Ce que l’affaire SRB nous enseigne sur la pseudonymisation, le consentement et la conformité RGPD
Depuis des années, les professionnels de la protection de la vie privée débattent : faut-il considérer les données personnelles comme un concept relatif ou absolu ? En d’autres termes, tant qu’il existe une possibilité théorique de réidentifier un ensemble de données pseudonymisées, ces données doivent-elles toujours être considérées comme des données personnelles, ou existe-t-il un seuil au-delà duquel on peut les qualifier d’anonymes ?
Lorsqu’ils parlent de « données personnelles », les spécialistes pensent généralement à des noms, des adresses, voire une adresse e-mail que l’on peut clairement rattacher à une personne. Mais la Cour de justice de l’Union européenne (“CJUE”) rappelle régulièrement que les frontières sont plus mouvantes qu’il n’y paraît. Dans son arrêt récent EDPS c. SRB (C-413/23 P), la Cour s’est penchée sur la zone grise des données pseudonymisées et sur ce que cela implique pour la conformité au RGPD.
La nouveauté : le caractère « personnel » des données peut dépendre non seulement de ce qui figure dans vos propres systèmes, mais aussi de ce qu’un tiers pourrait raisonnablement en faire. Cela signifie que l’approche relative des données personnelles est enfin explicitement confirmée.
Dans ce blogpost, nous décryptons l’affaire SRB, expliquons ce qu’elle implique pour les professionnels de la protection des données et partageons des conseils pratiques pour renforcer votre conformité au RGPD, en particulier lorsque des données pseudonymisées sont en jeu.
L’affaire SRB : bref rappel
Le Single Resolution Board (SRB), organe de l’Union européenne chargé de gérer les banques en difficulté, a conduit la résolution de Banco Popular, une banque espagnole. Dans ce cadre, il a collecté des données d’identification et des commentaires d’actionnaires et créanciers, puis n’a transmis à Deloitte que les commentaires pour une évaluation indépendante.
Avant ce transfert, le SRB a pseudonymisé les données et soutenu que celles transmises n’étaient plus des « données personnelles » au sens du RGPD.
Les créanciers et actionnaires n’avaient pas été informés que leurs données, pseudonymisées ou non, seraient envoyées à Deloitte. Plusieurs ont déposé plainte auprès du Contrôleur européen de la protection des données (EDPS), ce qui a enclenché la procédure.
Finalement, l’affaire est parvenue devant la CJUE, qui s’est prononcée par deux décisions clés:
Les données personnelles sont relatives
La Cour a jugé que les données pseudonymisées ne constituent pas automatiquement des données personnelles pour toutes les parties de la chaîne.
- Pour le SRB, ces données restaient personnelles car il détenait la clé permettant de réidentifier les individus.
- Pour Deloitte, qui a reçu une version dépourvue d’identifiants et ne disposait d’aucun moyen de lever la pseudonymisation, il ne s’agissait pas de données personnelles.
Cet arrêt confirme explicitement l’interprétation relative de la notion de données personnelles. En vertu du RGPD, ce qui est qualifié de données personnelles peut dépendre de la partie qui détient l’ensemble de données et de ce qu’elle est raisonnablement en mesure d’en faire.
Ainsi, si vous transférez des données et que le destinataire ne dispose d’aucun moyen de réidentifier les personnes concernées, et que vous avez mis en place les mesures techniques et organisationnelles appropriées, ces données peuvent ne plus être considérées comme personnelles entre les mains du destinataire.
Mais, et c’est un point crucial, vous devez être en mesure de le démontrer.
Le consentement exige une transparence totale (même pour des données pseudonymisées)
La deuxième décision majeure ? Le SRB aurait dû informer ces personnes, dès le départ, que leurs données pouvaient être transférées à Deloitte, même si elles étaient pseudonymisées.
Pourquoi ? Parce que la collecte des données reposait sur le consentement. Or, en vertu du RGPD, pour être valable, le consentement doit être éclairé, ce qui inclut l’information relative aux destinataires (potentiels) des données.
