Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 298

Dans de tels cas, l'existence d'une
base de données originale qui ne
pourrait pas être détruite pour des
raisons liées par exemple aux obligations légales de conservation des
données, empêcherait toute utilisation
de jeux de données anonymisés issus
de ces bases, par exemple afin de
permettre d'effectuer des recherches
biomédicales21. Si une interprétation
stricte de la position du G29 était retenue, des projets tels que le Système
national des données de santé (SNDS)
apparaitraient impossibles à mettre
en place : le SNDS, tel qu'envisagé
par la loi de modernisation de notre
système de santé22, a en effet vocation
à permettre la diffusion et la réutilisation, sous une forme anonymisée, de certaines données des bases
existantes en matière sanitaire et
médico-sociale23.
Ces bases originales continuent bien
évidemment à exister sous une forme
nominative au sein des systèmes
d'information dont elles proviennent.
Il faut relever sur ce point que les
dispositions législatives concernant
le SNDS ne s'aventurent pas à parler
de données anonymes, et se limitent
à évoquer des données prenant « la
forme de statistiques agrégées ou de
données individuelles constituées de
telle sorte que l'identification, directe
ou indirecte, des personnes concernées y est impossible »24.
D'un côté, il apparaît regrettable
qu'une interprétation trop rigoureuse des critères de l'anonymisation empêche jusqu'à l'utilisation
de ce terme, pour lui préférer des
périphrases qui laissent planer une
incertitude sur le niveau d'anonymat
requis. D'un autre côté, il est légitime
de se demander si le terme d'anonymisation ne porte pas en soi un niveau
trop élevé d'exigence, et s'il ne serait
pas opportun de le remplacer.
Il a été proposé notamment de lui
préférer le concept de « tenter de
parvenir à l'anonymat » (« trying to
achieve anonymity »25). Au-delà des
exigences évoquées, le problème pour
les responsables de traitement réside
dans la nécessité de conserver aux
jeux de données un niveau de précision suffisant pour remplir la finalité
pour laquelle ils les traitent.

298

Dans une décision récente, la Cnil
a mis en exergue la difficulté de
l'exercice. Reconnaissant la licéité
de la finalité pour laquelle la société JCDecaux souhaitait traiter des
données relatives à des flux piétons,
sous une forme en principe anonymisée, à savoir « estimer le nombre de
passants, leur parcours et le nombre
de fois où un même passant repasse
sur l'esplanade sur une période
donnée », la Cnil constate néanmoins
que cette finalité même n'est pas
compatible avec une solution d'anonymisation efficace26. Même dans
les cas où l'anonymisation n'est pas
intrinsèquement incompatible avec
la finalité du traitement, plusieurs
techniques d'anonymisation ne sont
jamais utilisables car elles retirent aux
données tout intérêt27. Certains vont
même jusqu'à penser que l'anonymisation est fondamentalement contraire
à l'utilité des données, et qu'afin de
conserver à une base de donnée une
utilité pour ceux qui veulent l'analyser,
l'anonymisation doit impérativement
être imparfaite28.
Les critères de l'anonymisation sont
tels que cette mesure risque ainsi
fréquemment d'être contradictoire
avec les finalités du traitement. En sus
de cette problématique, le reproche le
plus important qui a été adressé à l'approche actuelle du G29 et de plusieurs
autorités de protection des données
européennes concerne l'exigence que
le risque de réidentification soit égal
à zéro pour que l'anonymisation soit
reconnue.
Exiger le « risque zéro » est en effet
discutable si cette exigence est appliquée par principe, sans considération
du contexte. La logique du nouveau
règlement européen est d'adapter les
mesures de protection des données
au niveau de risque identifié par
une étude d'impact préalable, et
non d'appliquer à tout traitement le
niveau de protection et de sécurité
maximal. Or, l'avis du G29 emploie
des termes qui incitent fortement les
autorités à analyser toute éventualité,
même peu probable, de réidentification. De même, la loi Informatique et
libertés n'a pas transposé le critère
des « moyens raisonnables » pour
analyser la possibilité d'identifier une
personne. Les décisions rendues en

