Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 186

Doctrine
sous réserve de ne pas
méconnaître l'intérêt ou les droits
et libertés fondamentaux de la
personne concernée.
En l'espèce, la société JCDecaux n'entendait pas se fonder sur le consentement des personnes dont les données
étaient collectées, qui aurait été, on
le devine, difficilement envisageable
à mettre en œuvre et aurait réduit à
néant l'expérimentation. Les autres
conditions du texte n'étant à l'évidence pas remplies, restait la condition
de « l'intérêt légitime du responsable
de traitement ».
La Cnil juge la finalité du traitement,
selon la formule consacrée, « déterminée, explicite et légitime », d'autant que
la portée de l'expérimentation était limitée à la fois dans le temps (4 semaines)
et dans l'espace. On peut d'ailleurs
relever que le caractère expérimental
et limité du traitement a certainement
joué en faveur de sa légalité, ajouté au
fait que la zone en question interdisait
d'utiliser des moyens classiques pour
connaître l'audience des dispositifs
publicitaires. La Cnil avait également
relevé qu'aucune décision ne serait
prise sur la base de ce traitement à
l'égard des personnes concernées, ni
qu'il en résulterait un ciblage commercial à leur égard. L'inverse aurait peut
être présidé à un refus d'autorisation
sur d'autres fondements, en l'absence
de consentement des intéressés.

186

La distinction entre
un dispositif de
pseudonymisation et un
dispositif d'anonymisation
des données personnelles
Anonymisation ou
pseudonymisation
La Loi Informatique et libertés4 ne définit pas l'anonymisation. La Directive
n° 95/46 du 24 octobre 1995 indique
quant à elle que « les principes de
protection ne s'appliquent pas aux
données rendues anonymes d'une
manière telle que la personne concernée n'est plus identifiable », offrant par
là un début de définition. Le Règlement
général sur la protection des données
n° 2016/679, qui entrera en vigueur
en mai 2018, n'en donne pas de définition. Tout au plus se contente-t-il de
préciser qu'il convient de considérer
l'ensemble des moyens « susceptibles
d'être raisonnablement mis en œuvre »
par le responsable de traitement ou
toute autre personne pour identifier la
personne, pour déterminer si celle-ci
est « identifiable« , reconnaissant par
là qu'il existe une gradation dans les
méthodes employées d'anonymisation.

La finalité du traitement a donc été
jugée légale par la Cnil, mais ses
conditions de mise en œuvre devaient
être confrontées aux droits et libertés fondamentaux des personnes
dont les données sont traitées sans
consentement.

A l'occasion des débats parlementaires avant l'adoption de la loi dite
Lemaire du 7 octobre 2016 « pour une
République numérique »5, dont l'un
des enjeux est l'anonymisation des
données des usagers de services
publics appelées à être « ouvertes »,
deux rapporteurs de la Commission
des lois du Sénat se sont interrogés sur
la protection des données personnelles
dans l'open data6. Ces travaux résument bien les enjeux de l'anonymisation face au big data, et les différentes
techniques existantes.

Le traitement pêchait plus en ce que
la Cnil a relevé que les données
n'étaient pas anonymisées mais seulement « pseudonymisées », et que dès
lors, la société JCDecaux devait respecter les droits des individus, c'est-à-dire
notamment le droit de s'opposer au
traitement, et d'être informé de manière
satisfaisante des conditions de sa mise
en œuvre, sauf à ce que la condition
de loyauté du traitement vis-à-vis des
personnes concernées fasse défaut.

Les
techniques
existantes
se
regroupent autour de deux grands
principes : (i) transformer les données
pour qu'elles ne se référent plus à une
personne désignée, et (ii) généraliser
les données de façon à ce qu'elles ne
soient plus spécifiques à une personne
mais communes à un ensemble de
personnes. L'utilisation d'un algorithme de chiffrement, le hachage,
la dégradation de l'information par
suppression, masquage ou ajout

