Par Haas Avocats
La société QWANT a lancé son moteur de recherche en 2013, le fer de lance de la société étant la protection de la vie privée des utilisateurs.
Pourtant, en 2019, une plainte a été déposée contre QWANT auprès de la CNIL, alléguant que les données personnelles collectées n'étaient pas anonymisées comme la société le prétendait.
Vérification de la mise en conformité avec Qwant opérée par la CNIL
La plainte a conduit la CNIL à mener une enquête approfondie pour vérifier la conformité de QWANT avec le Règlement Général sur la Protection des Données (RGPD). L'enquête a révélé que les données transmises à MICROSOFT étaient pseudonymisées, mais pas anonymisées.
La pseudonymisation et l'anonymisation sont deux techniques utilisées pour protéger les données personnelles, notamment dans le cadre du Règlement général sur la protection des données (RGPD).
Pourtant, bien qu'elles visent toutes deux à limiter les risques d’identification des individus, elles présentent des différences fondamentales en termes de réversibilité et de niveau de protection des données.
| PSEUDONYMISATION | ANONYMISATION |
|
Consiste à remplacer les informations identifiantes d’une personne par des identifiants artificiels ou des alias. Toutefois, contrairement à l’anonymisation, les données pseudonymisées peuvent être réattribuées à leur sujet initial à l’aide d’une clé de correspondance conservée séparément. Cela permet de préserver la possibilité d’identification sous certaines conditions, par exemple en cas de nécessité pour un traitement spécifique. Ex : matricule, numéro étudiant, numéro de patient, etc |
Consiste en un processus irréversible qui supprime toute possibilité d’identification d’un individu à partir des données traitées. Pour être qualifiées d’anonymes, les données doivent être traitées de manière à ce qu’il soit impossible, même avec des moyens croisés, d’identifier directement ou indirectement une personne. |
Ayant pour conséquence…un rappel aux obligations légales !
La CNIL a émis un rappel aux obligations légales plutôt qu'une amende. Cette décision s'appuie sur plusieurs considérations juridiques :
- la bonne foi de QWANT ;
- sa coopération durant la procédure ; et
- les efforts entrepris pour améliorer sa politique de confidentialité.
La CNIL a ainsi exercé son pouvoir discrétionnaire en optant pour une mesure corrective plutôt que punitive[1].
L’affaire QWANT souligne l'importance d’une transparence absolue dans la gestion des données personnelles, en particulier lorsqu’une entreprise fait de la protection de la vie privée son principal argument commercial. La distinction entre pseudonymisation et anonymisation, mise en lumière par l’enquête de la CNIL, rappelle que la simple pseudonymisation des données ne garantit pas une anonymisation totale et ne dispense pas d’une vigilance accrue en matière de conformité au RGPD. Une distinction qui doit souvent être rappelée…
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] En vertu de l'article 58 du RGPD qui permet de prendre des mesures proportionnées aux manquements constatés
