Dans sa décision SAN-2024-013 du 5 septembre 2024, la Commission Nationale de l’Informatique et des libertés (« CNIL ») rappelle la distinction entre l’anonymisation et la pseudonymisation, des concepts souvent confondus, mais essentiels dans la gestion des données personnelles.
Contrairement à la pseudonymisation, qui consiste à remplacer des données directement identifiantes (telles que le nom ou le prénom) par des données indirectement identifiantes (comme un alias ou un numéro séquentiel), l’anonymisation empêche, de façon irréversible, d’identifier ou de réidentifier, directement ou indirectement, une personne à partir des données.
À cet égard, la CNIL rappelle que la Cour de justice de l’Union européenne a jugé qu’une donnée peut être personnelle même si l’identification ne peut se faire que grâce à l’utilisation d’autres données, cette combinaison de données constituant un moyen raisonnablement susceptible d’être utilisé pour rendre la personne identifiée ou identifiable.
En outre, elle rappelle que le Comité européen de la protection des données (anciennement Groupe de travail Article 29) précise dans son avis 05/2014 qu’un processus peut être qualifié d’anonymisation s’il résiste aux risques d’individualisation, de corrélation et d’inférence. Il en est de même si ce processus empêche toute réidentification des personnes concernées par des moyens raisonnables, c’est-à-dire que les risques de réidentification sont négligeables.
La distinction entre anonymisation et pseudonymisation est cruciale. En effet, les données anonymisées ne sont pas des données personnelles, puisqu’elles ne permettent pas de réidentifier les personnes concernées, et non sont donc pas soumises à la règlementation sur la protection des données personnelles. L’utilisation qui peut en être faite est donc libre. En revanche, les données pseudonymisées restent considérées comme des données personnelles puisque la pseudonymisation est réversible. Leur traitement doit donc respecter la règlementation sur la protection des données personnelles.
Cette décision rappelle l'importance d'une gestion rigoureuse des données personnelles.
Notre cabinet est à votre disposition pour répondre à toute question et vous accompagner dans vos projets et démarches.
