Les 10 principes aspects du GDPR. #8: La pseudonymisation et son utilisation en matière de profilage

Le Règlement général sur la protection des données (General Data Protection Regulation - GDPR), qui entrera en vigueur le 25 mai 2018, contient 15 occurrences du terme “pseudonymisation”. Ce dernier n’apparaît pas dans la Directive, la législation européenne en matière de protection de la vie privée en vigueur. De même, le terme « profilage » ne figure pas dans la directive alors qu’il apparaît 23 fois dans le GDPR. Pourquoi ce changement ?

Le Groupe de travail visé à l’article 29 a déjà mentionné les concepts de pseudonymisation et de profilage dans diverses opinions et publications au fil des années. La notion de pseudonymisation et le recours au profilage ne sont pas nouveaux. Vous en avez sans doute entendu parler. La notion de profilage a par ailleurs été intégrée et délimitée dans la directive, mais sous la dénomination « prise de décisions automatisée ».

Que sont la pseudonymisation et le profilage ?

La pseudonymisation utilise une forme de cryptage pour traduire des éléments identifiables des données personnelles en identificateurs artificiels uniques, appelés pseudonymes. Le processus vise à dissocier l’aspect « personnel » des données à caractère personnel. Il rend les données « anonymes » dans une certaine mesure. Mais hors de ce contexte, la personne peut toujours être identifiée. Grâce à la pseudonymisation, vous appliquez une mesure de sécurité aux données à caractère personnel que vous détenez afin d’empêcher qu’elles soient reliées à l’identité originale d’une personne physique.

Les données pseudonymisées permettent toujours de remonter aux sujets des données. Vous aurez peut-être besoin d’informations extérieures, mais toutes les pièces du puzzle existent encore, elles sont simplement éclatées. À l’inverse, avec les données anonymisées, les données source sont effacées, inaccessibles et ne peuvent pas être reproduites.

Aux termes du GDPR, le profilage désigne « toute forme de traitement automatisé des données à caractère personnel visant à évaluer les aspects personnels relatifs à une personne physique ».

Le profilage peut aussi être utilisé pour prédire le comportement des sujets des données et peut constituer un outil de marketing direct ou indirect précieux. Veuillez noter que le GDPR prévoit que les personnes concernées ne doivent pas être assujetties à des décisions basées exclusivement sur le traitement automatisé (y compris le profilage) lorsque celui-ci a d’importantes conséquences juridiques ou équivalentes pour elles. Il est par exemple interdit de rejeter une demande de prêt uniquement sur la base du traitement automatisé des informations concernant une personne physique puisque cela engendre de lourdes conséquences (potentiellement juridiques) pour cette personne. Le droit d’opposition octroyé aux sujets des données par le GDPR mentionne explicitement le profilage. 

Comment votre entreprise peut-elle utiliser la pseudonymisation à son avantage ?

Les données pseudonymisées se prêtent à un large éventail d’activités analytiques, de projets de recherche ainsi qu’à des fins statistiques. Toutes les données à caractère personnel n’étant pas exposées, cela réduit le risque d’abus des données exposées en cas de violation des données. Le GDPR fixe des normes plus souples pour les données pseudonymisées que pour les données à caractère personnel et semble pousser les entreprises à recourir à la pseudonymisation comme mode de sécurisation des données à caractère personnel qu’elle traite. Par ailleurs, lorsque les données sont pseudonymisées, elles sont moins susceptibles « d’affecter de manière significative » les personnes concernées ou de générer des « effets juridiques » pour les personnes concernées parce que celles-ci peuvent être moins facilement identifiées.

Si vous procédez au profilage au sein de votre entreprise, la pseudonomysation des données utilisée dans le cadre du profilage sera soumise aux normes plus souples évoquées précédemment. La pseudonymisation des données offre une « mesure adéquate » de préservation des droits des sujets des données, des libertés et des intérêts légitimes. Le profilage peut aussi avoir des effets positifs pour vos clients : d’après les informations que vos clients ont communiquées et de l’exercice de votre profilage, vous pouvez offrir à un groupe identifiable de clients des produits spécifiquement ciblés pour ce groupe.

Bien appliquée, la pseudonymisation peut offrir plus de possibilités en termes de traitement des données que si les données devaient être traitées sans appliquer cette mesure de sécurité. Vous devez toutefois garder à l’esprit que ce procédé ne rend pas les données anonymes. Les données pseudonymisées restent considérées comme des données à caractère personnel que vous devez traiter comme telles. Même si vous possédez des données pseudonymisées, vous serez peut-être encore tenu d’informer les sujets des données concernés en cas de fuite de celles-ci.