Introduction
Le 16 janvier 2025, le Comité européen de la protection des données (EDPB) a adopté de nouvelles lignes directrices (en anglais seulement) sur la pseudonymisation. Ces lignes directrices apportent des précisions importantes sur l’utilisation et les avantages de la pseudonymisation en conformité avec le Règlement général sur la protection des données (RGPD), notamment : i) ce que signifie la pseudonymisation; ii) comment l’utiliser pour répondre aux exigences en matière de protection des données; et iii) comment la mettre en œuvre. Les lignes directrices peuvent avoir une incidence sur les organisations canadiennes assujetties au RGPD ou peuvent servir à comprendre la notion de dépersonnalisation au Canada, et plus particulièrement au Québec.
Qu’est-ce que la pseudonymisation?
La « pseudonymisation » est définie au paragraphe 4(5) du RGPD. Il s’agit du « traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ». La pseudonymisation peut être mise en œuvre au moyen de diverses techniques. Par exemple, on peut utiliser des tableaux qui établissent une correspondance entre des pseudonymes et des identifiants originaux et garder les pseudonymes et les identifiants originaux séparés et en sécurité (entre les mains de deux organisations distinctes).
Dans quelles situations la pseudonymisation est-elle utile?
Bien que la pseudonymisation ne soit pas imposée par le RGPD, il s’agit d’une stratégie utile pour gérer les risques associés au traitement des données. Par exemple, elle peut aider les organisations à :
- s’appuyer sur des bases légales pour le traitement des données à caractère personnel, telles que les « intérêts légitimes » (à condition que toutes les autres exigences soient respectées);
- mettre en pratique les principes de minimisation des données et de protection des données dès la conception et par défaut;
- réduire les risques d’accès non autorisé ou de détournement de fonction, lorsque les données peuvent être utilisées à des fins autres que celles pour lesquelles elles ont été recueillies;
- renforcer la confidentialité et la sécurité du traitement des données.
Les données pseudonymisées sont-elles toujours des données à caractère personnel?
Les lignes directrices précisent que les données pseudonymisées demeurent des données à caractère personnel visées par le RGPD et qu’elles ne doivent pas être considérées comme des données anonymisées. Les données sont anonymisées lorsqu’elles ne permettent plus, de façon irréversible, d’identifier une personne. C’est également le cas au Québec, où les modalités déterminant si les données personnelles sont considérées comme anonymisées sont prévues par règlement.
Le fait que les données pseudonymisées demeurent des données à caractère personnel peut créer des défis opérationnels pour les organisations. Par exemple, il peut être difficile pour celles qui reçoivent des demandes d’accès ou de rectification ou qui doivent signaler une violation de données de respecter ces obligations.
Les données pseudonymisées demeurent-elles des données à caractère personnel lorsqu’elles sont transférées à un tiers?
La pseudonymisation des données avant leur transfert à des tiers peut constituer une stratégie efficace pour assurer leur sécurité et pour se conformer au principe de minimisation des données. Dans de tels cas, il est possible que les tiers ne soient pas en mesure de faire le lien entre les données et la personne qu’elles concernent. Les données seraient alors anonymes pour eux.
C’est dans ce contexte que l’avocat général de la Cour de justice de l’Union européenne (CJUE) a publié ses conclusions le 6 février 2025. Il a estimé que lorsque la pseudonymisation est suffisamment robuste pour conclure que les données ne sont pas raisonnablement identifiables par l’organisation, on ne peut pas considérer que cette dernière traite des données à caractère personnel. Déterminer si c’est le cas ou non dépend de « l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci ».
Toutefois, comme ces conclusions ne sont pas contraignantes, il n’est pas certain que la CJUE suivra la position de l’avocat général.
La Commission Nationale de l’Informatique et des Libertés (CNIL), l’autorité de contrôle en matière de protection des données personnelles, a récemment rappelé les obligations selon lesquelles il existe une distinction entre les données anonymisées et les données pseudonymisées détenues par un sous-traitant, auxquelles le RGPD s’applique toujours. Cette question demeure donc non résolue.
Au Québec, la question n’est pas résolue non plus. Cela étant dit, une organisation qui souhaite affirmer qu’elle n’est pas en mesure d’identifier des personnes en utilisant des données pseudonymisées sera probablement confrontée à des difficultés. Par exemple, une organisation peut toujours être tenue de traiter des demandes d’accès ou de rectification si le demandeur peut l’aider à l’identifier, par exemple en lui fournissant le pseudonyme.
Pour plus de renseignements
Fasken est là pour vous aider. N’hésitez pas à consulter notre centre de ressources sur la Loi 25 ou à communiquer avec les auteurs de ce bulletin si vous avez des questions concernant la protection de la vie privée ou la cybersécurité.
