Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 297

Que la personne concernée ne puisse
plus être identifiée ne signifie pas
simplement retirer les données nominatives ou identifiantes, mais également « empêcher toutes les parties
d'isoler un individu dans un ensemble
de données » et de « relier entre
eux deux enregistrements dans un
ensemble de données ».
L'individualisation d'une personne
suffit, car elle permet de rattacher
un évènement ultérieur à une même
personne et de « déduire des informations de cet ensemble de données »14. Il
est intéressant de noter que la doctrine
de la Cnil semble avoir évolué sur ce
point, en s'alignant sur les critères du
G29. Dans une décision antérieure
du Conseil d'Etat concernant l'autorisation qui avait été octroyé par la
Cnil à la société Celtipharm concernant un procédé d'anonymisation
à bref délai, le Conseil d'Etat relève
les caractéristiques de ce procédé,
note que les données relatives aux
patients « demeurent toutefois rattachables à un même individu anonyme
via un identifiant unique »15 et ne
censure pas la décision de la Cnil pour
autant. Désormais, le fait que l'anonymisation implique d'empêcher qu'une
personne puisse être individualisée
au sein d'un ensemble de données
constitue un critère bien établi. Cela
justifie notamment que la pseudonymisation, consistant à remplacer
l'identifiant d'un individu (son nom,
un numéro signifiant tel que le NIR,
etc.) par un autre identifiant arbitraire,
ne soit pas considérée comme une
méthode d'anonymisation.
Le G29 insiste par ailleurs sur la
nécessité que les modifications
apportées aux données pour assurer
leur anonymat soient irréversibles.
C'est notamment la raison pour
laquelle le chiffrement ne constitue
pas une mesure d'anonymisation,
dès lors qu'il s'agit d'une mesure
réversible. Par ailleurs, tant dans
la directive que dans le nouveau
règlement, le législateur européen a
pointé le risque de réidentification, à
savoir la possibilité que les données
anonymisées
soient
croisées,
complétées ou traitées de telle façon
que les personnes concernées soient
à nouveau identifiables. La prise de
conscience ces dernières années de

l'existence permanente d'un risque
que les personnes physiques puissent
être réidentifiées à partir de bases
considérées comme anonymes a
marqué un tournant dans l'histoire
de la notion d'anonymisation. Celleci est désormais considérée avec une
certaine méfiance par les régulateurs
et comme un exercice relativement
impossible par les responsables de
traitement16. L'avis du G29 sur les
techniques d'anonymisation en est une
illustration, qui ne cesse de rappeler
tout au long de son analyse « combien
il est difficile de créer un ensemble de
données vraiment anonymes »17.
De plus, il semble considérer que le
niveau de risque acceptable en termes
de réidentification correspondrait au
risque zéro - ce qui a été reproché à
cet avis18.
L'irréversibilité de l'anonymisation
implique donc une analyse des
risques de réidentification, non
seulement au moment où le procédé
d'anonymisation est appliqué, mais
également par la suite. Le G29
souligne en effet qu' « il appartient
aux responsables du traitement des
données de réévaluer régulièrement
les risques », notamment pour
s'assurer que la création et surtout
la diffusion de nouvelles bases de
données, même anonymisées, par
exemple dans le cadre de l'open data,
ne permettront pas des croisements
de données tels que les personnes
pourraient être réidentifiées. Il s'agit
d'éviter le « release and forget »,
c'est-à-dire la diffusion d'une base de
données considérée comme anonyme
au moment de sa diffusion, sans
effectuer par la suite un suivi de ce qu'il
peut advenir de cette base19. Le risque
réside tout particulièrement dans le
fait que d'autres bases peuvent être
rendues publiques ultérieurement,
et que les données de ces bases sont
susceptibles d'être croisées avec la
base anonymisée de telle façon que
celle-ci redevienne identifiante.
Le G29 semble cependant aller plus
loin en indiquant que la base de
données originale, dont sont issus les
jeux de données qui ont été anonymisés, doit être elle-même supprimée
pour que les jeux de données soient
considérés comme anonymisés20.

EXPERTISES SEPTEMBRE 2016

Cette position semble découler là
encore de la notion même de donnée
à caractère personnel, qui est caractérisée en fonction des moyens
susceptibles d'être mis en œuvre par
le responsable du traitement ou par
une autre personne pour identifier
un individu : dès lors que la base
de données originale reste accessible à une personne, il existe, stricto
sensu, un moyen d'identifier une
personne physique en confrontant le
jeu de données anonymes à la base
originale...
La notion de donnée anonyme
constituerait ainsi une conjonction
de plusieurs exigences : il s'agit
d'une donnée aux contours exactement contraires à ceux d'une donnée
personnelle, qui ne permet pas
ou plus d'identifier une personne
physique dès lors que suffisamment
d'éléments lui ont été irréversiblement
retirés, et qui fait l'objet d'un suivi tel
que la réidentification de la personne
physique demeurera impossible, tout
en sachant que la base de données
initiale doit avoir été supprimée.

