Données anonymes ou anonymisées

L’impossibilité d’identifier les personnes requiert une évaluation des risques au cas par cas. Elle s’apprécie au regard des moyens raisonnablement susceptibles d’être utilisés par le responsable de traitement ou par toute autre personne. Elle passe en pratique par la prise en considération du coût de l’identification, du temps nécessaire à celle-ci, des technologies disponibles, présentes mais aussi à venir. L’anonymat doit donc être raisonnablement robuste dans le temps, ce qui suppose des réévaluations régulières et la documentation des analyses.

En application du principe de « minimisation » des données, les données doivent être autant que possible dé-identifiées, voire anonymisées, dans la mesure où les objectifs de la recherche peuvent être accomplis sans recours à des données identifiantes.

Les chercheurs ont toutefois besoin de traiter des données à caractère personnel pour recontacter les personnes concernées dans le cadre d’un suivi longitudinal, pour permettre leur éventuel chaînage ou leur appariement ou permettre une analyse fine des facteurs de risques pour la santé (ex : géocodage des adresses pour étudier les variations géographiques des problèmes de santé).

L’anonymisation des données n’est alors pas requise dès lors que la collecte de données identifiantes est nécessaire et proportionnée au besoin d’en connaître. Une analyse de pertinence et de proportionnalité au regard des objectifs de la recherche doit être effectuée au cas par cas et documentée.

Plusieurs techniques d’anonymisation existent s’appuyant sur deux grandes principes : transformer les données pour qu’elles ne se réfèrent plus à une personne déterminée ou agréger les données de façon qu’elles ne soient plus spécifiques à un individu mais communes à un ensemble de personnes.

Il existe différentes méthodes d’anonymisation fondées sur des procédés plus ou moins complexes et leur robustesse dans le temps est difficile à apprécier. Compte tenu des enjeux des mégadonnées (Big Data), de l’ouverture des données publiques (Open Data) et pour aider à évaluer l’effectivité d’une solution d’anonymisation, le G29, groupe européen des autorités de protection des données à caractère personnel, a proposé trois critères :

• L‘individualisation : est-il toujours possible d’isoler un individu ?
• La corrélation : est-il possible de relier entre eux des ensembles de données distincts concernant un même individu ?
• L‘inférence : peut-on déduire de l’information sur un individu ?

Ainsi :

1. Un jeu de données pour lequel il n’est possible ni d’individualiser ni de corréler ni d’inférer est a priori anonyme ;
2. Un jeu de données pour lequel au moins un des trois critères n’est pas respecté ne pourra être considéré comme anonyme qu’à la suite d’une analyse détaillée des risques de ré-identification menée par le responsable de traitement.

Position du G 29 : avis 05/2014 sur les techniques d’anonymisation

L’anonymisation est un traitement qui prend pour point de départ des données à caractère personnel identifiables et fournit comme résultat des données qui ne sont plus identifiables. Bien que le produit final ne soit pas soumis au RGPD, l’anonymisation proprement dite est un traitement soumis aux règles du RGPD qui doit, le cas échéant, être soumis à la Cnil qui validera le processus d’anonymisation proposé.