Pseudonymisation et donnée à caractère personnel, des notions subjectives…

Faits d'espèce et raisonnement

Cette décision[2] a été rendue dans le contexte d'une procédure de résolution initiée par le Conseil de Résolution Unique (CRU) à l'encontre d'une banque espagnole. Dans le cadre de cette procédure, le CRU a transmis à un tiers (Deloitte), pour évaluation, les commentaires de créanciers et actionnaires de la banque. Les commentaires transmis étaient associés à un code alphanumérique, et Deloitte ne disposait pas des informations permettant de réidentifier les auteurs. Seul le CRU était capable, au moyen de ce code, de relier les commentaires aux données d'identification des auteurs.  Les auteurs des commentaires ont transmis au CEPD cinq réclamations, invoquant que le CRU ne les avait pas informés que leurs données seraient transmises à des tiers.

Les deux questions principales qui se sont posées sont respectivement de savoir (1) si les données pseudonymisées transmises devaient être considérées comme constituant ou non des données à caractère personnel du point de vue du destinataire, et (2) si dans la négative, l'obligation d'information des personnes concernées sur la transmission subsiste.

L'arrêt du Tribunal de l'Union avait annulé la décision du CEPD, en raison de l'approche stricte de la notion de pseudonymisation qu'il avait retenue, en considérant que "le fait que Deloitte n’ait pas eu accès aux informations détenues par le CRU permettant la réidentification n’a pas pour conséquence que les données « pseudonymisées » transmises à Deloitte soient devenues des données anonymes", et a ainsi considéré que "des données "pseudonymes" le resteraient même lorsqu'elles sont transmises à un tiers qui ne disposerait pas d'informations supplémentaires".

Devant la CJUE, le CRU, soutenu par la Commission, s'est opposé à l'argumentation du CEPD, en défendant une approche subjective de la notion de pseudonymisation. Selon cette approche, des données pseudonymisées ne constituent pas, en toute hypothèse, des données à caractère personnel "en raison de la seule existence d'informations permettant d'identifier la personne concernée".

La CJUE a adopté cette approche en considérant que, "contrairement à ce que soutient le CEPD (…) la pseudonymisation peut, selon les circonstances de l'espèce, effectivement empêcher des personnes autres que le responsable de traitement d'identifier la personne concernée de telle manière que, pour elles, celle-ci n'est pas ou n'est plus identifiable."

La CJUE a relevé que les mesures techniques et organisationnelles peuvent avoir pour effet que les "commentaires ne présentent pas un caractère personnel" pour le destinataire si : (i) le destinataire n'est pas "en mesure de lever ces mesures[techniques et organisationnelles] lors de tout traitement desdits commentaires effectué sous son contrôle" et (ii) " lesdites mesures doivent effectivement être de nature à empêcher [le destinataire] d’attribuer ces mêmes commentaires à la personne concernée également par le recours à d’autres moyens d’identification tels qu’un recoupement avec d’autres éléments".

Apports sur les notions de pseudonymisation et données à caractère personnel 

 Des données pseudonymisées constituent des données à caractère personnel du point de vue du responsable du traitement, qui dispose des moyens d'identification des personnes concernées, et non systématiquement du point de vue du destinataire, à supposer que, pour ce dernier, la personne concernée ne soit pas ou plus identifiable.

Afin que les personnes concernées ne soient pas identifiables, les mesures techniques et organisationnelles mises en œuvre par le responsable du traitement (i) ne doivent pas pouvoir être levées par le destinataire des données, et (ii) doivent empêcher le recours à d'autres moyens d'identification, tel que le recoupement par le destinataire.

Une solution résistant à ces trois risques offrirait par conséquent une protection fiable contre les tentatives de réidentification utilisant les moyens les plus susceptibles d’être raisonnablement mis en œuvre par le responsable du traitement des données ou par des tiers.

Le G29 avait, dans son avis sur les techniques d'anonymisation, dégagé trois risques essentiels  en matière d'anonymisation au prisme desquels analyser la nature des données : (1) individualisation (possibilité d’isoler une partie ou la totalité des enregistrements identifiant un individu dans l’ensemble de données), (2) corrélation (capacité de relier entre elles, au moins, deux enregistrements se rapportant à la même personne concernée ou à un groupe de personnes concernées) et (3) inférence (possibilité de déduire, avec un degré de probabilité élevé, la valeur d’un attribut à partir des valeurs d’un ensemble d’autres attributs).

Cette analyse demeure pertinente. La précision apportée par l'arrêt consiste à retenir que cette analyse peut être réalisée de manière distincte, d'une part par le responsable du traitement, et, d'autre part, par le destinataire des données pseudonymisées.

De ce fait, des données pseudonymisées peuvent être appréciées différemment, selon les moyens d'identification dont disposent les acteurs y accédant, et constituer ou non des données à caractère personnel. 

Il en résulte une approche subjective des notions de "donnée à caractère personnel", de "pseudonymisation", et en corollaire de celle d'"anonymisation".

 Ainsi, de mêmes données peuvent constituer des données pseudonymes pour un acteur, et anonymes pour un autre.

 Cette décision offre ainsi des perspectives de réutilisation des données, notamment dans un contexte où l'utilisation secondaire de données de santé est nécessaire, à des fins de recherche et d'innovation, en particulier en considération de l'essor de l'intelligence artificielle.

Lien entre nature des données et information des personnes

Au-delà du sujet de la nature des données, l'arrêt propose des enseignements sur l'obligation d'informations, considérant que, pour l'application de cette obligation, "le caractère identifiable de la personne doit être apprécié au moment de la collecte des données et du point de vue du responsable de traitement". Le responsable du traitement aurait ainsi dû informer les personnes concernées de leur transmission de leurs données à un destinataire, peu importe que, pour ce dernier, les données ne constituent pas des données à caractère personnel.

Ce faisant, le caractère subjectif de données pseudonymisées à l'égard du destinataire est sans impact sur l'obligation d'information du responsable du traitement concernant leur transmission.

Si le destinataire de données considérées comme anonymes à son égard n'est pas soumis au respect des principes relatifs à la protection des données, le responsable du traitement initial reste tenu de les appliquer, même à l'égard de ce destinataire.

Une notion et des obligations à géométrie variable, supposant plus encore de formaliser, au regard des données, traitements et acteurs, une analyse des risques de réidentification par l'application des trois critères de l'anonymisation.

Sans ironie aucune, reste à procéder à une analyse objective des facteurs objectifs, eu égard à des données dont l'appréciation est subjective, selon l'acteur les traitant… comprendra qui veut 😊