourra être faite par le juge des différents cas de pseudonymisation et de réidentification qui lui seront soumis à la lumière de cette jurisprudence.
Affaire à suivre…
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne les acteurs du numérique dans leur conformité à la règlementation relative à la protection des données personnelles. Pour nous contacter, cliquez ici
[1] Article 3 du Règlement 2018/1725 : désigne « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication des données à caractère personnel, qu’il s’agisse ou non d’un tiers ».
[2] Article 3 du Règlement 2018/1725 : désigne « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale »
[3] Dans cet arrêt, la donnée pseudonymisée (en l’espèce l’adresse IP) était considérées comme une donnée à caractère personnel malgré le fait que les éléments d’identification n’étaient pas « entre les mains d’une seule personne ».
[4] Op Cit
[5] Articles L1111-8 et suivants du Code de la santé publique
[6] Hébergeur de données de santé