Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 187

ne se confondent donc pas (même si
en pratique l'opposition entre les deux
notions ne peut en aucun cas être
considérée comme absolue), et c'est
précisément sur la ligne de partage
entre les deux que sont fondées la délibération de la Cnil et la décision du
Conseil d'Etat.

L'interprétation stricte du
Conseil d'Etat de la notion
d'anonymisation
En soit, l'adresse MAC d'un terminal
mobile identifie une machine, non
l'utilisateur, de la même façon qu'une
adresse IP. Mais elle n'en demeure
pas moins indirectement une donnée
nominative, puisqu'elle permet d'identifier une personne si elle est associée
à d'autres informations. C'est donc
dans sa potentialité de pouvoir d'identification d'un individu qu'il s'agit d'une
donnée à caractère personnel.
La société JCDecaux avait pris pour
précaution de recourir à une double
technique de ce qu'elle estimait de
l'anonymisation : les données collectées, transmises toutes les deux minutes
à un serveur situé à en Allemagne,
étaient tronquées du dernier demi-octet de l'adresse MAC de chaque téléphone, et étaient hachées selon un
procédé de chiffrement qui devait en
garantir l'anonymisation.
La société JCDecaux soutenait que les
procédés mis en place rendaient « négligeable le risque de pouvoir identifier
les personnes en cause, d'autant que
la collecte de données se déroule dans
le cadre d'une expérimentation limitée
dans le temps et pour objet d'améliorer la valorisation de ses panneaux
publicitaires, ce qui rend sans intérêt
pour elle l'identification des personnes
concernées ». Et de fait, on comprend
que la société JCDecaux était, par ce
seul traitement, incapable d'identifier un individu à partir de l'identifiant MAC collecté, ou plutôt à partir
du résultat cryptographique auquel
il parvenait une fois les techniques
décrites ci-dessus mises en œuvre.
En revanche, elle était capable de
recouper des données sur un même
individu, dès lors que le système

permettait de repérer le nombre de
passages d'une même personne dans
la zone en question.
Constatant que la technique utilisée
permettait toujours la corrélation et l'inférence, et donc la possible ré-identification des personnes, la Cnil n'y a pas
vu la mise en œuvre d'une véritable
technique d'anonymisation de nature à
contourner les obligations informatives.
Elle a donc considéré que « le procédé présenté ne saurait être qualifié de
technique d'anonymisation, notamment du fait que la société JCDecaux
est en mesure de rejouer le procédé
de chiffrement, cette société utilisant
un sel qui lui est propre et connu, et en
raison du faible taux de collision proposé ». Elle relève également que « pour
qu'une solution d'anonymisation soit
efficace, elle doit empêcher toutes les
parties d'isoler un individu dans un
ensemble de données ». Le Conseil
d'Etat n'y trouve rien à redire. Au visa
de l'article 2 de la Loi Informatique
et Libertés (« pour déterminer si une
personne est identifiable, il convient
de considérer l'ensemble des moyens
en vue de permettre son identification
dont dispose ou auxquels peut avoir
accès le responsable du traitement ou
toute autre personne »), il retient que les
données n'étaient de fait pas anonymisées dès lors qu'en l'espèce il demeurait « possible d'individualiser une
personne ou de relier entre elles des
données résultant de deux enregistrements qui la concernent ».
Selon le Conseil d'Etat, les données ne
sont donc anonymisées que lorsque
l'identification directe ou indirecte de la
personne est rendue impossible, que ce
soit par le responsable de traitement ou
par un tiers, et tel n'est pas le cas lorsqu'il demeure possible d'individualiser
une personne ou de relier entre elles
des données résultant de deux enregistrements qui la concernent. Il retient
que les objectifs mêmes de la collecte
des données par la société JCDecaux
étaient incompatibles avec une anonymisation des informations recueillies,
puisque le procédé visait à mesurer la
répétition des passages et à déterminer
les parcours réalisés d'un panneau
publicitaire à un autre, et donc impliquait d'identifier les déplacements

EXPERTISES MAI 2017

des personnes et leur répétition sur la
dalle de la défense.
Dès lors, pour obéir à la condition de
loyauté du traitement, il fallait informer
les personnes de façon satisfaisante.

