Le Com­mis­saire fédé­ral à la pro­tec­tion des don­nées et à la liber­té d’in­for­ma­ti­on (BfDI ; responsable de la pro­tec­tion des don­nées publi­ques, mais aus­si pri­vées dans le domaine des télé­com­mu­ni­ca­ti­ons [TC]) a publié – après une audi­tion publi­que – un docu­ment de posi­ti­on sur l’an­ony­mi­sa­ti­on selon le RGPD, en tenant comp­te en par­ti­cu­lier du sec­teur des TC.

Noti­on d’anonymisation

Le BfDI se pen­che d’a­bord sur le Noti­on d’an­ony­mi­sa­ti­on que le RGPD ne défi­nit pas expres­sé­ment. Il faut par­tir de la noti­on de don­nées per­son­nel­les : est anony­me ce qui ne con­sti­tue pas des don­nées per­son­nel­les. Com­me pour la défi­ni­ti­on des don­nées per­son­nel­les, il n’e­xi­ste donc pas de critère absolu :

Une anony­mi­sa­ti­on abso­lue, tel­le que per­son­ne ne pui­s­se réta­b­lir la réfé­rence à la per­son­ne, n’est sou­vent pas pos­si­ble et n’est géné­ra­le­ment pas exi­gée par la légis­la­ti­on sur la pro­tec­tion des don­nées. En règ­le géné­ra­le, il suf­fit que le lien avec la per­son­ne soit sup­p­ri­mé. est sup­p­ri­mée de tel­le sor­te qu’u­ne ré-iden­ti­fi­ca­ti­on est pra­ti­quement impos­si­ble, car le lien avec la per­son­ne ne peut être réta­b­li qu’au prix d’un effort dis­pro­por­ti­onné en ter­mes de temps, de coûts et de main-d’œuvre.

Base juri­di­que de l’an­ony­mi­sa­ti­on sans effacement

Le pro­ce­s­sus d’an­ony­mi­sa­ti­on lui-même con­sti­tue une Trai­te­ment des don­nées per­son­nel­les et néces­si­te – selon le RGPD – une base juri­di­que. La que­sti­on se pose notam­ment de savoir quand l’an­ony­mi­sa­ti­on con­sti­tue enco­re une fina­li­té com­pa­ti­ble et est cou­ver­te par la base juri­di­que initiale.

Dans ce con­tex­te, il est par­ti­cu­liè­re­ment réjouis­sant de con­stater que le BfDI part du prin­ci­pe que une fina­li­té com­pa­ti­ble peut être fon­dée sur la base juri­di­que de la fina­li­té d’o­ri­gi­ne et ne néces­si­te alors pas de base juri­di­que auto­no­me. Cela peut se fon­der sur la deu­xiè­me phra­se du con­sidé­rant 50, mais est con­tro­ver­sé dans la doctrine.

Dans ce sens, l’an­ony­mi­sa­ti­on est com­pa­ti­ble si les critères de l’ar­tic­le 6, para­gra­phe 4 du RGPD sont rem­p­lis. Dans ce cas, le BfDI affir­me que l’ob­jec­tif de l’an­ony­mi­sa­ti­on n’est pas la sup­pres­si­on de la réfé­rence à la per­son­ne, mais “l’in­té­rêt réel sous-jacent du responsable du trai­te­ment” ; celui-ci doit donc être pris en comp­te dans la mise en balan­ce. A mon avis, c’est faux, car l’in­té­rêt sous-jacent ne se rap­por­te justem­ent pas au trai­te­ment de don­nées per­son­nel­les et ne doit donc pas être pris en comp­te du point de vue de la pro­tec­tion des don­nées. Du point de vue du BfDI, il serait par exemp­le per­mis d’an­ony­mi­ser les don­nées des cli­ents afin de déter­mi­ner la répar­ti­ti­on des ser­vices par région et par cohor­te d’âge.

