03 décembre 2020

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#314 données personnelles ? pseudonymisation ? anonymisation ?

#314 données personnelles ? pseudonymisation ? anonymisation ?

#314 données personnelles ? pseudonymisation ? anonymisation ?

Lorsque le comité de gouvernance de la data des professionnel(le)s de PRO BTP réfléchit à la notion de données personnelles, de pseudonymisation et d’anonymisation, je réponds présent, en direct live ce jeudi 3 décembre 2020.

comprendre la notion de "données personnelles"

Que nous dit l’article 4 du RGPD (Règlement UE n°2016/679 du 27 avril 2016)

« «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable« .

Faisons simple : des « personnes physiques identifiées », ce sont de « vraies » personnes, qu’elles soient salarié(e)s, client(e)s, fournisseurs, prospects, internautes naviguant sur un site web (des clients ou des prospects, donc), etc.

Et les « informations » en question ? Ce sont les noms, prénoms, adresse (postale, électronique, etc.).

Jusque là, c’est assez facile à comprendre.

données personnelles pseudonymisation anonymisation

Plus complexe (en apparence), les personnes physiques « identifiables ».

En fait, là aussi, c’est assez simple : si vous identifiez un « terminal » avec un grande certitude technique, vous identifiez aussi la « vraie » personne qui utilise ce terminal.

Bref, si vous savez que vous traitez des données personnelles, il faudrait les pseudonymiser, surtout lorsque vous les mettez à disposition d’un prestataire pour traitement…

données personnelles pseudonymisation anonymisation

« terminal » ? Il faut aller chercher dans la Directive n°2008/63/CE du 20 juin 2008 :

« tout équipement qui est connecté directement ou indirectement à l’interface d’un réseau public de télécommunications pour transmettre, traiter ou recevoir des informations… »

Et comment on identifie un terminal ? Il faut utiliser des « métadonnées », ces fameuses données techniques permettant de transférer des données de contenu d’un terminal vers un autre terminal.

Une définition des « métadonnées » ? Rien de figé à ce jour, il faut allez chercher dans le projet de Règlement UE « e-Privacy » (toujours en discussion depuis janvier 2017) :

[article 4.3] « métadonnées de communications électroniques » [désigne] les données traitées dans un réseau de communications électroniques aux fins de la transmission, la distribution ou l’échange de contenu de communications électroniques, y compris les données permettant de retracer une communication et d’en déterminer l’origine et la destination ainsi que les données relatives à la localisation de l’appareil produites dans le cadre de la fourniture de services de communications électroniques, et la date, l’heure, la durée et le type de communication« .

Une jurisprudence récente ?

La Cour de cassation vient de nous rappeler que l’adresse IP est bien une données à caractère personnel (arrêt n°1119 du 25 novembre 2020).

Si vous souhaitez approfondir ces différents aspects, vous pouvez consulter (gratuitement et en ligne) ma présentation en BD « données personnelles et jurisprudence 2011-2020« .

[méta]données personnelles et pseudonymisation ? dans le slider ci-dessous

données personnelles pseudonymisation anonymisation ?

Pourquoi la pseudonymisation ? 

Tout simplement parce que le RGPD l’impose comme un des moyens d’assurer la sécurité d’un traitement de données personnelle ! 

Evidemment, la définition RGPD de la « pseudonymisation » est particulièrement pénible à lire…

Alors, voyons le « concept » en une slide.

pseudonymisation ? en 1 slide !!!

données personnelles pseudonymisation et  anonymisation ?

Une fois que vous avez intégré la mécanique intellectuelle permettant d’isoler les données « directement identifiantes » d’une personne et les « autres » données qui peuvent se rapporter à elle, l’anonymisation se comprend beaucoup plus facilement.

les slides expliquant données personnelles pseudonymisation anonymisation ? c'est ici !

données personnelles pseudonymisation anonymisation et droit des bases de données ?

Si vous opérez une base de données, que cette base de données contienne des données personnelles ou des données d’une autre nature (y compris des données anonymisées) ? 

Etes vous le « producteur » du contenu de cette base de données ? 

Disposez vous du droit d’extraire tout ou partie du contenu d’une base de données dont vous n’êtes pas le « producteur » ? 

« producteur » du contenu d’une base de données ?

quelle protection pour le contenu d’une base de données ? 

le « droit d’extraction » ? 

Bienvenue dans le régime juridique (souvent oublié) de la Directive n°96/9/CE du 11 mars 1996.

Je vous rappelle juste que le on-respect des droit du producteur du contenu d’une base de données est sanctionné pénalement par l’article L.343-4 du Code de la propriété intellectuelle.

vous avez aimé les BD illustrant ces explications juridiques et techniques autours des données personnelles ?

Merci aux éditions Delcourt Soleil !!! 

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