L’anonymisation des données personnelles devant le Conseil d’Etat
La loi n°78-17 du 6 janvier 1978 dite « informatique et libertés » modifiée s’applique aux « traitements automatisés de données à caractère personnel » : elle prévoit de lourdes obligations à la charge des personnes physiques ou morales déterminant les finalités et moyens de ces traitements, notamment en termes de sécurité, d’information ou encore de respect des droits des personnes. Le règlement européen 2016/679 du 27 avril 2016 dit « règlement général sur la protection des données » renforce encore ces obligations ainsi que les sanctions afférentes ; il s’appliquera à compter du 25 mai 2018.
Eu égard à ce contexte, nombreuses sont les entreprises qui, lorsque l’identification des personnes n’est pas nécessaire aux fins du traitement concerné, par exemple pour la réalisation de statistiques, cherchent à sortir du champ de ces textes en procédant à l’anonymisation des données.
L’opération présente toutefois de grandes difficultés, tant la compréhension de la notion de donnée à caractère personnel est large : il s’agit de « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres », étant précisé que « pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ».
C’est à cette problématique que s’est récemment intéressé le Conseil d’Etat (CE, 8 février 2017, n°393714).
Collecte de données faisant l’objet d’un procédé d’anonymisation
En cause, une délibération 2015-255 du 16 juillet 2015 de la Commission nationale de l’informatique et des libertés (CNIL) refusant la mise en œuvre par une société exerçant une activité de régie publicitaire d’un traitement automatisé de données à caractère personnel ayant pour finalité de tester une méthodologie d’estimation quantitative des flux piétons à proximité de dispositifs d’affichage publicitaire.
La demande d’autorisation avait été soumise à la CNIL sur le fondement de l’article L.581-9 du Code de l’environnement lequel prévoit que « tout système de mesure automatique de l’audience d’un dispositif publicitaire ou d’analyse de la typologie ou du comportement des personnes passant à proximité d’un dispositif publicitaire est soumis à autorisation de la Commission nationale de l’informatique et des libertés ».
La société envisageait en effet l’installation de mobiliers urbains à objet publicitaire équipés de boîtiers permettant la détection de l’adresse MAC des appareils mobiles équipés d’une connectivité wi-fi activée, l’objectif étant de tester une méthodologie d’estimation quantitative des flux piétons afin d’optimiser le prix des supports publicitaires au regard de leur audience. Elle estimait que compte tenu de l’anonymisation quasiment immédiate de l’adresse MAC des appareils mobiles – ces dernières étant tronquées et hachées – elle était légitime à se fonder sur l’article 32 IV de la loi n°78-17 du 6 janvier 1978 prévoyant une information allégée des personnes « si les données à caractère personnel recueillies sont appelées à faire l’objet à bref délai d’un procédé d’anonymisation préalablement reconnu conforme aux dispositions de la présente loi par la Commission nationale de l’informatique et des libertés ».
Délibération de la CNIL
La CNIL a estimé que « le procédé présenté ne saurait être qualifié de technique d’anonymisation » mais devait être considéré comme une technique de « pseudonymisation », définie par le règlement du 27 avril 2016 comme « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ».
Elle en a déduit que les mesures d’information prévues par la société n’étaient pas suffisantes au regard de l’article 32 I de la loi et que la collecte ne pouvait pas être qualifiée de loyale au sens de son article 6 ; elle refuse en conséquence d’autoriser le traitement.
Confirmation par le Conseil d’Etat
Saisi d’une requête en annulation de cette délibération, le Conseil d’Etat a confirmé en tous points le raisonnement de la CNIL :
- le traitement en cause impliquait une collecte directe auprès des personnes concernées au sens de l’article 32 I de la loi (et ce malgré l’absence d’intervention de ces dernières)
- l’objectif du traitement nécessitant d’identifier la répétition des déplacements d’une même personne, et donc de relier entre elles les données de deux enregistrements la concernant, étaient incompatibles avec l’hypothèse d’une anonymisation des données (étant en outre souligné que le procédé utilisé laissait le gestionnaire du traitement en mesure d’identifier les personnes) ;
- l’information était de ce fait, ainsi que l’avait estimé la CNIL, insuffisante.
Cette décision confirme ce que chacun savait ou suspectait déjà : l’anonymisation réelle des données est en pratique extrêmement difficile à mettre en place. Le G29 avait d’ailleurs conclu dans son rapport WP 216 du 10 avril 2014 sur les techniques d’anonymisation que « aucune des techniques décrites dans le présent document ne satisfait de façon certaine aux critères d’une anonymisation efficace (à savoir, empêcher l’individualisation d’une personne concernée, la corrélation entre les enregistrements se rapportant à un individu et l’obtention par inférence de données concernant un individu)… »
Cette problématique est toutefois prise en compte par les autorités européennes de protection des données, et la loi « informatique et libertés » a notamment vu son article 11 s’enrichir, avec la loi n°2016-1321 du 7 octobre 2016, d’un alinéa permettant à la CNIL de « certifier ou homologuer et publier des référentiels ou des méthodologies générales aux fins de certification de la conformité à la présente loi de processus d’anonymisation des données à caractère personnel ».
Auteurs
Anne-Laure Villedieu, avocat associée en droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.
Julie Tamba, avocat en droit de la propriété intellectuelle et droit commercial