Aucune donnée n’est anonyme

C’est peut-être bien la conclusion à laquelle on va arriver. Depuis les origines de la protection des données, l’on reconnaît implicitement le principe d’anonymat. En effet, les différentes lois applicables ne s’appliquent pas aux données personnelles anonymisées. Il existerait donc des moyens pour anonymiser des données personnelles, en ce sens que le lien, qui reliait les données avec une personne déterminée, serait supprimé. Cette suppression se voudrait irrémédiable, car il serait tout simplement impossible de retrouver la personne qui se cache derrière ces données.

Souvent, lorsqu’on surfe sur l’Internet, on pense collecter des données « anonymisées » et, parfois même, le fournisseur de ces données proclame fièrement qu’elles sont anonymes. Or, les juristes, toujours aussi pointilleux qu’ils sont, vous rendront attentif à la confusion répandue qui existe entre des données « anonymisées » et des données « codées » ou « pseudonymisées ». Si vous pouvez (presque) faire ce que vous voulez avec des données anonymisées, il n’en est rien avec des données codées ou pseudonymisées. Une donnée personnelle est codée lorsque les identifiants sont remplacés par un code ou un numéro, mais que celui qui les code détient toujours la table de correspondance (ou la clé de déchiffrement) permettant de réidentifier la personne concernée. Par exemple, d’aucuns considèrent que le chiffrement est une forme de codage. C’est donc un processus réversible, car l’on peut toujours retrouver la personne concernée.

L’employé lambda, le businessman, ou le chercheur, las d’être submergé par tant de bureaucratie ou tout simplement perplexe face à ces distinctions qui ne semblent intéresser que des juristes en mal de sensations fortes, se posera la question suivante : Comme tout ce charabia risque, au mieux, de m’endormir, au pire, de bloquer mon projet, comment puis-je anonymiser les données que j’ai obtenues, car ça me semble beaucoup plus simple de procéder ainsi ? Malheureusement, le juriste vous répondra par un laconique (oui, le juriste n’est pas toujours très drôle) : « les données doivent être traitées de façon à ne plus pouvoir être utilisées pour identifier une personne physique en recourant à « l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre », soit par le responsable du traitement, soit par un tiers ». A cet instant précis, vous vous demandez si le mec ne vous prend pas pour un con. Quand on me demande comment je fais un œuf mollet, je ne réponds pas « Alors, il faut prendre tous les ustensiles appropriés et les ingrédients usuels de façon à ne pas cuire l’œuf trop longtemps ». Plus sérieusement, il n’existe pas véritablement de consensus international sur les moyens d’anonymiser correctement une donnée personnelle. Il existe certains guides, voire certaines normes qui creusent la question, mais sans vraiment y répondre non plus.

Selon le RGPD (la loi européenne qui traite de la protection des données), deux conditions doivent donc être analysées : (i) premièrement, la personne physique est-elle identifiable ? (ii) si oui, y a-t-il des facteurs objectifs qui empêchent raisonnablement la réidentification de la personne physique ? Afin de répondre à la première question, l’avis 05/2014 sur les techniques d’anonymisation, adopté le 10 avril 2014 par l’ancien groupe de travail “Article 29” sur la protection des données (aujourd’hui, le Comité européen de la protection des données) est toujours utile. En effet, si vous pouvez isoler des données qui appartiennent à une personne (individualisation), si vous pouvez relier au moins deux enregistrements ou bases de données concernant la même personne (possibilité de corrélation), ou si vous pouvez déduire la valeur d’un attribut qui concerne une personne physique (inférence), vous disposez probablement de données à caractère personnel au sens juridique. Pour rappel, les données à caractère personnel sont un concept juridique très large, qui peut inclure différents types de données (cela va de l’adresse IP à l’adresse email en passant par l’image aérienne d’une maison individuelle). En ce qui concerne la deuxième question, les coûts, la durée nécessaire et les développements technologiques doivent être pris en compte. Par exemple, si la réidentification implique de faire d’énormes efforts en termes de coûts, de temps et de technologie, alors la réidentification est peu probable. En ce qui concerne les développements technologiques, différentes techniques existent déjà, telles que le chiffrement homomorphe, la differential privacy, ou d’autres techniques de randomisation (ajout de bruit, permutation de valeurs, confidentialité différentielle) et de généralisation (agrégation et k-anonymat, l-diversité).

Conformément à l’affaire Breyer, il n’est pas nécessaire que toutes les informations concernant une personne physique soient entre les mains d’une seule et même entité. Dans cette affaire allemande, le gouvernement allemand possédait des adresses IP dynamiques qu’il ne considérait pas comme des données personnelles. Il eût fallu qu’il contactât le fournisseur internet pour obtenir des informations supplémentaires et ainsi réidentifier les personnes concernées. Bien que la loi n’autorisât pas le fournisseur internet à transmettre directement les informations supplémentaires au gouvernement, des voies légales existaient, de sorte que le gouvernement pouvait contacter l’autorité compétente afin d’obtenir du fournisseur de services internet ces informations.

Finalement, si une personne est potentiellement identifiable et que vous pouvez (on prend sa respiration, la phrase est longue) soit la réidentifier par des moyens techniques accessibles ou que vous pouvez par des moyens juridiques obtenir des informations supplémentaires vous permettant de réidentifier la personne, alors la donnée personnelle n’est pas suffisamment anonymisée.

