Aristotelis Zervos
Aristotelis Zervos, directeur de la rédaction de 2B Advice, allie expertise juridique et journalistique en Protection des données, la conformité informatique et la réglementation de l'IA.
La Cour de justice des Communautés européennes (CJCE) s'est penchée sur différentes questions relatives à la données à caractère personnel et Pseudonymisation de la Commission. Cette décision a été prise à la suite d'un litige entre le Contrôleur européen de la protection des données (CEPD) et le conseil de résolution unique (CRU), auquel étaient également parties le Comité européen de la protection des données (CEPD) et la Commission européenne. Se référant à sa jurisprudence antérieure, la CJUE a, dans le cadre de cet arrêt, précisé la signification de la notion de données à caractère personnel dans le contexte de la Transmission données pseudonymisées à Troisième précise.
Le CSR fait appel de la décision du CEPD
Après la liquidation de Banco Popular Español, le Comité de résolution unique (Single Resolution Board, SRB) a rendu, le 7 juin 2017, une décision provisoire sur la question de savoir si les anciens actionnaires et créanciers de cette banque devaient bénéficier d'une indemnisation en raison de sa liquidation. Les personnes concernées n'ayant pas été entendues avant l'adoption de cette décision, le SRB a ensuite mené une procédure leur permettant de présenter leurs observations sur sa décision provisoire. Dans le cadre de cette procédure, le SRB a transmis certaines observations sous forme de données pseudonymisées à Deloitte, un cabinet d'audit et de conseil qu'il avait chargé d'évaluer l'incidence de la liquidation sur les actionnaires et les créanciers.
Plusieurs concernés Les actionnaires et les créanciers ont saisi le Contrôleur européen de la protection des données (CEPD) d'un recours en manquement.
Les plaintes ont été déposées parce que le SRB ne les avait pas informées que des données les concernant étaient transmises à des tiers. Troisième, à savoir Deloitte. Le CEPD a estimé que Deloitte était, dans le cas présent, un destinataire des données à caractère personnel des plaignants. Il a également constaté que le SRB avait enfreint l'obligation d'information prévue par le règlement 2018/17251. Le SRB a alors introduit un recours en annulation contre la décision du CEPD devant le Tribunal de l'Union européenne. Le Tribunal a partiellement fait droit à ce recours et a annulé la décision en question.
Données à caractère personnel vs. pseudonymisation
Le point central de l'arrêt est l'interprétation des termes „données à caractère personnel” et „Pseudonymisation” conformément à la réglementation de l'UE en matière de protection des données. Le règlement (UE) 2018/1725, qui s'applique aux institutions de l'UE et dont le contenu correspond en grande partie à celui de la directive sur la protection des données, a été adopté par la Commission européenne. RGPD est défini comme suit données à caractère personnel comme „toute information se rapportant à une personne physique identifiée ou identifiable“. La CJUE souligne le large champ d'application de cette notion : „toute information“ doit être comprise littéralement. Il englobe potentiellement tous les types d'informations, de nature objective ou subjective (y compris les opinions ou les évaluations), dès lors qu'il existe un lien avec une personne. Ce qui compte, c'est de savoir si l'information est liée à une personne par son contenu, son objectif ou son impact. Dans le cas présent, il était incontestable que les avis reflétaient les opinions personnelles de leurs auteurs et constituaient donc des informations „sur“ ces personnes. L'utilisation de codes au lieu de noms n'y changeait rien.
Pseudonymisation est défini légalement comme Traitement de données à caractère personnel de telle sorte que les données ne puissent plus être attribuées à une personne spécifique sans l'utilisation d'informations supplémentaires, à condition que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles empêchant toute ré-identification. Important Pseudonymisation ne fait pas partie de la définition des „données à caractère personnel“, mais constitue une mesure technique visant à réduire le risque d'association de personnes. Elle réduit, conformément au considérant 17 du règlement 2018/1725 (correspondant au considérant 28 de la directive sur la protection des données), le nombre de personnes concernées. RGPD) ne fait que réduire les risques pour les personnes concernées et soutient Responsable ainsi que les sous-traitants en matière de conformité à la protection des données. Tant qu'une identification est théoriquement possible, du moins avec des connaissances supplémentaires, les données pseudonymisées restent données à caractère personnel.
