Les données anonymes ne sont pas soumises au RGPD, ni à la loi “Informatique et Libertés” qu’elles soient anonymes initialement ou après une anonymisation par un processus permettant de garantir que la personne concernée ne pourra pas être réidentifiée par la suite (données anonymisées) (considérant 26). Travailler sur des données anonymes ou anonymisées permet donc de s’affranchir des dispositions du RGPD et de la loi Informatique et Libertés. C’est un moyen d’exploiter et de partager les données sans porter atteinte à la vie privée des personnes concernées.
Comment apprécier le caractère anonyme ?
L’impossibilité d’identifier les personnes requiert une évaluation des risques au cas par cas. Elle s’apprécie au regard des moyens raisonnablement susceptibles d’être utilisés par le responsable de traitement ou par toute autre personne. Elle passe en pratique par la prise en considération du coût de l’identification, du temps nécessaire à celle-ci, des technologies disponibles, présentes mais aussi à venir. L’anonymat doit donc être raisonnablement robuste dans le temps, ce qui suppose des réévaluations régulières et la documentation des analyses.
L’anonymisation est-elle nécessaire pour la recherche ?
En application du principe de « minimisation » des données, les données doivent être autant que possible dé-identifiées, voire anonymisées, dans la mesure où les objectifs de la recherche peuvent être accomplis sans recours à des données identifiantes.
Les chercheurs ont toutefois besoin de traiter des données à caractère personnel pour recontacter les personnes concernées dans le cadre d’un suivi longitudinal, pour permettre leur éventuel chaînage ou leur appariement ou permettre une analyse fine des facteurs de risques pour la santé (ex : géocodage des adresses pour étudier les variations géographiques des problèmes de santé).
L’anonymisation des données n’est alors pas requise dès lors que la collecte de données identifiantes est nécessaire et proportionnée au besoin d’en connaître. Une analyse de pertinence et de proportionnalité au regard des objectifs de la recherche doit être effectuée au cas par cas et documentée.
Comment évaluer une technique d’anonymisation ?
Plusieurs techniques d’anonymisation existent s’appuyant sur deux grandes principes : transformer les données pour qu’elles ne se réfèrent plus à une personne déterminée ou agréger les données de façon qu’elles ne soient plus spécifiques à un individu mais communes à un ensemble de personnes.
Il existe différentes méthodes d’anonymisation fondées sur des procédés plus ou moins complexes et leur robustesse dans le temps est difficile à apprécier. Compte tenu des enjeux des mégadonnées (Big Data), de l’ouverture des données publiques (Open Data) et pour aider à évaluer l’effectivité d’une solution d’anonymisation, le G29, groupe européen des autorités de protection des données à caractère personnel, a proposé trois critères :
- L‘individualisation : est-il toujours possible d’isoler un individu ?
- La corrélation : est-il possible de relier entre eux des ensembles de données distincts concernant un même individu ?
- L‘inférence : peut-on déduire de l’information sur un individu ?
Ainsi :
- Un jeu de données pour lequel il n’est possible ni d’individualiser ni de corréler ni d’inférer est a priori anonyme ;
- Un jeu de données pour lequel au moins un des trois critères n’est pas respecté ne pourra être considéré comme anonyme qu’à la suite d’une analyse détaillée des risques de ré-identification menée par le responsable de traitement.
Position du G 29 : avis 05/2014 sur les techniques d’anonymisation (pdf)
Science ouverte et données personnelles
L’ouverture des données de recherche promue par la loi pour une République numérique, par le Plan national pour la Science Ouverte publié par le ministère de l’Enseignement et de la Recherche et par le plan d’action 2019 de l’Agence nationale de la recherche est une obligation légale à laquelle les organismes de recherche sont désormais soumises. Mais l’exigence de l’accès aux données doit être conciliée avec l’impératif de protection des données personnelles et l’obligation d’ouverture ne concerne pas ces informations.
L’anonymisation constitue-t-elle un traitement ?
L’anonymisation est un traitement qui prend pour point de départ des données à caractère personnel identifiables et fournit comme résultat des données qui ne sont plus identifiables. Bien que le produit final ne soit pas soumis au RGPD, l’anonymisation proprement dite est un traitement soumis aux règles du RGPD qui doit, le cas échéant, être soumis à la Cnil qui validera le processus d’anonymisation proposé.