- Du point de vue de la protection des données, l’anonymisation est considérée comme l’équivalent de l’effacement, à condition que la référence à la personne soit entièrement supprimée.
- L’anonymisation n’est autorisée que si ni le responsable ni des tiers ne peuvent rétablir la référence à la personne sans effort disproportionné.
Dans la pratique, la question se pose souvent de savoir si l’anonymisation des données personnelles est suffisante au lieu de leur suppression. Le RGPD ne donne aucune information claire à ce sujet. Il découle toutefois clairement de l’esprit du droit de la protection des données que l’anonymat :
- Le droit à la réglementation du droit de la protection des données prend fin en principe avec la suppression du lien avec la personne. En d’autres termes, cela signifie que le droit à la protection des données ne s’applique pas : Le droit de la protection des données ne peut pas dépasser son champ d’application matériel, même en ce qui concerne la question de l’effacement.
- Il est vrai que, lors de l’anonymisation, le responsable poursuit un objectif précis – la réutilisation des données anonymisées – ce qui n’est pas le cas lors de l’effacement. Mais comme cette finalité ne se limite pas à PersonnesSi le droit de la protection des données se rapporte à des données personnelles, il ne peut ou ne doit pas s’intéresser à cette fin.
- Le responsable pourrait se procurer les données anonymes à tout moment sans devoir respecter les exigences de la protection des données (pour autant que les données restent anonymes même lors de son propre traitement). Il serait contradictoire de lui interdire de rendre les données anonymes alors qu’il est libre de les récupérer.
Il fallait donc en conclure que l’anonymisation correspondait à la suppression du point de vue de la protection des données, c’est-à-dire qu’elle était un équivalent de la suppression, et qu’elle était donc toujours autorisée sans autre lorsqu’une suppression était permise ou requise.
La Commission européenne s’est penchée sur cette question. autorité de surveillance autrichienne s’occupe (Décision DSB-D123.270/0009-DSB/2018 du 5 décembre 2018). En réponse à une demande d’effacement, le responsable avait confirmé qu’il avait soit effacé les données du demandeur, soit “rendues anonymes conformément au RGPD”, selon le système utilisé. Cette manière de procéder devait être assimilée à un effacement. L’autorité de protection des données donne raison au responsable : le RGPD ne définit pas la notion d’ ”effacement”. Il ressort toutefois de l’article 4(2) du RGPD que l’effacement et la destruction sont deux choses différentes, d’où il découle à nouveau qu’un effacement n’implique pas nécessairement une destruction définitive. La suppression de la référence à la personne peut également être un moyen possible d’effacement au sens de l’article 4(2) en relation avec l’article 17 du RGPD. L’article 17, paragraphe 1, du RGPD constitue un moyen de suppression. L’anonymisation doit toutefois être complète :
Il faut […] s’assurer que ni le responsable lui-même, ni un tiers ne puisse rétablir une référence personnelle sans effort disproportionné […]. Ce n’est que si le responsable agrège finalement les données à un niveau tel qu’aucun événement individuel n’est plus identifiable que la base de données obtenue peut être qualifiée d’anonyme (c’est-à-dire sans référence à des personnes) (cf. Avis 5/2014 sur les techniques d’anonymisation de l’ancien groupe de travail “article 29”, WP216, p. 10).