Enseignements pour les professionnels de la protection des données
Que retenir de cette affaire ? Cela dépend de votre rôle : responsable de traitement ou destinataire d’un ensemble de données pseudonymisées.
Pour les responsables de traitement
L’affaire SRB ouvre la possibilité de partager des ensembles de données pseudonymisées avec moins de contraintes juridiques, à condition que la pseudonymisation soit effectuée de manière rigoureuse. L’arrêt fournit plusieurs éléments à prendre en compte et à documenter lorsqu’un responsable de traitement souhaite démontrer qu’un ensemble pseudonymisé ne constitue pas des données personnelles pour le destinataire :
- Préciser clairement quels identifiants ont été supprimés.
- Fournir un aperçu des techniques utilisées (tokenisation, hachage, ajout de bruit, séparation des bases de données, etc.).
- Définir les limites des « moyens raisonnables » dont dispose le destinataire.
- Mentionner tout cadre juridique interdisant la réidentification.
La documentation de cette approche permet au responsable de traitement d’évaluer le risque de réidentification pour chaque destinataire. Ce qui constitue des « moyens raisonnables » pour l’un peut ne pas l’être pour un autre. Le seuil permettant de qualifier les données d’anonymes reste cependant très élevé.
Le RGPD demeure applicable aux responsables de traitement : un devoir strict de diligence et l’insertion de clauses contractuelles appropriées restent nécessaires pour tout partage de données.
De plus, tous les destinataires (potentiels) des données doivent être identifiés et communiqués afin de respecter l’exigence de « consentement éclairé » comme base légale du traitement. Le fait que les données soient pseudonymisées ou anonymisées ne dispense en aucun cas de cette obligation.
Pour les destinataires
La situation change radicalement pour les destinataires de données pseudonymisées ou anonymisées. Imaginez qu’un destinataire de données pseudonymisées transmette celles-ci à un tiers, et que ce tiers dispose des moyens raisonnables nécessaires pour réidentifier les personnes concernées. À ce moment-là, les données redeviennent des données personnelles, avec toutes les conséquences associées (qualification des rôles, nécessité d’un accord de sous-traitance, exigence d’une base légale, etc.). Cette logique découle de l’arrêt Scania C-319/22.
Ainsi, toute entreprise qui traite (ou envisage de traiter) ce type de données devrait prendre les mesures suivantes :
- Ne pas présumer que son statut est figé : même si les données ne sont pas personnelles entre vos mains, elles peuvent le redevenir dès qu’elles sont transmises à un tiers.
- Évaluer les partenaires: avant tout partage, analyser si le destinataire suivant dispose des moyens de réidentification ; le cas échéant, se préparer à une conformité totale au RGPD.
- Anticiper les obligations contractuelles : un accord de sous-traitance (ou un contrat plus large de partage de données) sera nécessaire, accompagné d’une base légale, d’une limitation des finalités et du respect des obligations de transparence.
Conclusion : la conformité est contextuelle
L’affaire SRB nous rappelle que le droit de la protection des données n’est pas figé, et que vos programmes de conformité ne devraient pas l’être non plus.
La pseudonymisation constitue une mesure technique précieuse pour se prémunir contre la réidentification et peut, dans certains cas, permettre un partage plus large des données sans application directe des exigences du RGPD. Toutefois, le seuil à atteindre pour garantir un niveau suffisant reste très élevé. Le RGPD peut en effet s’appliquer dès lors que vous partagez des données (pseudonymisées) avec une partie disposant des moyens nécessaires pour réidentifier les personnes concernées. Des cadres de gouvernance adéquats seront donc indispensables pour gérer ces situations.
Par ailleurs, l’arrêt confirme que le consentement éclairé implique de communiquer l’ensemble des destinataires (potentiels) des données, même lorsque celles-ci sont pseudonymisées ou anonymisées.
Besoin d’accompagnement ?
Chez CRANIUM, nous aidons les organisations à traduire ce type de décisions en actions concrètes de conformité. De la révision de vos bases légales à l’optimisation de vos protocoles de partage de données, nos consultants sont là pour vous guider.