Conseil de lecture : Anonymisation des données à caractère personnel - un guide pratique
Le lien relatif avec la personne est déterminant
La CJUE précise que les données pseudonymisées ne sont pas automatiquement considérées comme „anonymes“. Ce qui est déterminant, c'est l'existence d'informations supplémentaires permettant une identification. Si de telles informations sont disponibles quelque part (par exemple un répertoire de clés chez le responsable), leur seule existence contredit l'hypothèse selon laquelle les données pseudonymisées sont totalement anonymes et ne relèvent pas de la législation sur la protection des données. Anonymisation exige plutôt que les concernés personne n'est pas ou plus identifiable. Sur Pseudonymisation en revanche, on suppose justement qu'il existe des données d'identification conservées séparément.
Toutefois, la CJUE introduit une référence relative aux personnes : Il faut distinguer pour qui les données sont (encore) à caractère personnel. Le point de départ est la perspective du responsable du traitement : Le SRB en tant que personne qui Pseudonymisation disposait toujours de toutes les informations supplémentaires (clés) permettant d'attribuer à nouveau les données codées à des personnes concrètes. Pour le CSR, les avis sont donc restés, malgré Pseudonymisation données à caractère personnel.
La CJCE explique que des données pseudonymisées de manière efficace ne sont en principe pas des données à caractère personnel pour un destinataire qui ne possède pas d'informations supplémentaires. En d'autres termes, du point de vue de Deloitte, les ensembles de données fournis étaient en fin de compte des informations anonymes, étant donné qu'il n'y avait pas de noms ou d'identifiants directs et que Deloitte n'avait pas la possibilité d'attribuer les codes à des personnes réelles.Toutefois, selon la CJCE, deux conditions doivent être remplies :
- le destinataire ne doit pas être en mesure, d'un point de vue technique et organisationnel, de supprimer ou de contourner les mesures de pseudonymisation prises, et
- les mesures doivent effectivement empêcher qu'une identification puisse également avoir lieu par d'autres moyens disponibles. Même en comparant avec des données externes, la concernés personne ne doit pas (plus) être identifiable par le destinataire. Ce n'est qu'à ces conditions strictes que les données pseudonymisées sont de facto anonymes pour le destinataire.
En cas de pseudonymisation, chaque cas doit être examiné individuellement.
En adoptant cette approche différenciée, la CJCE confirme également le principe énoncé dans la cinquième phrase du considérant 16. RGPD (ou règlement 2018/1725) : Les principes de protection des données ne s'appliquent pas aux informations anonymisées, c'est-à-dire aux données qui ne se rapportent pas (ou plus) à une personne identifiée ou identifiable. Par conséquent, dès lors qu'un ensemble de données a été traité de telle sorte qu'aucune personne concernée ne peut plus procéder à une identification, il s'agit de données anonymes qui ne relèvent pas du champ d'application du RGPD tombent.
La CJCE souligne toutefois qu'il convient d'examiner précisément, au cas par cas, s'il n'existe vraiment aucune possibilité d'identification. Tous les facteurs objectifs doivent être pris en compte : Notamment les technologies disponibles, le temps et le coût d'une éventuelle ré-identification et si une fusion avec d'autres données est juridiquement ou pratiquement accessible. Si le risque d'identification est de facto insignifiant (par exemple en raison d'interdictions légales ou d'efforts disproportionnés), il y a de fortes chances que les informations soient considérées comme anonymes.
Dans l'ensemble, le jugement souligne ainsi que Pseudonymisation n'est pas un blanc-seing pour soustraire des données à la protection des données. Elle peut toutefois, dans certaines conditions, avoir pour conséquence qu'un tiers ne soit pas soumis à la législation sur la protection des données avec les données obtenues.
Obligation d'information dès la collecte des données
Pour les entreprises, que ce soit en tant que Responsable ou de sous-traitants, cet arrêt a des conséquences pratiques importantes. Tout d'abord, la CJUE confirme sans équivoque que les données pseudonymisées restent données à caractère personnel doivent être traités tant que le Responsable (ou quelqu'un d'autre) peut établir une référence personnelle au moyen d'informations supplémentaires. En particulier, il est possible Responsable ne se soustraient pas à leurs obligations en pseudonymisant les données et en les transmettant à des tiers. Troisième transmettre à d'autres personnes. Les obligations en matière de protection des données continuent de s'appliquer pleinement du point de vue du responsable initial.
