Pseudonymisation et RGPD : les conditions réelles pour sortir (ou non) du champ des données personnelles

Des données personnelles pseudonymisées peuvent-elles perdre leur caractère identifiant et de ce fait mettre fin aux exigences du RGPD ? Dans un arrêt récent, abondamment commenté et que nous avions également relayé¹, la Cour de Justice de l’Union Européenne (CJUE) a considéré qu’un destinataire de données pseudonymisées tel qu’un Sous-traitant pouvait recevoir des données qui cesseraient d’être identifiantes de son point de vue, à condition qu’il n’existe pas de moyens raisonnables de réidentification des personnes pour ce destinataire.

Largement interprété comme un assouplissement de la définition des données personnelles et intégré dans le projet de réforme de la Commission européenne Digital Omnibus Package², nous estimons que la portée concrète et générale de cet arrêt doit être relativisée, notamment au regard des risques et des capacités de réidentification.

Comprendre la nouvelle interprétation

L’arrêt rendu par la CJUE³ portait sur un litige opposant le Contrôleur européen de la protection des données (l’équivalent de la CNIL pour les institutions de l’UE) et le Conseil de Résolution Unique (CRU), institution chargée de la gestion des banques défaillantes. Afin de déterminer un éventuel dédommagement des actionnaires et créanciers d’une banque défaillante, le CRU a collecté leurs commentaires ainsi que des preuves d’identité et de leur qualité d’actionnaire ou de créancier.

L’analyse d’une partie des commentaires a ensuite été confiée à un cabinet de conseil, qui n’a reçu que les commentaires associés à un code alphanumérique. En l’espèce, le Sous-traitant de données n’avait pas accès à la table de correspondance ni directement aux données des auteurs des commentaires, uniquement détenues par des agents du CRU.

La Cour a donc estimé que le cabinet de conseil ne disposait pas de la clé de réidentification et qu’elle ne pouvait pas l’obtenir auprès des agents du CRU. En conséquence, en ce qui concerne les données pseudonymisées transférées par le CRU, celles-ci ne pouvaient pas faire l’objet d’une réidentification par le cabinet de conseil.

Pourtant, contrairement à ce qui a pu être écrit, la Cour ne soustrait pas les données pseudonymisées de la protection du RGPD mais invite les organisations et leur DPO à réaliser une appréciation contextuelle et au cas par cas en s’intéressant aux objectifs des traitements de données et du transfert, à la robustesse du mécanisme de pseudonymisation et aux capacités du destinataire de recouper des données ou d’obtenir une clé de réidentification.

Un niveau de sécurité diminué ?

Pour que des données pseudonymisées ne puissent plus être considérées comme personnelles pour le destinataire, la CJUE exige des mesures efficaces empêchant l’accès aux informations d’identification et l’absence de moyens juridiques ou techniques de les obtenir. A titre d’exemple, l’arrêt évoque des situations où l’obtention d’une clé d’identification serait simplement illégale ou qu’elle impliquerait des efforts et des coûts disproportionnés.

Toutefois, deux enseignements nous semblent devoir être tirés de ces conditions posées par la Cour :

• L’illégalité d’une pratique ne parait pas réellement suffisante pour que des données pseudonymisées cessent d’être identifiantes du point de vue d’un destinataire ;
  • L’interception de données non chiffrées et le recoupement avec des données publiques ou détenues par un tiers peuvent se produire en l’absence de sécurisation du processus de partage des données pseudonymisées.
  • Une erreur de partage ou une malveillance d’un agent ayant accès aux données non pseudonymisées ou aux moyens de réidentifier demeure un risque quasiment impossible à éliminer.
• La logique globale du RGPD d’approche par les risques suppose de déployer de véritables moyens techniques et organisationnels visant à limiter au maximum les risques de réidentification et à les documenter, dans l’optique de pouvoir démontrer que ces risques ont été atténués à un niveau « insignifiant » selon les mots de la Cour.

Et en pratique ?

Cette nouvelle interprétation de la Cour incite donc davantage à relever le niveau d’exigence en matière de sécurité plutôt qu’à l’abaisser. Pour que la réidentification soit considérée comme matériellement impossible, le Responsable de Traitement et son Sous-traitant devront mettre en place des mesures particulièrement étroites de pseudonymisation et de sécurisation, voire parvenir à une anonymisation des données :

- Chiffrement ;
- Séparation des clés ;
- Journalisation ;
- Tests d’intrusion ;
- Audit régulier ;
- Contrats limitant la réutilisation.

Cependant, en pratique, la possibilité ouverte par la CJUE de traiter des données pseudonymisées comme non personnelles, nous apparait non seulement peu opportune au regard de l’état actuel des menaces mais également très théorique.

En effet, bien que ne portant pas sur des données pseudonymisées, deux récentes sanctions de la CNIL suggèrent que les garanties contractuelles comme les exigences techniques de sécurité peuvent ne pas être respectés, prises en considération et gérées efficacement par les acteurs.

Dans le premier cas⁴, la CNIL a sanctionné à hauteur de 1 millions d’euros la société Mobius Solutions Ltd, Sous-traitant de Deezer France, pour avoir réutilisé à des fins d’analyse les données des utilisateurs français du site puis copié et conservé au-delà de la période contractuelle, contrairement à ce qui était convenu dans le contrat de sous-traitance, les données à des fins publicitaires.

Dans le second cas⁵, NEXPUBLICA France, éditeur de logiciel à destination des Maisons Départementales pour les Personnes Handicapées (MDPH), a reçu une sanction record de 1 700 000 euros pour des manquements graves à la sécurité. Des usagers avaient eu accès aux dossiers de tiers et des MDPH avaient notifié la CNIL d’un ensemble de violations. L’enquête de l’autorité a mis en lumière des mesures de sécurité obsolètes et une inaction de la part de l’éditeur, qui était informé des problèmes de sécurité de son logiciel.

Ces cas illustrent selon nous l’importance de conserver une approche objective par les risques. Compte tenu des risques notamment cyber, le niveau d’exigence de sécurité et de robustesse du mécanisme de pseudonymisation sera nécessairement réhaussé et il devrait être difficile d’atteindre réellement une situation de pseudonymisation parfaite telle qu’elle ressort de la position de la Cour.

‍