Anonymisation et pseudonymisation

Terminology

L’anonymisation et la pseudonymisation sont deux techniques utilisées pour protéger les données personnelles des personnes, cependant celles-ci fonctionnent de manière sensiblement différente.

L’anonymisation est un processus irréversible qui supprime ou modifie complètement les informations susceptibles de permettre l’identification de la personne. Cela signifie qu’une fois que les données ont été anonymisées, il est alors impossible d’identifier ou de retrouver la personne.
En conséquence, les données réellement rendues anonymes ne sont plus considérées comme des données personnelles. Ainsi, la CO 11 n’est donc pas applicable aux données anonymisées.

En revanche, la pseudonymisation consiste à remplacer les identifiants personnels par d’autres données comme un faux nom ou des chiffres, de sorte qu’on ne puisse plus attribuer les données à une personne physique identifiée.
Cela n’empêche pas l’identification de la personne dans la mesure où il est toujours possible de remonter jusqu’à elle en collectant des données supplémentaires.
Etant donnée que les données pseudonymisées peuvent potentiellement etre reliées à des personnes, elles sont toujours considérées comme des données personnelles. Par conséquent, la CO 11 demeure pleinement applicable.

 

Anonymisation et Pseudonymisation en bref

Qu’est-ce que l’anonymisation?

Qu’est-ce que la pseudonymisation?

L’anonymisation est une procédure irréversible qui supprime complètement les marqueurs individuels, ce qui rend impossible l’identification de la personne

La pseudonymisation remplace les marqueurs individuels par des pseudonymes, rendant plus difficile (mais pas impossible !) l’établissement d’un lien avec la personne concernée

 

Exemples

anonymous vs. pseudonymous

 

Anonymisation et pseudonymisation au CERN - Pourquoi ces techniques sont-elles importantes pour les Services ?

Ces deux techniques peuvent aider les Services responsables et les Services de traitement à protéger les données personnelles qu’ils collectent et traitent dans le cadre de leurs activités. Ces méthodes permettent de mettre en œuvre les principes essentiels reconnus par la CO 11 tel que la minimisation des données et la Protection des données dès la conception et par défaut.

Prenons un exemple, imaginons que vous réalisiez un projet afin de déterminer la moyenne d’âge des personnes travaillant au CERN. Au lieu de demander la date de naissance et le nom de chaque personne, vous pouvez simplement leur demander dans quelle tranche d’âge ils se situent, la vingtaine, la trentaine, la quarantaine etc. De cette façon, vous obtiendrez les informations dont vous avez besoin pour votre étude sans pour autant identifier directement les membres du personnel du CERN ou permettre leur identification. En d’autres termes, vous collectez des données anonymisées.

En optant pour cette approche, le bénéfice est double. Vous vous assurez que votre service traite uniquement les données nécessaires pour déterminer l’âge moyen sans pour autant collecter et traiter les dates de naissances, noms et toutes autres données personnelles supplémentaires pouvant permettre l’identification de la personne. Cela réduit considérablement les risques pour les personnes dont vous traitez les données (c’est-à-dire les personnes concernées) tout en permettant l’analyse des données démographiques des tranches d’âge présents au CERN.

Cela signifie que vous mettez en œuvre concrètement et efficacement le principe de minimisation des données (puisque vous ne collectez que les données indispensables à votre projet), et par la même occasion vous adoptez une approche respectueuse de la vie privée des personnes dès la conception étant donné que dès le début de votre projet, vous avez réfléchi en amont à la meilleure manière de protéger la vie privée des personnes concernées.

A retenir! Ces deux méthodes peuvent aider les services du CERN à protéger les données personnelles. Néanmoins, il faut toujours garder à l’esprit que tandisque les données anonymisées ne sont pas considérées comme des données personnelles au sens de la CO 11, alors que les données pseudonymisées le sont !
Cela signifie concrètement que si votre activité implique le traitement de données pseudonymisées, vous devrez toujours vous conformer à vos obligationstel que la rédaction d’un avis de confidentialité en tant que Service responsable.