UN NIVEAU D'EXIGENCE
IMPOSSIBLE À ATTEINDRE ?
Obtenir un jeu de données anonyme
relève ainsi du défi.
Le niveau d'exigence tel qu'il semble
être imposé par le G29 est élevé, sinon
irréaliste. Par exemple, la mention
par le G29 de la nécessité de détruire
la base originale, quand bien même
elle se justifierait juridiquement par la
notion de donnée à caractère personnel, apparait particulièrement difficile
à satisfaire. Il semble que cette recommandation du G29 ne doive pas être
appliquée de façon trop systématique,
sauf à retirer tout intérêt au processus
d'anonymisation.
L'objectif qui sous-tend le plus
fréquemment l'anonymisation est de
pouvoir tirer d'une base de données
sensibles des jeux de données anonymisés, afin que ceux-ci puissent être
exploités pour des finalités qui ne
nécessitent pas des données personnelles, ou par des tiers qui ne disposeraient pas d'un fondement légal pour
traiter ces données sous la forme de
donnée à caractère personnel.

297



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416

Couverture
Editorial & Sommaire
MAGAZINE NUMÉRIQUE : LOIS À PROFUSION Par Sylvie ROZENFELD
INTERVIEW LA LOYAUTÉ CONTRE LES ASYMÉTRIES DE POUVOIR Valérie PEUGEOT par Sylvie ROZENFELD
DOCTRINE
DROIT DES CONTRATS : LA CONSÉQUENCE DE LA RÉFORME SUR LES CONTRATS IT Par Anne COUSIN et Olivier PIGNATARI
DONNÉES PERSONNELLES : ANONYMISATION, QUE FAIRE POUR SORTIR DE L’IMPASSE ? Par Lorraine MAISNIER-BOCHÉ
DONNÉES PERSONNELLES : POKÉMON GO : CRAINTES LIÉES AU RESPECT DE LA VIE PRIVÉE DES JOUEURS Par Viviane GELLES et Blandine POIDEVIN
DONNÉES PERSONNELLES : LES HUIT NOUVEAUTÉS DU PROJET DE LOI LEMAIRE Par Martine Ricouart Maillet et Edouard Verbecq
DROIT D’AUTEUR : LA PREUVE DE L’ORIGINALITÉ D'UN LOGICIEL, ÉLÉMENT INDISPENSABLE LORS D'UNE ACTION EN CONTREFAÇON Par Mélaine LECARDONNEL
JURISPRUDENCE
ANAPHORE ET LOUIS C. / C.G. DE L’EURE Tribunal de grande instance de Lille, jugement du 26 mai 2016
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - MAGAZINE NUMÉRIQUE : LOIS À PROFUSION Par Sylvie ROZENFELD
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 276
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 277
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 278
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 279
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 280
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 281
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 282
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 283
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - INTERVIEW LA LOYAUTÉ CONTRE LES ASYMÉTRIES DE POUVOIR Valérie PEUGEOT par Sylvie ROZENFELD
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 285
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 286
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 287
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 288
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 289
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - DROIT DES CONTRATS : LA CONSÉQUENCE DE LA RÉFORME SUR LES CONTRATS IT Par Anne COUSIN et Olivier PIGNATARI
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 291
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 292
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 293
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 294
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 295
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - DONNÉES PERSONNELLES : ANONYMISATION, QUE FAIRE POUR SORTIR DE L’IMPASSE ? Par Lorraine MAISNIER-BOCHÉ
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 297
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 298
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 299
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 300
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - DONNÉES PERSONNELLES : POKÉMON GO : CRAINTES LIÉES AU RESPECT DE LA VIE PRIVÉE DES JOUEURS Par Viviane GELLES et Blandine POIDEVIN
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - DONNÉES PERSONNELLES : LES HUIT NOUVEAUTÉS DU PROJET DE LOI LEMAIRE Par Martine Ricouart Maillet et Edouard Verbecq
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 303
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 304
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 305
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - DROIT D’AUTEUR : LA PREUVE DE L’ORIGINALITÉ D'UN LOGICIEL, ÉLÉMENT INDISPENSABLE LORS D'UNE ACTION EN CONTREFAÇON Par Mélaine LECARDONNEL
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 307
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - ANAPHORE ET LOUIS C. / C.G. DE L’EURE Tribunal de grande instance de Lille, jugement du 26 mai 2016
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 309
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 310
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 311
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 312
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
http://www.nxtbookMEDIA.com