Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 18

d'appliquer les principes de protection des données aux informations
anonymes, à savoir aux informations
ne concernant pas une personne
physique identifiée ou identifiable, ni
aux données rendues anonymes pour
que la personne concernée ne soit pas
ou plus identifiable. Le présent règlement ne s'applique par conséquent
pas au traitement de ces informations
anonymes, y compris à des fins statistiques et de recherche. »

Introduction des données
pseudonymes
Le projet introduit expressément le
terme de donnée pseudonyme, aux
côtés des données anonymes et
personnelles. Les textes (y compris la
proposition initiale de la Commission
européenne, du 25 janvier 2012) étaient
jusqu'alors muets sur ce mécanisme
majeur dans l'économie de la donnée.
Cette notion était absente de la proposition initiale de la Commission européenne. Si cet ajout est une bonne
chose, le législateur n'a toutefois pas
fait œuvre de clarification dans le
régime retenu.
La pseudonymisation désigne « le traitement de données à caractère personnel de telle façon qu'elles ne puissent
plus être attribuées à une personne
concernée sans avoir recours à des
informations supplémentaires, pour
autant que celles-ci soient conservées séparément et soumises à des
mesures techniques et organisationnelles afin de garantir cette non-attribution à une personne identifiée ou
identifiable » (article 4, 3 ter du projet).
Une donnée pseudonyme serait donc
une donnée personnelle dont le caractère identifiant ne serait accessible,
qu'après combinaison avec d'autres
données et leur déchiffrement, le cas
échéant.
Le mérite de cette nouvelle catégorie
est qu'il permet de clarifier ce qu'est
une donnée anonyme. En effet, morceler un fichier pour séparer les données
les unes des autres, et ainsi disposer
de bases qui, chacune, ne contiennent
pas de données personnelles, ne
devrait pas être considéré comme
une anonymisation stricto sensu. Il ne
s'agit pas d'une anonymisation dès

18

lors que le responsable conserve la
possibilité de ré-identifier les données.
Créer un niveau intermédiaire de
donnée pseudonyme évite donc des
qualifications inexactes.
En outre ce statut permet de réduire
les diligences de sécurité : « La pseudonymisation des données à caractère personnel peut réduire les risques
pour les personnes concernées et
aider les responsables du traitement
et les sous-traitants à respecter leurs
obligations en matière de protection
des données » (considérant 23 bis).
Les responsables pourraient, dans ce
cadre, mettre en place des politiques
de droits d'accès et de sécurité en
jouant sur les niveaux de pseudonymisation des données, et des niveaux
adaptés de sécurité.
Par ailleurs, ce statut permet de réduire
les obligations vis-à-vis des personnes
concernées. En effet, le projet de règlement envisage l'hypothèse où les finalités du traitement « n'imposent pas ou
n'imposent plus au responsable du
traitement d'identifier une personne
concernée » (article 10). Dans ce cas,
le responsable du traitement n'est pas
tenu de conserver des informations
supplémentaires pour identifier les
personnes concernées, aux seules fins
de conformité, par exemple permettre
aux individus d'exercer leurs droits -
sauf si lesdits individus fournissent
eux-mêmes des informations pour
pouvoir exercer leurs droits.
Cette nouvelle catégorie permettrait
ainsi d'adapter finement le niveau
d'exigence réglementaire, au risque
présenté par les capacités techniques
de ré-identification, qui pourraient
prendre en compte le contexte, les
capacités de l'exploitant, la nature
des données, l'enjeu de vie privée
pour la personne concernée, etc.
Cette nouvelle approche intervient
dans le cadre plus large du projet de
règlement, de renouveler la grille de
lecture réglementaire au moyen de
l'approche par le risque.

Une nouvelle grille de
lecture
Plus généralement, le projet de règlement vise à encadrer plus fortement

EXPERTISES JANVIER 2016

la gestion interne des données et
des traitements par les exploitants,
en prévoyant des garde-fous tout au
long des processus de traitement.
Si cette méthodologie n'a pas vocation à modifier la notion de donnée
personnelle, elle pourrait néanmoins
modifier les pratiques de collecte en
contraignant les exploitants à identifier finement leur besoin ou leur
intérêt avant de mettre en œuvre un
traitement.

Modérer la collecte de
données
Une première mesure consiste à
modérer la collecte de données. L'on
peut citer en particulier la protection
des données dès la conception et
par défaut, c'est-à-dire l'obligation
faite aux responsables d'assurer la
conformité de leurs traitements par
les mesures appropriées, notamment la minimisation et la pseudonymisation, ainsi que la limitation
par défaut de la collecte aux seules
données nécessaires (article 23 du
projet).
Plus généralement, le projet de
règlement promeut la prise de
contrôle de l'individu sur l'utilisation qui est faite de ses données
(voir notamment le considérant
6 du projet qui énonce que « les
personnes physiques devraient
maîtriser l'utilisation qui est faite
des données à caractère personnel
les concernant (...) »).

Gérer les données dans
le cadre d'une maîtrise
globale des risques
Traiter des données nécessitera
de mettre en place des processus
internes, selon les grandes orientations suivantes visées à l'article 22
du projet, et selon l'idée sous-jacente
que la sécurité est un processus :
■ Evaluation des risques : le
responsable doit tenir compte « de la
nature, de la portée, du contexte et
des finalités du traitement ainsi que
de la probabilité et de la gravité des
risques au regard des droits et des
libertés des personnes physiques » ;



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409

Couverture
Editorial & Sommaire
MAGAZINE Lanceur d’alerte : Le cadre manquant
INTERVIEW Big data sécuritaire
DOCTRINE
Données personnelles - Identifiants, pseudonymes, anonymat
Preuve - Valeur juridique d’une copie numerisée
Cybercriminalité - Terrorisme, état d’urgence et numérique... Quelles incidences ?
E-commerce - Vers un assouplissement des règles d’affichage
JURISPRUDENCE
DIGITRE / J-B. N. ET NEO AVENUE
ETAI / YAHOO! FRANCE, SFR, MANCHE TÉLÉCOM
TÉFAL ET AUTRES / M. M. C. ET MME J. L
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - MAGAZINE Lanceur d’alerte : Le cadre manquant
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 4
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 5
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 6
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 7
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 8
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 9
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - INTERVIEW Big data sécuritaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 11
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 12
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 13
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - Données personnelles - Identifiants, pseudonymes, anonymat
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 15
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 16
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 17
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 18
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 19
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 20
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 21
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 22
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 23
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - Preuve - Valeur juridique d’une copie numerisée
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 25
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - Cybercriminalité - Terrorisme, état d’urgence et numérique... Quelles incidences ?
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 27
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 28
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - E-commerce - Vers un assouplissement des règles d’affichage
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 30
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - DIGITRE / J-B. N. ET NEO AVENUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - ETAI / YAHOO! FRANCE, SFR, MANCHE TÉLÉCOM
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 33
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 34
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 35
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - TÉFAL ET AUTRES / M. M. C. ET MME J. L
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 37
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 38
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 39
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 40
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
http://www.nxtbookMEDIA.com