La CJUE clarifie le traitement des données pseudonymisées
Une nouvelle décision de la Cour de justice de l'UE précise quand les données pseudonymisées doivent être considérées comme des données personnelles. La décision souligne que la classification des données est relative et dépend du destinataire.
La Cour de justice de l'Union européenne (CJUE) a rendu une décision importante concernant le traitement des données pseudonymisées et leur classification en tant que données personnelles au titre du Règlement général sur la protection des données (RGPD). La Cour a précisé que la détermination du caractère personnel des données n'est pas absolue, mais dépend de la capacité de l'entité traitant les données à identifier une personne.
Dans l'affaire examinée, une autorité de l'UE avait pseudonymisé des commentaires avant de les transmettre à un prestataire de services externe. La CJUE a jugé que les données transmises au prestataire ne constituaient pas des données personnelles, car celui-ci ne disposait pas des connaissances supplémentaires et des moyens nécessaires pour inverser la pseudonymisation. L'autorité avait mis en œuvre des mesures techniques et organisationnelles suffisantes pour empêcher efficacement une telle réidentification.
La décision clarifie que la pseudonymisation n'est pas automatiquement une anonymisation. Cependant, les données pseudonymisées peuvent apparaître comme anonymes pour un destinataire si, de manière réaliste, celui-ci n'a pas accès à la clé ou aux informations supplémentaires nécessaires à la réidentification, ou la possibilité de les obtenir, et si des mesures techniques et organisationnelles excluent efficacement un tel résultat. Inversement, le même ensemble de données pourrait être considéré comme des données personnelles pour un autre destinataire s'il possède des données supplémentaires ou la capacité de les lier.
Le cabinet de conseil dhpg souligne que cette décision apporte de la clarté et des facilitations pour des domaines tels que le développement de l'IA et les projets de recherche impliquant de grands ensembles de données. Elle soulève également de nouvelles questions, notamment en ce qui concerne les accords de traitement des données. Si des données pseudonymisées sont transférées à un sous-traitant qui ne peut pas inverser la pseudonymisation, cela crée des complexités quant à la nature du traitement et à la nécessité d'accords de traitement des données, même si le sous-traitant perçoit les données comme non personnelles de son point de vue. Le responsable du traitement initial reste responsable de la conformité en matière de protection des données.