Blog Données personnelles

Le récent rappel de la CNIL sur les définitions de données à caractère personnel et de données anonymes.

Dans son avis du 24 avril 2020 portant sur le projet d’application mobile StopCovid, la CNIL a d’abord répondu à une question préalable qui était de savoir les données traitées par l’application mobile pouvaient être considérées comme des données à caractère personnel ou pas. Constatant qu’il existe «  un lien entre les pseudonymes et les applications téléchargées, chaque application étant elle-même installée sur un terminal, qui correspond généralement à une personne physique déterminée  » l’application traite bien des données à caractère personnel.

Le considérant 26 du RGPD précise la notion d’anonymisation qui consiste en un traitement utilisant un ensemble de techniques rendant «  impossible, en pratique, toute identification de la personne de quelque manière que ce soit de manière irréversible  ». La pseudonymisation étant elle-même définie comme « un traitement réalisé de manière à ce qu’on ne puisse plus attribuer les données relatives à une personne physiques sans avoir recours à des informations supplémentaires  ».

Sur ce sujet, la Commission, dans son récent avis relatif à l’anonymisation de données personnelles en date du 19 mai 2020, reprend les trois critères permettant de vérifier l’efficacité de l’anonymisation qui avait été défini par le groupe de travail G29 (désormais l’European Data Protection Board) :

-  l’individualisation : il ne doit pas être possible d’isoler un individu dans le jeu de données
-  la corrélation : il ne doit pas être possible de relier entre eux des ensembles de données distincts permettant ainsi d’identifier un individu
-  l’inférence : il ne doit pas être possible de déduire de façon quasi certaine de nouvelles informations sur un individu.

En outre, dans le cas où ces critères ne seraient pas parfaitement remplis, la CNIL précise qu’il est alors nécessaire de « démontrer, via une évaluation approfondie des risques d’identification, que le risque de ré-identification avec des moyens raisonnables est nul ».