Le 25 mai 2018, jour de l’application du RGPD, approche. Et, avec lui, l’obligation pour les entreprises de revoir leurs mesures de protection et de traitement des données personnelles des citoyens européens. L’anonymisation ou la pseudonymisation des informations sont-elles des solutions envisageables et appropriées pour votre entreprise ? En quoi consistent ces deux techniques ?
Découvrez nos deux autres articles sur le RGPD :
- Désignation d'un Délégué à la protection des données (DPD) et consentement des cibles.
- Gestion et stockage des données à caractère personnel.
Vous avez désigné (ou pas) un délégué à la protection des données (DPD / DPO), obtenu le consentement explicite de vos cibles avant l’envoi d’emails marketing et mis en place un système cohérent de gestion des données à caractère personnel conservées par l’entreprise ? Votre mise en conformité RGPD (Règlement général sur la protection des données) est en bonne voie. Dans le dernier article d’une série de trois consacrés à ce nouveau règlement, nous nous penchons sur l’intérêt de l’anonymisation ou de la pseudonymisation des données – deux mesures qu’il ne faut pas confondre !
RGPD et anonymisation des données personnelles
La norme ISO/IEC 20889 « Techniques d’anonymisation » (Privacy enhancing data de-identification techniques) liste l’ensemble des techniques d’anonymisation et de pseudonymisation à la disposition des entreprises. Selon cette norme, l’anonymisation est le « processus par lequel des informations personnellement identifiables (IPI) sont irréversiblement altérées de telle façon que le sujet des IPI ne puisse plus être identifié directement ou indirectement, que ce soit par le responsable du traitement des IPI seul ou en collaboration avec une quelconque autre partie. »
Guide de l’AFNOR sur l’apport des normes à la protection des données personnelles.
L’anonymisation des données a ainsi l’énorme avantage de vous soustraire aux obligations du RGPD dans la mesure où cette opération irréversible empêche le rapprochement entre les individus et leurs données.
L’anonymisation des données : une mesure complexe à mettre en place
Toutefois, l’anonymisation est un processus exigeant : la modification des données doit empêcher toute possibilité d’identification d’une personne, sans quoi l’anonymisation sera considérée comme insatisfaisante par la CNIL (Commission nationale de l’informatique et des libertés).
Il y a moins d’un an, la CNIL refusait ainsi à JCDecaux le droit de tracer les téléphones des passants sur la dalle de La Défense grâce à ses panneaux publicitaires, malgré la mise en place d’un système d’anonymisation partiel : « Pour qu’une solution d’anonymisation soit efficace, elle doit empêcher toutes les parties d’isoler un individu dans un ensemble de données, de relier entre eux deux enregistrements dans un ensemble de données (ou dans deux ensembles de données séparés) et de déduire des informations de cet ensemble de données. »
L’anonymisation détruit donc toute possibilité d’identification des individus auxquels appartiennent les données personnelles recueillies. Adieu suivi des adresses IP, marketing automatisé et autres cookies ! Les historiques d’achat ou les habitudes de navigation sur internet, même sans être directement reliés à un individu, peuvent en effet permettre une identification.
RGPD et pseudonymisation des données à caractère personnel
Le choix de l’anonymisation est pertinent si le maintien de l’accès aux informations nominatives n’est pas nécessaire. L’entreprise se protège ainsi en supprimant, une fois pour toutes et systématiquement, le caractère personnel des données. La pseudonymisation répond en revanche à un objectif différent.
L’article 4 du RGPD définit la pseudonymisation comme « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable. »
L’intérêt de la pseudonymisation des données personnelles
La pseudonymisation, assimilable à une anonymisation réversible, donc temporaire, sépare les données personnelles des individus par le remplacement d’un attribut par un autre, à moins d’avoir à sa disposition une clé d’identification. Cette clé, qui permet la ré-attribution des informations aux personnes qu’elles concernent, doit bien sûr être protégée par un contrôle d’accès très sécurisé.
La pseudonymisation d’une partie des données peut être utile lors de la création de bases de test pour les développeurs ou les responsables du support d’une entreprise. Les équipes peuvent ainsi utiliser une base de données « en conditions réelles », afin notamment d’étudier des corrélations, sans pour autant avoir accès à des informations personnelles. Le système de chiffrement mis en place remplace par exemple le nom d’un particulier par celui d’un alias ou un numéro d’identification par un autre.
Exemple de mise en place de mesures de sécurisation des données pour un bailleur social.
Tout l’enjeu de l’application du RGPD pour les entreprises tient en leur capacité à légitimer et documenter le recueil des données personnelles puis à sécuriser et contrôler leur accès et leur utilisation. Dans ce contexte, l’anonymisation ou la pseudonymisation des informations dépend de l’objectif visé plus que d’une décision technique. Parallèlement à l’éventuelle mise en place de ces mécanismes, ne négligez pas l’importance de sensibiliser vos collaborateur·trices aux enjeux du RGPD. Pourquoi ne pas leur faire signer une charte les engageant à en respecter les règles ?