EXPERTISES SEPTEMBRE 2016

droit français sur ce sujet sont rares
et ne détaillent pas de façon concrète
la méthode d'analyse utilisée par
la Cnil pour autoriser un procédé
d'anonymisation29.
Cette approche est d'autant plus
sévère qu'il semble désormais établi
qu'aucune méthode d'anonymisation
n'est exempte de risque30. Imposer
que toute réidentification soit impossible n'aurait dû demeurer qu'un
principe juridique. Or, ébranlés par
les études pointant les limites techniques de l'anonymisation, le législateur ainsi que les régulateurs se sont
focalisés sur les procédés techniques
d'anonymisation, et surtout sur leurs
faiblesses31.
Mais ces procédés, comme toute technologie, sont intrinsèquement faillibles et susceptibles d'être dépassés
dans l'avenir : il a été suffisamment
dit que parler de mauvaise anonymisation est un pléonasme32. Cela ne
doit pas venir remettre systématiquement en cause la reconnaissance de
méthodes d'anonymisation. De même,
ce n'est pas parce qu'une méthode de
chiffrement comporte des risques que
la clé de chiffrement soit récupérée
par un tiers ou que le chiffre soit cassé,
que cette méthode n'en constitue pas
moins une mesure de sécurité valable.
Ou encore, ce n'est pas parce que l'administrateur d'un serveur hébergeant
des données médicales est techniquement en capacité d'accéder à celles-ci
que le secret professionnel est nécessairement violé : des mesures juridiques et notamment contractuelles,
par lesquelles cet administrateur
s'interdit d'accéder aux données et
s'engage à respecter leur confidentialité, peuvent, dans certains
contextes, assurer le respect du secret.
Le raisonnement doit être le même
pour l'anonymisation : les risques de
réidentification, lorsqu'ils sont relevés,
devraient être compensés par des
mesures complémentaires de sécurité
technique ou organisationnelle, plutôt
que de conduire au refus pur et simple
de reconnaître la nature anonyme des
données. L'anonymisation doit constituer un principe juridique, un résultat à atteindre, qui peut l'être à la fois
par des procédés techniques adaptés
au contexte, et par des engagements
juridiques.



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416

Couverture
Editorial & Sommaire
MAGAZINE NUMÉRIQUE : LOIS À PROFUSION Par Sylvie ROZENFELD
INTERVIEW LA LOYAUTÉ CONTRE LES ASYMÉTRIES DE POUVOIR Valérie PEUGEOT par Sylvie ROZENFELD
DOCTRINE
DROIT DES CONTRATS : LA CONSÉQUENCE DE LA RÉFORME SUR LES CONTRATS IT Par Anne COUSIN et Olivier PIGNATARI
DONNÉES PERSONNELLES : ANONYMISATION, QUE FAIRE POUR SORTIR DE L’IMPASSE ? Par Lorraine MAISNIER-BOCHÉ
DONNÉES PERSONNELLES : POKÉMON GO : CRAINTES LIÉES AU RESPECT DE LA VIE PRIVÉE DES JOUEURS Par Viviane GELLES et Blandine POIDEVIN
DONNÉES PERSONNELLES : LES HUIT NOUVEAUTÉS DU PROJET DE LOI LEMAIRE Par Martine Ricouart Maillet et Edouard Verbecq
DROIT D’AUTEUR : LA PREUVE DE L’ORIGINALITÉ D'UN LOGICIEL, ÉLÉMENT INDISPENSABLE LORS D'UNE ACTION EN CONTREFAÇON Par Mélaine LECARDONNEL
JURISPRUDENCE
ANAPHORE ET LOUIS C. / C.G. DE L’EURE Tribunal de grande instance de Lille, jugement du 26 mai 2016
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - MAGAZINE NUMÉRIQUE : LOIS À PROFUSION Par Sylvie ROZENFELD
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 276
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 277
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 278
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 279
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 280
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 281
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 282
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 283
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - INTERVIEW LA LOYAUTÉ CONTRE LES ASYMÉTRIES DE POUVOIR Valérie PEUGEOT par Sylvie ROZENFELD
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 285
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 286
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 287
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 288
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 289
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - DROIT DES CONTRATS : LA CONSÉQUENCE DE LA RÉFORME SUR LES CONTRATS IT Par Anne COUSIN et Olivier PIGNATARI
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 291
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 292
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 293
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 294
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 295
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - DONNÉES PERSONNELLES : ANONYMISATION, QUE FAIRE POUR SORTIR DE L’IMPASSE ? Par Lorraine MAISNIER-BOCHÉ
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 297
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 298
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 299
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 300
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - DONNÉES PERSONNELLES : POKÉMON GO : CRAINTES LIÉES AU RESPECT DE LA VIE PRIVÉE DES JOUEURS Par Viviane GELLES et Blandine POIDEVIN
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - DONNÉES PERSONNELLES : LES HUIT NOUVEAUTÉS DU PROJET DE LOI LEMAIRE Par Martine Ricouart Maillet et Edouard Verbecq
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 303
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 304
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 305
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - DROIT D’AUTEUR : LA PREUVE DE L’ORIGINALITÉ D'UN LOGICIEL, ÉLÉMENT INDISPENSABLE LORS D'UNE ACTION EN CONTREFAÇON Par Mélaine LECARDONNEL
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 307
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - ANAPHORE ET LOUIS C. / C.G. DE L’EURE Tribunal de grande instance de Lille, jugement du 26 mai 2016
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 309
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 310
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 311
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 312
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
http://www.nxtbookMEDIA.com