Du moins, c’est ce que je pensais. En effet, certaines autorités ont une vision assez stricte de la matière comme l’ayatollah peut l’être en matière religieuse. Le corollaire, c’est qu’il devient quasiment impossible d’anonymiser des données personnelles, sans que l’on vous traite d’inconscient ou de fou dangereux. En effet, considérer une donnée comme anonyme, c’est s’auto-exonérer de la loi. Ainsi, vous prenez des risques si la donnée en question est mal anonymisée. Le principe de prudence requiert donc de considérer toutes les données comme des données personnelles soumises à la loi applicable. Si je peux comprendre ce raisonnement en termes de gestion de risques, il n’en demeure pas moins que ce n’est pas ce que la loi prévoyait à l’origine. De plus, la bureaucratie augmente et le désarroi des employés lambda, des businessmen, ou des chercheurs avec. Je trouve en fait le système trop compliqué. Il faudrait soit supprimer la notion de données anonymisées soit soumettre ces données anonymisées à un régime distinct moins contraignant. D’ailleurs, l’avènement d’ordinateurs quantiques mettra encore plus à mal toutes ces distinctions…

Protection des données: Nos autorités sont-elles indépendantes?


Hier, mardi 28 janvier 2020, s’est déroulée la Journée mondiale de la protection des données. A cette occasion, la Faculté de droit, des sciences criminelles et d’administration publique de l’Université de Lausanne organisait en collaboration avec le Préposé fédéral à la protection des données, le Centre Universitaire d’informatique de l’Université de Genève et ThinkServices (ça y est je suis arrivé au bout de mes peines avec ces noms à rallonge) la journée de protection des données.

Des intervenants de qualité étaient invités à l’image de Marc Buntschu, Préposé fédéral suppléant, Bertil Cottier, Professeur associé à l’UNIL, ou encore Robin Eymann, Responsable politique à la Fédération Romande des Consommateurs (FRC). Le fil de cette journée est d’ailleurs disponible sur Twitter avec le #JPD_FDCA.

Cette journée s’est focalisée en grande partie sur l’indépendance des autorités de protection des données. Il va sans dire que sur le plan organisationnel et budgétaire, les autorités suisses (fédérales et cantonales) n’ont guère l’indépendance nécessaire pour mener à bien leurs missions, pourtant requise par la Convention 108 modernisée et par la loi applicable. Le Prof. Cottier a pu expliquer les différents critères permettant de qualifier une autorité d’indépendante. Ces critères sont nés des principes de Paris sur les compétences des organes de protection et de promotion des droits de l’homme qui visaient à établir les modalités de fonctionnement des organes de contrôle. Pour être indépendante, une autorité de contrôle devrait :

  1. Être structurellement positionnée à l’extérieur de l’administration ;
  2. Se doter de règles sur l’incompatibilité (p.ex. avec l’exercice d’activités accessoires) ;
  3. Bénéficier d’une certaine stabilité (p.ex. en limitant les motifs de révocation aux seules fautes graves) ;
  4. Ne pas recevoir d’instructions de la part de l’administration ou de tiers ;
  5. Avoir des ressources suffisantes (en argent et en personnel) ;
  6. Obtenir une autonomie budgétaire.

Il faut relever ici que la plupart de ces critères s’appliquent aussi pour mesurer l’indépendance d’un délégué à la protection des données (data protection officer), à savoir la personne qui, au sein d’une entreprise ou d’une unité étatique, se charge de la conformité de l’organisation en matière de protection des données.

Ce constat, qui remet en cause l’indépendance de nos autorités, s’explique à mon avis par deux facteurs principaux. La Suisse est tout d’abord un pays libéral, en ce sens que l’on se méfie davantage du contrôle de l’Etat que de l’influence des acteurs économiques. En d’autres termes, l’on ne souhaite pas mettre des contraintes trop importantes aux acteurs économiques, par crainte de brider la croissance économique. A vrai dire, je suis d’avis que sur certains aspects, l’on oublie assez facilement les intérêts des PMEs et que l’on réfléchit plutôt sur une base abstraite par rapport aux menaces qu’une minorité d’acteurs (certes parfois très puissants) laissent peser sur le système. Dans la règlementation européenne par exemple, certaines obligations vont sans doute trop loin. Toutefois, une idéologie qui voudrait revenir aux racines libérales devrait doter l’Etat des ressources suffisantes pour mener des contrôles et des mesures de police. Or, en Suisse, et dans bien des domaines, les contrôles sont particulièrement insuffisants voire superficiels. En protection des données, beaucoup d’organisations peuvent ainsi agir en toute impunité.

Ensuite, second critère, la Suisse est un pays de démocratie directe. Les pouvoirs des groupes d’intérêt, des lobbyistes, mais aussi l’avis du peuple, peuvent avoir une grande influence sur les parlementaires miliciens. De même, une démocratie directe ne peut fonctionner que si la solution définitive est une solution de compromis. Dans d’autres contrées, les technocrates et autres représentants du pouvoir ont justement plus d’influence et les décisions finales sont prises d’après une approche descendante (top-down).

Pour terminer, je ne pense pas qu’il faille absolument s’aligner sur les règlementations européennes et que la situation actuelle reflète ce qu’est la Suisse . En revanche, la question de l’indépendance des autorités de protection des données est primordiale, car les contrôles actuels sont limités, peu dissuasifs, et parfois superficiels.