Nous reproduisons ci-après le résumé de l’Avis 05/2014 sur les Techniques d’anonymisation rendu par le GROUPE DE TRAVAIL «ARTICLE 29» SUR LA PROTECTION DES DONNÉES.

Dans le présent avis, le groupe de travail «Article 29» analyse l’efficacité et les limites des techniques d’anonymisation existantes dans le contexte juridique de la protection des données dans l’Union et formule des recommandations pour l’utilisation de ces techniques en tenant compte du risque résiduel d’identification inhérent à chacune d’elles.

Le groupe de travail «Article 29» convient de l’intérêt potentiel de l’anonymisation, notamment comme stratégie permettant aux citoyens et à la société en général de bénéficier des avantages des «données ouvertes», tout en atténuant les risques pour les personnes concernées. Cependant, les études de cas et les recherches publiées ont montré combien il est difficile de créer un ensemble de données vraiment anonymes en conservant suffisamment d’informations sous-jacentes pour les besoins de la tâche concernée. Au regard de la directive 95/46/CE et d’autres instruments juridiques pertinents de l’Union,
l’anonymisation est le résultat du traitement des données personnelles afin d’empêcher, de façon irréversible, toute identification. Ce faisant, les responsables du traitement des données
doivent tenir compte de plusieurs éléments, en prenant en considération l’ensemble des moyens «susceptibles d’être raisonnablement mis en œuvre» à des fins d’identification (soit par le responsable du traitement, soit par un tiers).
L’anonymisation constitue un traitement ultérieur des données à caractère personnel; à ce titre, elle doit satisfaire à l’exigence de compatibilité au regard des motifs juridiques et des circonstances du traitement ultérieur. De plus, si les données anonymisées sortent du champ d’application de la législation sur la protection des données, les personnes concernées peuvent néanmoins avoir droit à une protection au titre d’autres dispositions (comme celles qui protègent la confidentialité des communications). Les principales techniques d’anonymisation, à savoir la randomisation et la généralisation, sont décrites dans le présent avis. Il y est notamment question d’ajout de bruit, de permutation, de confidentialité différentielle, d’agrégation, de k-anonymat, de l-diversité et de-proximité. Les principes, les points forts et les points faibles de ces techniques sont expliqués, de même que les erreurs courantes et les échecs qui se rapportent à l’utilisation de chaque technique.

L’avis examine la fiabilité de chaque technique sur la base de trois critères:
i) est-il toujours possible d’isoler un individu?
ii) est-il toujours possible de relier entre eux les enregistrements relatifs à un individu?iii) peut-on déduire des informations concernant un individu?
La connaissance des principales forces et faiblesses de chaque technique peut être utile pour décider comment concevoir un processus d’anonymisation adéquat dans un contexte donné. Il est aussi question de la pseudonymisation, afin d’éviter certains écueils et idées fausses: la pseudonymisation n’est pas une méthode d’anonymisation. Elle réduit simplement la corrélation d’un ensemble de données avec l’identité originale d’une personne concernée et constitue par conséquent une mesure de sécurité utile.

La conclusion du présent avis est que les techniques d’anonymisation peuvent apporter des garanties en matière de respect de la vie privée et peuvent servir à créer des procédés d’anonymisation efficaces, mais uniquement si leur application est correctement conçue – ce qui suppose que les conditions préalables (le contexte) et les objectif(s) du processus d’anonymisation soient clairement définis de façon à parvenir à l’anonymisation visée, tout en produisant des données utiles. Le choix de la solution optimale devrait s’opérer au cas par cas, en utilisant éventuellement une combinaison de techniques différentes, sans perdre de vue les recommandations pratiques formulées dans cet avis.
Enfin, les responsables du traitement des données devraient être conscients qu’un ensemble de données anonymisées peut encore présenter des risques résiduels pour les personnes concernées. En effet, d’une part, l’anonymisation et la ré-identification sont des domaines de recherche très actifs où de nouvelles découvertes sont régulièrement publiées et, d’autre part, même des données anonymisées, comme les statistiques, peuvent servir à étoffer des profils existants, créant ainsi de nouveaux problèmes en termes de protection des données. C’est pourquoi l’anonymisation ne doit pas être considérée comme un exercice ponctuel: il appartient aux responsables du traitement des données de réévaluer régulièrement les risques associés.