Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 299

Considérer l'anonymisation d'un point
de vue purement technique, tout en
exigeant que cette technique soit
parfaitement sûre, risque de conduire
à l'impasse.

SORTIR DE L'IMPASSE
Les professionnels de la protection
des données à caractère personnel
cherchent à présent une issue.
Tout d'abord, il est envisageable,
lorsque cela est possible au regard de
la finalité du traitement, de renoncer à
atteindre le niveau exigé pour l'anonymisation et de se cantonner à des
mesures de pseudonymisation.
Bien évidemment, la pseudonymisation ne constitue pas une exemption comparable à l'anonymisation.
Le G29 l'a souligné, les données pseudonymes demeurent dans le champ
des données à caractère personnel
et sont ainsi soumises à leur législation protectrice. Toutefois, le nouveau
règlement européen sur la protection
des données à caractère personnel
a finalement prévu que les données
pseudonymes bénéficient de quelques
dérogations - ce qui n'était pas le
cas dans les premières versions du
règlement33. La pseudonymisation
d'une base permettrait notamment au
responsable de ne pas avoir à notifier
aux personnes concernées une faille
de sécurité, étant donné que la pseudonymisation constitue une mesure
qui rend les données « incompréhensibles pour toute personne qui n'est
pas autorisée à y avoir accès »34.
Il s'agit également d'une mesure de
sécurité mise en valeur à plusieurs
reprises par le règlement en tant que
garantie appropriée pour la protection des données.
Il demeure regrettable que le règlement n'ait pas pu encourager de façon
plus importante l'utilisation des techniques de pseudonymisation. Cette
mesure aurait en effet pu constituer un
niveau intermédiaire utile.
La définition de la pseudonymisation
donnée par le règlement est assez
stricte, puisqu'elle prévoit que les
informations identifiant les personnes,
qui ont été retirées des données,

doivent être « conservées séparément
et soumises à des mesures techniques
et organisationnelles afin de garantir
que les données à caractère personnel ne sont pas attribuées à une
personne physique identifiée ou identifiable ». Il s'agit ainsi d'une mesure
assez forte de protection de l'identité des personnes mais qui demeure
techniquement atteignable. Un tel
niveau de sécurité aurait pu justifier
des dérogations au régime général de
protection des données, dérogations
qui auraient incité les responsables à
utiliser cette mesure protectrice.
La solution qui paraît la plus adaptée
pour éviter que l'anonymisation ne
devienne un concept théorique, dont
le niveau d'exigence serait tel qu'il
deviendrait impossible à atteindre,
serait d'adopter une approche par les
risques. Il s'agit d'identifier le risque
acceptable, notamment en prenant en
compte le contexte de l'anonymisation.
Le fait d'anonymiser des données à
caractère personnel constitue un traitement, qui doit faire l'objet d'une autorisation de la Cnil concernant spécifiquement le procédé d'anonymisation.
La finalité de l'anonymisation est ainsi
prise en compte, ce qui permettrait
d'adapter le curseur du risque acceptable en fonction du contexte : qui est
le responsable de traitement, quelle
est la nature des données ayant vocation à être anonymisées, le responsable compte-t-il de rendre publiques
les données une fois anonymisées,
quelles sont les mesures envisagées par lui pour assurer un suivi de
l'utilisation de ces données une fois
diffusées ?
Par ailleurs, les risques de réidentification résiduels devraient être
compensés par d'autres mesures techniques et organisationnelles. Dans
une récente décision autorisant la
mise en œuvre d'un procédé d'anonymisation, la Cnil, sans s'étendre sur
les motifs pour lesquels elle estime
que le processus d'anonymisation
est « conforme aux règles de l'art »,
relève que le responsable a mis en
place un comité d'éthique. Celui-ci
impose par une charte aux participants du projet de s'engager à ne
pas réidentifier les personnes, ce qui
constitue une illustration d'un engagement contractuel venant compenser

