Pseudonymisation / anonymisation des bases de données ? Voila bien un sujet qui va parler aux actuaires réunis en congrès annuel le 9 novembre 2020.
Hélas, ce sera – Covid-19 et confinement oblige – en distanciel.
D’abords, un petit rappel (rapide) sur la notion de « données à caractère personnel », puisque c’est bien de cela qu’il s’agit…
Est-il besoin de rappeler, en novembre 2020, l’importance de savoir si une base de données contient des données personnelles ?
…
Alors (dans le doute…), revisitons rapidement le Règlement UE « RGPD n°2016/679 du 27 avril 2016, entré en vigueur le 25 mai 2018.
Pour une information plus complète (histoire de réviser vos classiques), vous pouvez accéder à partir de ce lien à une présentation détaillée de la jurisprudence RGPD de 2011 à 2020.
Mais venons-en maintenant au sujet qui intéresse les actuaires :
– qu’est-ce que la « pseudonymisation » ?
– comment passer techniquement de données pseudonymisées à des données anonymisées ?
Pseudonymisation / anonymisation : un peu de technique
Vous serez peut-être surpris(e) d’apprendre que le RGPD donne une définition légale de ce que doivent être des « données personnelles pseudonymisées ».
Je ne résiste pas au plaisir de vous livrer le texte verbatim :
Evidemment, ce n’est pas facile à lire (merci l’UE) ni à comprendre si l’on se cantonne à ces quelques lignes…
Je vous propose une explication en 1 slide :
OK ?
Alors, maintenant, comment passer d’une base de données pseudonymisées à une base de données « anonymisées ?
Facile avec une base de données déjà pseudonymisées :
Il suffit de supprimer la colonne qui donne accès à l’identifiant de corrélation !!!
pseudonymisation / anonymisation ?
Techniquement, si l’on veut bien se représenter une base de données sous forme de tableau Excel, il suffit de supprimer la colonne avec les données identifiant « directement ou indirectement » les personnes physiques.
Supprimer ? ça veut dire supprimer DEFINITIVEMENT.
Ce n’est pas moi qui le dit, mais la CNIL (voir le guide en ligne de la Commission Nationale de l’Informatique et des Libertés du 19 mai 2020 « L’anonymisation de données personnelles ») :
Des données « irrémédiablement anonymisées » ?
Cela veut dire qu’aucune technique de type « reverse Ingénierie » ne doit permettre, à partir d’un dataset, de « remonter » sur l’une quelconque des personnes physiques dont les données sont contenues dans la base de données.
pseudonymisation / anonymisation : les slides en version intégrale dans le carrousel ci-dessous !
Pseudonymisation / anonymisation : le droit sur le contenu des bases de données
MAIS…. même si les données sont anonymisées, elles restent des « data » contenues dans une base de données.
Changeons alors de législation, pour survoler le droit de l’UE sur le contenu des bases de données.
Ce droit s’appliquera même après pseudonymisation / anonymisation des données personnelles.
Je vais faire court (car j’ai peu de temps pour vous exposer ce régime juridique très particulier).
Le « producteur » (c’est le terme officiel de la traduction française de la Directive n°96/9 du 11 mars 1996) doit justifier d’un « investissement substantiel« , « humain, matériel ou financier » « pour avoir « obtenu, vérifié ou présenté » des data.
Si c’est bien le cas, le « producteur » dispose du droit d’interdire (ou d’autoriser contractuellement) l’extraction de tout ou partie du contenu de sa base de données, avant ou après pseudonymisation / anonymisation.
Cette extraction peut porter sur une « partie substantielle » du contenu de sa base, ou sur des actions d’extraction « répétées et systématiques » (d’une partie non substantielle…).
Une jurisprudence récente (TGI Paris « LeBonCoin.fr » du 1er septembre 2017) vous permettra d’y voir plus clair…
J’ajoute – pour faire bref – que le contenu d’une base de données se protège pendant 15 ans à compter du dernier investissement substantiel du « producteur » sur le contenu de sa base.
J’ajoute enfin que « toute atteinte aux droit du producteur » est susceptible de constituer un délai pénal, passible de 3 ans de prison et de 300.000 €uros d’amende (article L.343-4 Code de la propriété intellectuelle).
Vous voulez quelques détails supplémentaires ? Consultez les slides dans le carrousel ci-dessous !!!