Données à caractère personnel ; informations anonymes et «crypto-identifiants» – pour reprendre l'expression de Bruno Sportisse, PDG d’Inria.
On s'y perd un peu sur les qualifications juridiques pertinentes pour les projets d'app de "contact tracing".
Faisons le point :
On s'y perd un peu sur les qualifications juridiques pertinentes pour les projets d'app de "contact tracing".
Faisons le point :
Pour faire le tour du sujet, il faut répondre à au moins 4 questions:
1. Qu'est-ce qu'un «traitement» de données personnelles ?
2. Comment détermine-t-on qu'une personne est «identifiable» ?
3. Qui est responsable et quelles sont les obligations du responsable du traitement?
1. Qu'est-ce qu'un «traitement» de données personnelles ?
2. Comment détermine-t-on qu'une personne est «identifiable» ?
3. Qui est responsable et quelles sont les obligations du responsable du traitement?
1. Le RGPD réglemente les *traitements* c-à-d. «toute opération [ou ensemble d'opérations] [...] appliquées à des données ou des ensembles de données à caractère personnel». Cette définition est très large: cela va de la collecte, à la conservation ou à la mise à disposition.
De là, deux conséquences immédiates :
- l'anonymisation est un *traitement* consistant à transformer des données personnelles en infos anonymes
- des opérations portant sur des informations anonymes ne sont *pas* des *traitements*
- l'anonymisation est un *traitement* consistant à transformer des données personnelles en infos anonymes
- des opérations portant sur des informations anonymes ne sont *pas* des *traitements*
Alors comment distingue-t-on entre une donnée personnelle & une information anonyme?
Là encore, la est définition est large. Une donnée personnelle, c'est «toute information se rapportant à une personne physique identifiée ou identifiable […] directement ou indirectement».
Là encore, la est définition est large. Une donnée personnelle, c'est «toute information se rapportant à une personne physique identifiée ou identifiable […] directement ou indirectement».
2. Comment détermine-t-on qu'une personne est identifiable indirectement?
Il faut procéder pour cela à une analyse factuelle et juridique et, surtout: contextualisée. Une personne peut être identifiable par quelqu'un, sans forcément l'être par une autre personne.
Il faut procéder pour cela à une analyse factuelle et juridique et, surtout: contextualisée. Une personne peut être identifiable par quelqu'un, sans forcément l'être par une autre personne.
À cet égard, le législateur 🇪🇺 a pris soin de préciser que seuls les moyens «raisonnablement» susceptibles de mise en oeuvre sont pertinents pour retenir qu'une personne est identifiable ou non. 
Et là, c'est la Cour de justice 🇪🇺 qui nous éclaire sur ce qui peut être considéré comme raisonnable ou non, pour obtenir des informations nécessaires à la (ré)identification. Un moyen interdit par la loi n'est pas considéré comme raisonnable, même s'il est possible techniquement
A contrario, s'il est permis, possible et suffisamment probable que l'obtention d'informations permettraient l'identification de la personne, alors les informations qui ensemble se rapportent à celles-ci doivent être considérées comme des données personnelles.
(Petit aparté, si malgré l'interdiction légale, une personne procédait à l'obtention d'infos permettant l'identification d'invididus; cette personne procéderait alors à un traitement illicite et s'exposerait à des sanctions importantes: 20 millions d'euros ou 4% du CA mondial)
On le voit, dans certains cas, la question du caractère "anonyme" ou "identifiant" (au sens juridique) des informations n'est pas toujours une mince affaire. Attention aux conclusions hâtives qui ne prennent pas en compte les questions de légalité et de probabilité des risques.
3. Et donc, qui est responsable de quoi?
Là aussi, la question n'est pas toujours si simple qu'elle en a l'air. C'est vrai en particulier lorsque les traitements impliquent plusieurs acteurs et utilisateurs.