L’an­ony­mi­sa­ti­on com­me équi­va­lent de la suppression

Le BfDI pré­cise en out­re que l’an­ony­mi­sa­ti­on est auto­ri­sée si l’effa­ce­ment l’est éga­le­ment, car l’an­ony­mi­sa­ti­on est en prin­ci­pe équi­va­len­te à l’effacement :

Selon la sys­té­ma­tique du RGPD, l’effa­ce­ment des don­nées n’est donc appa­rem­ment qu’u­ne pos­si­bi­li­té par­mi d’aut­res de satis­fai­re aux exi­gen­ces de l’ar­tic­le 5, para­gra­phe 1, point e), du RGPD. Il n’est pas néces­saire si la réfé­rence à la per­son­ne peut être effi­ca­ce­ment sup­p­ri­mée par anony­mi­sa­ti­on. […] Il s’en­su­it que dans le cas où il n’y a plus que des infor­ma­ti­ons anony­mi­sées, c’est-à-dire des infor­ma­ti­ons sans réfé­rence à des per­son­nes, les obli­ga­ti­ons décou­lant du RGPD et, par con­sé­quent, l’ob­li­ga­ti­on d’u­ne éven­tu­el­le limi­ta­ti­on plus importan­te de la con­ser­va­ti­on pré­vue à l’ar­tic­le 5, para­gra­phe 1, point e), du RGPD ne s’ap­pli­quent pas.

On pour­rait argu­men­ter cont­re la pos­si­bi­li­té de satis­fai­re à l’ob­li­ga­ti­on d’effa­ce­ment par l’an­ony­mi­sa­ti­on en argu­ant du fait que, par rap­port à l’effa­ce­ment, l’an­ony­mi­sa­ti­on laisse sub­si­ster un ris­que rési­du­el de ré-iden­ti­fi­ca­ti­on. En revan­che, on peut affirm­er que les deux pro­ce­s­sus – sup­pres­si­on et anony­mi­sa­ti­on – ent­raî­nent une sup­pres­si­on de la réfé­rence à la per­son­ne et que même la sup­pres­si­on n’en­traî­ne pas néces­saire­ment une des­truc­tion défi­ni­ti­ve des don­nées. Le fait qu’il s’a­gis­se de la La Com­mis­si­on esti­me que l’effa­ce­ment et la des­truc­tion sont deux opé­ra­ti­ons de trai­te­ment alter­na­ti­ves, est éga­le­ment cla­ri­fié par la for­mu­la­ti­on “l’effa­ce­ment ou la des­truc­tion” de l’ar­tic­le 4, point 2, du RGPD. Ce rai­son­ne­ment peut éga­le­ment être appli­qué au droit à l’effa­ce­ment pré­vu à l’ar­tic­le 17 du RGPD.

Du point de vue du BfDI, l’ob­li­ga­ti­on d’effacer les don­nées à carac­tère per­son­nel peut être ne sont satis­fai­tes par l’an­ony­mi­sa­ti­on que si les don­nées à carac­tère per­son­nel ont été coll­ec­tées léga­le­ment (cf. artic­le 17, para­gra­phe 1, point a) du RGPD).

Ain­si, d’ail­leurs l’au­to­ri­té autri­chi­en­ne de pro­tec­tion des don­nées a éga­le­ment déci­dé.

Plus d’in­for­ma­ti­ons

Enfin, le BfDI atti­re l’at­ten­ti­on sur les dis­po­si­ti­ons léga­les spé­cia­les rela­ti­ves à l’an­ony­mi­sa­ti­on, en l’oc­cur­rence la légis­la­ti­on alle­man­de sur les télé­com­mu­ni­ca­ti­ons, sur l’ob­li­ga­ti­on de trans­pa­rence du responsable du trai­te­ment et sur les ana­ly­ses d’im­pact rela­ti­ves à la pro­tec­tion des don­nées. Sur ces dernières :

En cas d’an­ony­mi­sa­ti­on, le responsable doit en géné­ral, par­tir du prin­ci­pe qu’il exi­ste un ris­que éle­véEn effet, l’an­ony­mi­sa­ti­on est régu­liè­re­ment sou­mi­se au critère de “trai­te­ment à gran­de échel­le” et, au moins actu­el­le­ment, au critère des “nou­vel­les tech­no­lo­gies”. […] Une ana­ly­se d’im­pact rela­ti­ve à la pro­tec­tion des don­nées doit géné­ra­le­ment être effec­tuée avant l’anonymisation.