L'obligation pour le responsable
de traitement de respecter
les droits d'information
et d'opposition des personnes
concernées en présence
d'un dispositif de
pseudonymisation
Les textes applicables
L'article 32 I de la Loi Informatique et
libertés met à la charge du responsable
de traitement des obligations particulièrement contraignantes d'information de la personne auprès de laquelle
sont recueillies les données à caractère
personnel la concernant :
« I.-La personne auprès de laquelle
sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l'a été au préalable,
par le responsable du traitement ou son
représentant :
1. de l'identité du responsable du
traitement et, le cas échéant, de
celle de son représentant ;
2. de la finalité poursuivie par le
traitement auquel les données
sont destinées ;
3. du caractère obligatoire ou facultatif des réponses ;
4. des conséquences éventuelles,
à son égard, d'un défaut de
réponse ;
5. des destinataires ou catégories de
destinataires des données ;
6. des droits qu'elle tient des dispositions de la section 2 du présent
chapitre dont celui de définir des
directives relatives au sort de ses
données à caractère personnel
après sa mort ;
7. le cas échéant, des transferts de
données à caractère personnel
envisagés à destination d'un Etat
non membre de la Communauté
européenne ;
8. de la durée de conservation des
catégories de données traitées ou, en cas d'impossibilité,

187



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424

Couverture
Editorial & Sommaire
FOCUS DONNÉES PERSONNELLES FAIS CE QUE JE DIS, PAS CE QUE JE FAIS
EN BREF L'INFORMATIONS RAPIDE SUR LE MONDE DU NUMÉRIQUE
MAGAZINE L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
INTERVIEW 2017, UN TOURNANT POUR L’OPEN DATA
DOCTRINE
DONNÉES PERSONNELLES - L’ASSURABILITÉ DES SANCTIONS ADMINISTRATIVES
DONNÉES PERSONNELLES - MESURES D’AUDIENCE : ANONYMISATION ET DROIT À L'INFORMATION
DONNÉES PERSONNELLES - LE RGPD ET LA NÉCESSAIRE ADAPTATION DES CONTRATS
UNION EUROPÉENNE - BREXIT : IMPACTS SUR LA PROTECTION DES DONNÉES PERSONNELLES ET LA SÉCURITÉ
DONNÉES PERSONNELLES - LES GUIDELINES DU G29 SUR LE DPO
DONNÉES PERSONNELLES - DROIT À L’OUBLI ET REGISTRE DES SOCIÉTÉS
CONTRAT INFORMATIQUE - REDÉFINITION DES COMPÉTENCES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - FOCUS DONNÉES PERSONNELLES FAIS CE QUE JE DIS, PAS CE QUE JE FAIS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - EN BREF L'INFORMATIONS RAPIDE SUR LE MONDE DU NUMÉRIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 169
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - MAGAZINE L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 171
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 172
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 173
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 174
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - INTERVIEW 2017, UN TOURNANT POUR L’OPEN DATA
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 176
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 177
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 178
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 179
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - DONNÉES PERSONNELLES - L’ASSURABILITÉ DES SANCTIONS ADMINISTRATIVES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 181
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 182
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 183
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 184
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - DONNÉES PERSONNELLES - MESURES D’AUDIENCE : ANONYMISATION ET DROIT À L'INFORMATION
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 186
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 187
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 188
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 189
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - DONNÉES PERSONNELLES - LE RGPD ET LA NÉCESSAIRE ADAPTATION DES CONTRATS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 191
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 192
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 193
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - UNION EUROPÉENNE - BREXIT : IMPACTS SUR LA PROTECTION DES DONNÉES PERSONNELLES ET LA SÉCURITÉ
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 195
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 196
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - DONNÉES PERSONNELLES - LES GUIDELINES DU G29 SUR LE DPO
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 198
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 199
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - DONNÉES PERSONNELLES - DROIT À L’OUBLI ET REGISTRE DES SOCIÉTÉS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 201
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - CONTRAT INFORMATIQUE - REDÉFINITION DES COMPÉTENCES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 203
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 204
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com