L’anonymisation est une technique consistant « à supprimer tout caractère identifiant à un ensemble de données ». Suivant la norme ISO 29100, il s’agit du « processus par lequel des informations personnellement identifiables (IPI) sont irréversiblement altérées de telle façon que le sujet des IPI ne puisse plus être identifié directement ou indirectement, que ce soit par le responsable du traitement des IPI seul ou en collaboration avec une quelconque autre partie » (ISO 29100 : 2011).
L’anonymisation est donc marquée par le caractère irréversible de la perte du caractère identifiable d’individus.
A contrario, la pseudonymisation ou « anonymisation réversible », « consiste à remplacer un attribut par un autre dans un enregistrement. La personne physique est donc toujours susceptible d’être identifiée indirectement ». Par exemple, la codification du nom d’un client n’empêche pas son individualisation s’il est possible d’avoir accès à d’autres attributs comme par exemple son sexe, son adresse ou sa date de naissance.
A ce titre, la pseudonymisation limite le risque de corrélation directe entre des informations nominatives, mais elle ne gomme en aucune manière le caractère nominatif des informations exploitées.
En conséquence, la pseudonymisation n’est pas une forme atténuée d’anonymisation, mais une simple mesure de sécurité.
Là où la pseudonymisation se pose comme un rempart devant des informations nominatives, l’anonymisation neutralise irrémédiablement le caractère nominatif même des informations.
Des objectifs distincts
Le choix de l’anonymisation ou de la pseudonymisation procède moins d’un choix technique que de la nécessité de conserver ou non des informations nominatives.
La pseudonymisation se prête aux situations qui nécessitent ou permettent un retour en arrière des informations nominatives codées aux informations nominatives primitives. Par exemple, le traitement d’informations nominatives peut nécessiter au regard d’obligations légales d’être en mesure de remonter sur une personne déterminée.
A contrario, l’anonymisation ne s’inscrit pas dans une démarche ultérieure de ré-identification et elle n’a pas vocation à permettre un tel retour en arrière.
La pseudonymisation et l’anonymisation répondent donc à des objectifs distincts : conserver ou non le caractère personnel des informations. En conséquence, une anonymisation qui serait mise en défaut par le truchement de techniques particulièrement évoluées (informatiques par exemple) ne serait pas à rapprocher d’une pseudonymisation.
La pseudonymisation n’est pas une anonymisation « low-cost », mais une méthode adéquate tendant à un but déterminé.
Les enjeux de la qualification
L’article 1er alinéa 2ème de la Loi n° 1.165 dispose que « l’information nominative, sous quelque forme que ce soit, est celle qui permet d’identifier une personne physique déterminée ou déterminable. Est réputée déterminable une personne qui peut être identifiée, directement ou indirectement, notamment par une référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propre à son identité physique, physiologique, psychique, économique, culturelle ou sociale ».
Dans le projet de Loi modifiant la Loi n° 1.165 règlementant les traitements d’informations nominatives, il est indiqué (pages 9 et 10 de l’exposé des motifs) « qu’ en effet, une personne peut être identifiée soit directement par son nom, soit indirectement par un numéro de téléphone, de plaque d’immatriculation de véhicule, de sécurité sociale, de document d’identité, ou encore par un croisement de critères significatifs permettant de la reconnaitre à l’intérieur d’un groupe limité de personnes (par exemple : âge, adresse, fonctions, occupations…) ».
Il est donc loisible de constater que le législateur a privilégié le résultat sur l’intention : du moment que la personne est déterminée ou déterminable, directement ou indirectement, la Loi n° 1.165 s’applique.
En conséquence, en gommant le caractère déterminable d’une personne physique, l’anonymisation fait sortir les informations du champ d’application de cette Loi.
A contrario, les informations pseudonymisées dont le caractère déterminable n’a été qu’atténué restent pleinement soumises à la Loi n° 1.165.
Le choix de la méthode de dés-identification n’est donc pas neutre en ce qu’il dicte le régime applicable aux informations traitées.
Un exemple concret
L’article 10-1 de la Loi n° 1.165 dispose que « les informations nominatives doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation de la finalité pour laquelle elles ont été collectées ou pour laquelle elle sont traitées ultérieurement ».
L’anonymisation des informations nominatives, en ce qu’elle supprime le caractère identifiable des personnes concernées, permet de conserver les informations anonymisées après la réalisation de la finalité du traitement.
A contrario, la pseudonymisation ne permet pas de conserver les informations nominatives au-delà de la durée de conservation prévue dans le traitement.
A la différence de la pseudonymisation, l’anonymisation est plus une mesure de dénaturation que de sécurité.