Aux termes de l’article 26 du Règlement Général sur la Protection des Données (RGPD), les données anonymes sont exclues du champ d’application de ladite réglementation. Dès lors, l’anonymisation des données à caractère personnel est considérée à tort ou à raison comme la parade à l’application du RGPD.

Cependant, l’anonymisation peut être compromise par des méthodes d’inférences (inductive, déductive, abductive ou probabiliste) lesquelles visent la reconstitution illégale de données confidentielles non directement accessibles, par le moyen de recherche et de mise en correspondance de plusieurs données légitimement accessibles, afin de révéler certaines informations sur une personne.

Plusieurs scandales vont d’ailleurs révéler les limites de l’anonymisation des données personnelles. L’on se souvient du scandale révélé en 2001 par la doctorante Latanya Sweeney concernant des données médicales anonymisées d’employés de l’Etat du Massachusetts ré-identifées grâce à des croisements avec des listes électorales.

Par ailleurs, il convient de souligner que l’anonymisation et la ré-identification des données sont des thématiques de recherche particulièrement actives. D’où la nécessité, pour les responsables de traitement de données d’effectuer une veille régulière pour préserver dans le temps le caractère anonyme des données personnelles. En conséquence, ils doivent respecter un certain nombre de critères pour assurer l’efficacité de leurs techniques d’anonymisation.

Pour rappel, l’anonymisation est le résultat du traitement des données personnelles afin d’empêcher, de façon irréversible, toute identification. Les responsables du traitement des données tiennent donc compte de plusieurs éléments, en prenant en considération l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre à des fins d’identification. Il est utile ici de faire la distinction entre les données anonymes et les données pseudonymes qui sont souvent confondues. Contrairement aux données anonymes, les données pseudonymes sont soumises au champ d’application du RGPD et sont attachées à la personne concernée à l’aide d’un identifiant. Ainsi, elles ne peuvent être attribuées à la personne concernée qu’en recourant à des informations supplémentaires.

Aussi, il semble judicieux de s’attarder brièvement sur les techniques d’anonymisation généralement pratiquées. A cet égard, le groupe de travail « Article 29 », institué par la directive 95/46/CE du 24 octobre 1995, identifie deux catégories de techniques d’anonymisation notamment la randomisation et la généralisation. Ces techniques permettent respectivement soit de transformer les données pour qu’elles ne se réfèrent plus à une personne réelle soit de généraliser les données afin qu’elles deviennent communes à un ensemble de personnes et non plus spécifiques à une personne. Il résulte qu’une technique d’anonymisation ne peut être générique et doit être adaptée au cas par cas.

Dans cette logique, la Commission Nationale de l’Informatique et des Libertés (CNIL) pose le principe qu’une solution d’anonymisation efficace devra reposer sur des critères d’individualisation, de corrélation et d’inférence.

Ces trois critères sont définis comme suit :

- L’individualisation correspond à la possibilité d’isoler une partie ou la totalité des enregistrements identifiant un individu dans l’ensemble de données ;
- La corrélation correspond à la capacité de relier entre elles, au moins, deux enregistrements se rapportant à la même personne concernée ou à un groupe de personnes concernées (soit dans la même base de données, soit dans deux bases de données différentes) ;
- L’inférence correspond à la possibilité de déduire, avec un degré de probabilité élevé, la valeur d’un attribut à partir des valeurs d’un ensemble d’autres attributs.

La mise en œuvre de ces critères revient pour les responsables de traitement des données personnelles à satisfaire aux interrogations ci-après :

- Est-il toujours possible d’isoler une personne au sein d’un ensemble de données ?
- Des ensembles de données rapprochés entre eux peuvent-ils permettre d’identifier une personne ?
- Peut-on déduire de l’information dont on dispose une information sur un individu ?

Ces interrogations dénotent de l’analyse détaillée des risques de ré-identification de données rendues anonymes. Ainsi, si une réponse négative est apportée à l’une des questions précitées, la solution d’anonymisation retenue ne pourra être considérée comme efficace.

En outre, en cas de recours à une solution d’anonymisation, il est conseillé aux responsables de traitement des données personnelles d’examiner minutieusement les risques suivants :

- La confusion entre les données anonymisées et les données pseudonymisées, lesquelles ne sont pas équivalentes ;
- L’erreur tenant à considérer que les données anonymisées (exclues du champ d’application du RGPD) ne sont plus soumises à d’autres réglementations en dehors de celle relative à la protection des données personnelles. A titre illustratif, la CEDH et la Charte des droits fondamentaux de l’Union européenne protègent également la vie privée des personnes ;
- La minimisation des impacts des données anonymisées sur les individus ne serait-ce en raison des risques de profilage.

En guise de conclusion, il faille retenir que les techniques d’anonymisation sont limitées et de ce fait ne peuvent être considérées comme des solutions sans failles. Elles doivent alors se fonder sur des critères afin de garantir leur efficacité. En outre, si les données anonymes sont exclues du champ d’application du RGPD, il n’en demeure pas moins que la collecte en amont de ces données rendues anonymes est soumise à cette règlementation.