EXPERTISES MAI 2017

de bruit ou l'agrégation font partie
des techniques qui, seules ou combinées, peuvent être mises en place pour
tendre vers l'anonymisation.
L'anonymisation peut être définie
comme l'opération de suppression de
l'ensemble des informations permettant d'identifier directement ou indirectement un individu, contenues dans
un document ou une base de données.
Mais tout réside dans ce que l'on entend
par «indirectement».
L'avis du Groupe de travail «Article 29»
sur la protection des données7 (G29)
développe les trois critères cumulatifs selon lesquels la fiabilité d'une
technique d'anonymisation doit être
évaluée :
1. l'individualisation : est-il toujours
possible d'isoler un individu ?
2. la corrélation : est-il toujours
possible de relier entre eux les
enregistrements relatifs à un
individu ?
3. l'inférence : peut-on déduire des
informations concernant un
individu ?
Il en résulte (i) qu'un ensemble de
données pour lequel il n'est possible
ni d'individualiser, ni de corréler, ni
d'inférer est a priori anonyme, et (ii)
qu'un ensemble de données pour
lequel au moins un des trois critères
n'est pas respecté ne pourra être considéré comme anonyme qu'à la suite
d'une analyse détaillée des risques de
ré-identification.
Comme le relève le G29 dans l'avis
précité, les techniques d'anonymisation font l'objet de nombreuses
recherches, et aucune ne présente d'efficacité certaine. La mesure de leur efficacité est donc une question de degré,
de plus ou moins forte probabilité de ré
identification, de combinaisons entre
différentes techniques pour réduire le
risque jusqu'à ce qu'il puisse être considéré comme très résiduel.
Aux côtés de l'anonymisation, la pseudonymisation est donc une simple
mesure de sécurité, qui a pour objet de
réduire la corrélation d'un ensemble de
données avec l'identité originale d'une
personne donnée. Les deux notions



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424

Couverture
Editorial & Sommaire
FOCUS DONNÉES PERSONNELLES FAIS CE QUE JE DIS, PAS CE QUE JE FAIS
EN BREF L'INFORMATIONS RAPIDE SUR LE MONDE DU NUMÉRIQUE
MAGAZINE L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
INTERVIEW 2017, UN TOURNANT POUR L’OPEN DATA
DOCTRINE
DONNÉES PERSONNELLES - L’ASSURABILITÉ DES SANCTIONS ADMINISTRATIVES
DONNÉES PERSONNELLES - MESURES D’AUDIENCE : ANONYMISATION ET DROIT À L'INFORMATION
DONNÉES PERSONNELLES - LE RGPD ET LA NÉCESSAIRE ADAPTATION DES CONTRATS
UNION EUROPÉENNE - BREXIT : IMPACTS SUR LA PROTECTION DES DONNÉES PERSONNELLES ET LA SÉCURITÉ
DONNÉES PERSONNELLES - LES GUIDELINES DU G29 SUR LE DPO
DONNÉES PERSONNELLES - DROIT À L’OUBLI ET REGISTRE DES SOCIÉTÉS
CONTRAT INFORMATIQUE - REDÉFINITION DES COMPÉTENCES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - FOCUS DONNÉES PERSONNELLES FAIS CE QUE JE DIS, PAS CE QUE JE FAIS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - EN BREF L'INFORMATIONS RAPIDE SUR LE MONDE DU NUMÉRIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 169
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - MAGAZINE L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 171
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 172
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 173
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 174
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - INTERVIEW 2017, UN TOURNANT POUR L’OPEN DATA
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 176
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 177
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 178
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 179
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - DONNÉES PERSONNELLES - L’ASSURABILITÉ DES SANCTIONS ADMINISTRATIVES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 181
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 182
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 183
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 184
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - DONNÉES PERSONNELLES - MESURES D’AUDIENCE : ANONYMISATION ET DROIT À L'INFORMATION
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 186
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 187
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 188
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 189
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - DONNÉES PERSONNELLES - LE RGPD ET LA NÉCESSAIRE ADAPTATION DES CONTRATS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 191
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 192
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 193
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - UNION EUROPÉENNE - BREXIT : IMPACTS SUR LA PROTECTION DES DONNÉES PERSONNELLES ET LA SÉCURITÉ
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 195
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 196
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - DONNÉES PERSONNELLES - LES GUIDELINES DU G29 SUR LE DPO
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 198
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 199
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - DONNÉES PERSONNELLES - DROIT À L’OUBLI ET REGISTRE DES SOCIÉTÉS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 201
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - CONTRAT INFORMATIQUE - REDÉFINITION DES COMPÉTENCES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 203
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 204
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com