Lexique > Anonymisation

Lexique IT

Anonymisation

L’anonymisation fait référence à l’utilisation d’un ensemble de techniques visant à retirer la possibilité d’associer, moyennant un « effort raisonnable », les données à caractère personnel relatives à une personne physique identifiée ou identifiable.

La notion d’« effort raisonnable » tient compte d’éléments objectifs (temps, moyens techniques, état des connaissances) et des éléments contextuels pouvant fortement varier en fonction des catégories de données concernées (nature et volume des données, densité de la population concernée…).

Le Comité Européen de la Protection des Données considère que la fiabilité de l’anonymisation repose sur les trois critères suivants :

  • La possibilité d’isoler un individu au sein d’un groupe plus grand sur la base des données ;
  • La possibilité de relier deux enregistrements concernant la même personne et ; 
  • La possibilité d’inférer, avec une forte probabilité, des informations inconnues concernant une personne.

Elle est marquée par le caractère irréversible de la perte du caractère identifiable des personnes concernées, et ne doit donc pas être confondue avec la pseudonymisation qui limite le risque de corrélation directe entre des données mais est réversible.

Si une donnée anonymisée n’est plus une donnée à caractère personnel et sort donc du champ d’application matériel du RGPD, la donnée pseudonymisée est toujours une donnée à caractère personnel soumise au RGPD.

L’anonymisation permet d’opérer des traitements de données dont les risques pour les droits et libertés des personnes concernées sont grandement limités.

Elle peut substituer l’effacement des données et ainsi permettre notamment au responsable du traitement de réaliser des statistiques.

Point RGPD

« Il n’y a dès lors pas lieu d’appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable. Le présent règlement ne s’applique, par conséquent, pas au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche. »

Considérant 26 du RGPD

Point jurisprudence

L’autorité de contrôle Autrichienne a pu considérer que « l’anonymisation des données personnelles peut donc en principe être un moyen valable d’effacement des données au sens de l’article 17 du RGPD (i.e. au sens du droit à l’effacement) »

Datenschutzbehörde, 5 décembre 2018, DSB-D123.270/0009-DSB/2018

Le Cabinet Bouchara vous accompagne notamment dans :

  • La mise en conformité de votre organisme au RGPD ;
  • La rédaction de politiques de protection des données (politique de confidentialité, charte informatique…) ;
  • La documentation de vos traitements (registre des activités de traitement, registre des violations, analyse d’impact relative à la vie privée, consultation préalable…) ;
  • L’obtention de certifications et l’adhésion à des codes de conduite ;
  • L’étude de la faisabilité juridique de la mise en œuvre d’un nouveau traitement de données à caractère personnel ;
  • La rédaction et transmission de vos codes de conduites à la CNIL pour approbation ;
  • L’analyse juridique de la conformité de vos traitements de données, y compris des transferts de données hors de l’Espace Economique Européen ;
  • La rédaction et la négociation de vos accords de traitements de données (DPA) ;
  • La rédaction de vos règles d’entreprises contraignantes (BCR) et codes de conduites ;
  • La formation et la sensibilisation de vos collaborateurs.

Nous sommes également Délégué à la Protection des Données externe de nombreux responsables de traitements et sous-traitants.