Ces lignes directrices visent à clarifier la définition juridique et les usages de cette technique qui est prévue à l'article 4 §5 du RGPD et qui consiste à transformer des données personnelles pour qu'elles ne puissent plus être directement attribuées à une personne physique sans recours à des informations complémentaires protégées. S'adressant principalement aux responsables de traitement et aux sous-traitants, ces guidelines rappellent et apportent deux clarifications juridiques importantes:
- les données pseudonymisées restent des données personnelles dans la mesure où elles peuvent permettre, directement ou indirectement pour remonter vers une personne physique identifiable;
- leur utilisation peut faciliter l'utilisation de l'intérêt légitime comme base légale du traitement dès lors que les autres exigences du RGPD sont respectées et peut également permettre des traitements ultérieurs dans des conditions compatibles avec les finalités initiales, conformément à l'article 6 §4 du RGPD.
La pseudonymisation offre des garanties importantes pour la réduction des risques liés au traitement des données personnelles, notamment en protégeant leur confidentialité en cas d'accès non autorisé ou d'utilisation abusive. Elle permet également de satisfaire à plusieurs obligations du RGPD, notamment les principes de minimisation des données et de limitation des finalités, ainsi que les exigences de sécurité et de protection des données dès la conception.
Parmi les mesures techniques recommandées, le CEPD met en lumière l'usage du chiffrement, du hachage cryptographique et des tables de correspondance sécurisées afin de garantir une séparation stricte entre les données pseudonymisées et les informations nécessaires à leur réidentification. De même, une attention particulière est accordée à la sécurisation du «domaine de pseudonymisation», qui doit en effet être isolé des informations complémentaires. Des procédures organisationnelles, comme la formation du personnel et la mise en place de contrôles d'accès rigoureux, sont également nécessaires afin de prévenir toute réidentification qui ne serait pas autorisée.
Les lignes directrices abordent aussi des approches spécifiques pour améliorer la sécurité et l'efficacité de la pseudonymisation. Elles recommandent en effet l'évaluation des données quasi-identifiantes et leur modification par généralisation ou suppression pour limiter les risques d'attribution. Les guidelines soulignent également l'importance de mesures complémentaires, telles que la segmentation des données pseudonymisées et l'évaluation périodique de l'efficacité des techniques employées. Ces mesures incluent également l'utilisation de pseudonymes transactionnels ou relationnels, limitant ainsi la capacité de relier des ensembles de données issus de différentes sources.
Enfin, le CEPD encourage aussi les responsables de traitement à documenter les processus de pseudonymisation, tout particulièrement à travers des évaluations d'impact sur la protection des données. La mise en Suvre de ces mesures doit ainsi être intégrée dès la conception des systèmes et processus.
Le CEPD, en référence à l'arrêt Meta/Bundeskartellamt (CJUE, 4 juillet 2023, C 252/21)1, met par ailleurs en lumière l'interaction entre la protection des données et d'autres domaines juridiques, tels que le droit de la concurrence, en appelant à une coordination renforcée entre les régulateurs.
Footnote
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.