Dans le cas présent, cela signifiait que le SRB n'avait pas respecté ses obligations en matière de collecte de données sur les actionnaires. Obligations d'information selon l'art. 15 du règlement 2018/1725 (resp. art. 13 RGPD). Y compris l'obligation d'informer les personnes concernées de tous les destinataires prévus. Le fait que les données aient été pseudonymisées ultérieurement vis-à-vis de Deloitte ne joue aucun rôle à cet égard.
La CJUE précise que l'obligation d'information de l'article 15, paragraphe 1, point d) du règlement 2018/1725 existe dans la relation entre le responsable du traitement et la personne concernée et doit être remplie dès la collecte des données. Du point de vue du SRB, les participants étaient identifiables (il disposait lui-même de toutes les informations d'identification), donc à caractère personnel, et par conséquent, il aurait dû désigner Deloitte comme destinataire. La non-identification ultérieure du point de vue de Deloitte n'est pas pertinente pour la question de l'information en temps utile.
Recommandations d'action pour la pratique
Les entreprises devraient être plus attentives à la Pseudonymisation tenir compte des points suivants :
- Transparence sur les récepteurs : Informer Personnes concernées lors de la collecte des données, de tous les destinataires prévus de leurs données (art. 13, al. 1, let. e RGPD). Cela vaut également lorsque la transmission doit se faire sous forme pseudonymisée. La non-mention d'un destinataire pèse comme Violation difficile, même si le destinataire ne peut pas identifier les personnes. Si, au moment de la collecte, on ne sait pas encore quels sont les destinataires tiers impliqués, il faudrait au moins indiquer les catégories de destinataires possibles. Si les données ne sont transmises que plus tard, sous forme pseudonymisée, à des tiers, il convient d'en tenir compte. Troisième il convient d'examiner si une information ultérieure des personnes concernées selon l'art. 14 RGPD est nécessaire.
- Anonymisation vs. Pseudonymisation: Tant que quelqu'un peut ré-identifier des personnes au moyen de données supplémentaires ou d'efforts raisonnables, les données restent personnelles. complet Anonymisation est techniquement exigeante. Mais si elle est réussie, les obligations du RGPD ne s'appliquent pas. Utilisez Pseudonymisation comme mesure de protection, mais continuez à traiter les données pseudonymisées avec le niveau de protection des données qui s'impose.
- Mesures techniques/organisationnelles efficaces : Séparez les clés d'identification des enregistrements proprement dits et limitez l'accès à ces derniers. Vérifiez l'efficacité des mesures : Par exemple, est-il possible de deviner des personnes individuelles grâce à des caractéristiques spécifiques dans l'ensemble de données ?
- Rédaction de contrats avec les prestataires de services : Si vous faites appel à un sous-traitant et que vous lui transmettez des données pseudonymisées, assurez-vous dans le contrat de sous-traitance que celui-ci ne traitera les données que conformément à vos instructions et ne tentera pas d'identifier des personnes. Certes, le prestataire de services n'est généralement pas lui-même en mesure d'identifier sans connaissances supplémentaires. Néanmoins, une interdiction de ré-identification devrait être explicitement incluse. En outre, dressez la liste de tous les sous-traitants qui reçoivent les données pseudonymisées et contrôlez leurs mesures.
- Documentation et la capacité à fournir des informations : Tenez un registre des personnes auxquelles vous mettez des données pseudonymisées à disposition. Même si ces données sont anonymes pour le destinataire, vous devez, en tant que responsable, être en mesure d'indiquer aux personnes concernées quels services ont reçu des données (sous quelque forme que ce soit).
Aristotelis Zervos est directeur éditorial chez 2B Advice, juriste et journaliste avec un savoir-faire approfondi en matière de protection des données, RGPD, la conformité IT et la gouvernance de l'IA. Il publie régulièrement des articles approfondis sur la réglementation de l'IA, la conformité au RGPD et la gestion des risques. Pour en savoir plus sur lui, consultez son Page du profil de l'auteur.
German 
English 
Italian 
French