Là aussi, la question n'est pas toujours si simple qu'elle en a l'air. C'est vrai en particulier lorsque les traitements impliquent plusieurs acteurs et utilisateurs.
Il faut tout d'abord distinguer les traitements effectués par les individus, dans le cadre d'activités strictement personnelles ou domestique. Sont exemptés du RGPD: votre carnet d'adresses perso, ou l'identification biométrique de votre mobile, cf cnil.fr/fr/biometrie-d…
Qu'en est-il des entreprises qui conçoivent et participent à ces traitements? Seules sont directement concernées par le RGPD: les responsables de traitement et, dans une moindre mesure, leurs sous-traitants.
Définitions 👇
Définitions 👇
Concernant les autres parties prenantes, tels que ceux qui conçoivent des solutions mais ne décident pas de leur mise en place, celles-ci sont «incitées» à prendre en compte le RGPD dans la conception de leurs produits et applications:
Pour terminer, petit focus sur 2 obligations majeures applicables au responsable du traitement :
- l'obligation d'«accountability»
- l'obligation de protection des données dès la conception et par défaut
- l'obligation d'«accountability»
- l'obligation de protection des données dès la conception et par défaut
En application des articles 5 et 25, le responsable du traitement doit être en mesure de démontrer qu'il respecte les principes essentiels de la protection des données, tel que le principe de minimisation des données.
Et ce, dès la conception de son système.
Et ce, dès la conception de son système.
Il faut pour cela, tenir compte «de l'état des connaissances, des coûts de mise en œuvre» mais aussi «des risques, dont le degré de probabilité et de gravité varie» que pose le traitement.
Enfin, il doit assurer que «seules les données à caractère personnel qui sont nécessaires» soient traitées. Les paramètres à prendre en compte comprennent: la collecte, la durée de conservation, l'accessibilité des données et l'étendue de leur traitement.
Or, on le voit, sur tous ces points, dans le cadre des applications de "contact tracing" plusieurs modèles sont proposés - avec un degré d'accessibilité des données à caractère personnel plus ou moins large, selon le protocole envisagé.
Le protocole DP^3T dpppt.org cherche à limiter l'étendue du traitement réalisé par le serveur central et à rendre inaccessible à celui-ci les données à caractère personnel (en ne faisant que stocker et transmettre des identifiants aléatoires temporaires).
Dans cette configuration, l'essentiel des opérations est effectué directement sur le terminal des utilisateurs et sous leur contrôle.
Tandis que, dans le cadre d'autres protocoles dits PEPP-PT, l'essentiel des opérations est effectué sur le serveur central.
Tandis que, dans le cadre d'autres protocoles dits PEPP-PT, l'essentiel des opérations est effectué sur le serveur central.
Ce qui n'est pas sans conséquences en terme d'appréciation de la collecte et de l'accessibilité des données, ainsi que de l'étendue de leur traitement - autant de critères variables dans le cadre de l'analyse de risques à laquelle doit procéder le responsable de traitement.
Pour terminer, les autorités de protection des données ont déjà eu l'occasion de préciser leur cadre d'analyse des risques de réidentification présentés par des mesures d'anonymisation : cnil.fr/fr/le-g29-publ…
Cette analyse reste pertinente et montre que ces questions doivent faire l'objet d'une ré-évaluation constante des risques, fondée sur des critères raisonnables.
L'important, c'est bien la prise en compte de ces risques.
L'important, c'est bien la prise en compte de ces risques.
Et toutes mes excuses pour les quelques erreurs de français - Twitter n'est pas très pratique por la relecture et ne permet pas la correction des coquilles !
Et j'ai oublié la réf. de l'arrêt cité, la voici:
2e ch. de la CJUE, 19 oct. 2016, affaire Patrick Breyer, C-582/14, curia.europa.eu/juris/document…
2e ch. de la CJUE, 19 oct. 2016, affaire Patrick Breyer, C-582/14, curia.europa.eu/juris/document…
