Le 27 avril dernier, le Contrôleur européen de la protection des données (EDPS) et l’autorité espagnole ont publié un document (accessible ici) concernant les « 10 idées fausses sur l’anonymisation ».
Pour rappel, l’anonymisation est le processus qui consiste à rendre les données personnelles anonymes de manière à ce que « la personne concernée ne soit pas ou plus identifiable » (Considérant 26 du RGPD).
Constat étant fait que de nombreux exemples de processus d’anonymisation ont été réalisés de manière incomplète ou mal exécutée, aboutissant ainsi à la réidentification de personnes concernées, l’EDPB et l’autorité de protection des données espagnole ont publié un document décrivant les « 10 idées fausses » ci-dessous :
Idée fausse n°1 : « La pseudonymisation est identique à l’anonymisation »
La pseudonymisation doit être distinguée de l’anonymisation.
Au terme du processus de pseudonymisation les données personnelles ne peuvent plus être attribuées à une personne concernée précise « sans avoir recours à des informations supplémentaires », ce qui que les données pseudonymisées sont considérées comme des données à caractère personnel.
Idée fausse n°2 : « Le cryptage est une forme d’anonymat »
Le cryptage n’est pas une technique d’anonymisation, mais il peut être un puissant outil de pseudonymisation.
Le processus de cryptage utilise des clés secrètes pour transformer l’information de manière à réduire le risque d’utilisation abusive, tout en préservant confidentialité pendant une période donnée. Ainsi, les clés secrètes utilisées pour le décryptage représentent des « informations complémentaires », telles que mentionnées ci-dessus.
Idée fausse n°3 : « L’anonymisation des données est toujours possible »
Il n’est pas toujours possible de réduire le risque de réidentification (anonymisation) tout en conservant un ensemble de données utiles pour un traitement spécifique.
Selon le contexte, les finalités envisagées ou la nature des données, le procédé d’anonymisation ne pourra pas être mis en place. C’est par exemple le cas lorsque le nombre de personnes concernées est faible et que les données collectées sont si différentes qu’il est possible d’isoler les personnes concernées (par exemple, si les données sont des données de localisation).
Idée fausse n°4 : « L’anonymisation est éternelle »
Il existe un risque que certains procédés d’anonymisation puissent être inversés à l’avenir.
Les ressources informatiques et les nouvelles technologies (ou les nouvelles façons de recourir aux technologies existantes) dont dispose un hacker qui pourrait tenter de réidentifier un ensemble de données anonymes évoluent au fil du temps et pourraient permettre de relier des données, auparavant anonymes, à des personnes identifiées.
Idée fausse n°5 : « L’anonymisation réduit toujours la probabilité de réidentification d’un ensemble de données à zéro »
Le processus d’anonymisation et la manière dont il est mis en œuvre exerceront une influence directe sur les risques de réidentification.
Il est nécessaire de mettre en œuvre un processus d’anonymisation robuste afin de réduire le risque de réidentification.
Idée fausse n°6 : « L’anonymat est un concept binaire qui ne peut être mesuré »
Il est possible d’analyser et mesurer le degré d’anonymisation
Les enregistrements d’un jeu de données ont une probabilité d’être réidentifiés en fonction de la possibilité de les isoler. Tout processus d’anonymisation robuste doit donc évaluer le risque de réidentification, et le contrôler au fil du temps.
Idée fausse n°7 : « L’anonymisation peut être entièrement automatisée »
L’intervention d’un expert humain est nécessaire.
Si des outils automatisés peuvent être utilisés au cours du processus d’anonymisation, une intervention humaine est nécessaire pour procéder à l’analyse de l’ensemble de données d’origine, ses finalités, les techniques à appliquer ainsi que le risque de réidentification des données résultantes.
Idée fausse n°8 : « L’anonymisation rend les données inutiles »
Un processus d’anonymisation approprié permet de conserver la fonctionnalité des données pour une finalité donnée.
L’anonymisation a pour but d’empêcher l’identification des personnes figurant dans un jeu de données, ce qui restreint la manière dont le jeu de données peut être utilisé, sans pour autant le rendre inutile. Un exemple pourrait être l’anonymisation des journaux d’accès d’un site web, en ne conservant que la date d’accès et la page consultée, et non les informations sur l’utilisateur.
Idée fausse n°9 : « En suivant un processus d’anonymisation que d’autres ont utilisé avec succès, notre entreprise obtiendra des résultats équivalents »
Les processus d’anonymisation doivent être adaptés.
Il convient de prendre en compte la nature, la portée, le contexte et les finalités du traitement ainsi que les risques pour les droits et libertés des personnes concernées, lesquels varient selon les circonstances et les entreprises.
Idée fausse n°10 : « Il n’y a aucun risque ni aucun intérêt à découvrir à qui ces données se réfèrent »
La réidentification d’un individu pourrait avoir un impact sérieux sur ses droits et libertés.
Les données personnelles ont une valeur en soi, pour les individus eux-mêmes et pour tiers.