EXPERTISES SEPTEMBRE 2016

une faiblesse au niveau technique,
puisqu'en l'espèce les participants
devaient donc être en capacité de
réidentifier les personnes35. Il faut
espérer y voir non pas une décision
liée aux faits d'espèce, mais bien une
prise en considération du contexte et
une adaptation du niveau d'exigence
aux risques concrets révélés par
l'étude d'impact.
Le nouveau règlement européen sur
la protection des données promeut
cette approche par les risques, et
devrait permettre une harmonisation
de l'analyse des Etats-membres. En
effet, tant la directive que le règlement
imposent ainsi, au travers de la notion
de donnée personnelle, que soient
analysés « l'ensemble des moyens
raisonnablement susceptibles d'être
utilisés par le responsable du traitement ou par toute autre personne pour
identifier la personne physique directement ou indirectement ».
La transposition en droit français
n'avait pas repris le critère plutôt
anglo-saxon du « raisonnable », ce
qui induit que l'anonymisation ne
serait pas reconnue même si le risque
d'identification était faible. Le recul
de la reconnaissance des méthodes
d'anonymisation participe de l'extension de la notion de donnée à caractère personnel.
Le règlement européen a repris le
critère des moyens raisonnables, tout
en les définissant comme « l'ensemble
des facteurs objectifs, tels que le coût
de l'identification et le temps nécessaire à celle-ci, en tenant compte des
technologies disponibles au moment
du traitement et de l'évolution de
celles-ci ». Ainsi, un risque résiduel
pourrait désormais être considéré
comme acceptable.
De même, conformément à la
démarche promue par le règlement européen qui souhaite renforcer le rôle d'accompagnement des
autorités de protection des données
personnelles, le projet de loi pour une
République numérique prévoit que la
Cnil puisse accompagner les acteurs
dans la mise en place de procédés d'anonymisation appropriés :
il s'agirait pour la Cnil de « certifier ou
homologuer et publier des référentiels

299



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416

Couverture
Editorial & Sommaire
MAGAZINE NUMÉRIQUE : LOIS À PROFUSION Par Sylvie ROZENFELD
INTERVIEW LA LOYAUTÉ CONTRE LES ASYMÉTRIES DE POUVOIR Valérie PEUGEOT par Sylvie ROZENFELD
DOCTRINE
DROIT DES CONTRATS : LA CONSÉQUENCE DE LA RÉFORME SUR LES CONTRATS IT Par Anne COUSIN et Olivier PIGNATARI
DONNÉES PERSONNELLES : ANONYMISATION, QUE FAIRE POUR SORTIR DE L’IMPASSE ? Par Lorraine MAISNIER-BOCHÉ
DONNÉES PERSONNELLES : POKÉMON GO : CRAINTES LIÉES AU RESPECT DE LA VIE PRIVÉE DES JOUEURS Par Viviane GELLES et Blandine POIDEVIN
DONNÉES PERSONNELLES : LES HUIT NOUVEAUTÉS DU PROJET DE LOI LEMAIRE Par Martine Ricouart Maillet et Edouard Verbecq
DROIT D’AUTEUR : LA PREUVE DE L’ORIGINALITÉ D'UN LOGICIEL, ÉLÉMENT INDISPENSABLE LORS D'UNE ACTION EN CONTREFAÇON Par Mélaine LECARDONNEL
JURISPRUDENCE
ANAPHORE ET LOUIS C. / C.G. DE L’EURE Tribunal de grande instance de Lille, jugement du 26 mai 2016
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - MAGAZINE NUMÉRIQUE : LOIS À PROFUSION Par Sylvie ROZENFELD
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 276
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 277
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 278
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 279
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 280
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 281
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 282
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 283
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - INTERVIEW LA LOYAUTÉ CONTRE LES ASYMÉTRIES DE POUVOIR Valérie PEUGEOT par Sylvie ROZENFELD
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 285
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 286
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 287
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 288
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 289
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - DROIT DES CONTRATS : LA CONSÉQUENCE DE LA RÉFORME SUR LES CONTRATS IT Par Anne COUSIN et Olivier PIGNATARI
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 291
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 292
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 293
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 294
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 295
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - DONNÉES PERSONNELLES : ANONYMISATION, QUE FAIRE POUR SORTIR DE L’IMPASSE ? Par Lorraine MAISNIER-BOCHÉ
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 297
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 298
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 299
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 300
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - DONNÉES PERSONNELLES : POKÉMON GO : CRAINTES LIÉES AU RESPECT DE LA VIE PRIVÉE DES JOUEURS Par Viviane GELLES et Blandine POIDEVIN
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - DONNÉES PERSONNELLES : LES HUIT NOUVEAUTÉS DU PROJET DE LOI LEMAIRE Par Martine Ricouart Maillet et Edouard Verbecq
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 303
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 304
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 305
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - DROIT D’AUTEUR : LA PREUVE DE L’ORIGINALITÉ D'UN LOGICIEL, ÉLÉMENT INDISPENSABLE LORS D'UNE ACTION EN CONTREFAÇON Par Mélaine LECARDONNEL
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 307
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - ANAPHORE ET LOUIS C. / C.G. DE L’EURE Tribunal de grande instance de Lille, jugement du 26 mai 2016
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 309
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 310
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 311
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Septembre 2016 - n°416 - 312
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
http://www.nxtbookMEDIA.com