Dans la course mondiale au leadership en IA, les acteurs publics et privés, français comme européens, se sont saisis de la pseudonymisation comme technique de protection des données personnelles. Thaima Samman et Marion Boige, avocates au cabinet Samman, analysent la première étude réalisée sur le sujet.
Technologie qui répond aux principes de la protection des données (PET pour « Privacy Enhancing Technologies »), la pseudonymisation remplace les données personnelles, tel que le nom d’une personne, par des caractères alternatifs, réduisant significativement le risque d'identification directe des individus.
En validant le choix de Microsoft pour héberger les données de santé des Européens, la décision n°491644 du Conseil d’Etat rendue publique le 19 novembre dernier, a utilement réaffirmé la pseudonymisation comme une garantie mise en place pour assurer la confidentialité des données.
Cette décision du Conseil d’Etat est d’autant plus opportune que la pseudonymisation des données est de plus en plus présente dans notre quotidien, protégeant notre vie privée tout en permettant l'utilisation de nos données pour faciliter nos vies :
Qu’il s’agisse du recensement de la population, de l’amélioration des transports publics pour les passagers, de l’évaluation des forces et faiblesses dans la scolarité de nos enfants, ou qu’il s’agisse de la recherche médicale ou de l’entrainement des modèles de fondation de l’Intelligence artificielle (IA), de nombreux secteurs ont besoin d’utiliser des données pseudonymisées pour innover ou bénéficier de l’innovation.
Le Conseil National des Barreaux (CNB) recommande d’ailleurs de recourir à la pseudonymisation pour que les avocats puissent tirer parti des outils d'IA, tout en respectant leurs obligations de confidentialité.
En quoi cette technique est-elle la clé pour exploiter les données personnelles en toute confidentialité et sécurité ? Que prévoient le Règlement Général sur la Protection des Données (RGPD) et les régulateurs à ce sujet ?
Le RGPD accorde une place centrale à la pseudonymisation des données
Le Professeur de droit international et européen Théodore Christakis (Université de Grenoble Alpes) et Directeur du Centre for International Security and European Law (CESICE), a réalisé en septembre 2024, la première étude exhaustive et d’ampleur sur l’importance de la pseudonymisation à l’ère de l’intelligence artificielle pour le compte du cabinet Samman.
Le RGPD présente la pseudonymisation comme une mesure de conformité, de sécurité et de minimisation des risques relatifs à protection des données. C’est dans cet esprit qu’il n’inclut pas moins de 15 références à la pseudonymisation, et notamment pour :
-
Réduire le risque qu’un traitement présente pour les droits des personnes (considérant 28) ;
-
Renforcer la sécurité des données à caractère personnel (article 32) ;
-
Assurer la protection des données dès la conception « privacy by design » (article 25) ;
-
Favoriser la conformité avec plusieurs principes cardinaux de protection des données tels que le principe de minimisation des données (article 25), de limitation de la conservation (article 5(1e)), de limitation des finalités (5(1b)) et l’obligation de sécurité (5(1f)) ;
Le RGPD appelle également, dans son article 40(2), à la mise en place de codes de conduite sur la pseudonymisation.
Approche du « tout ou rien » : pourquoi certaines autorités européennes ignorent la pseudonymisation ?
Le Professeur Christakis rappelle dans son étude que la pseudonymisation est au cœur d’un débat juridique européen qui se concentre sur deux approches : l'approche relative, qui considère le statut des données en fonction de la capacité réelle de réidentification par une partie spécifique ; et l'approche absolue, qui se base sur la possibilité abstraite de réidentification, indépendamment de la réalité du risque.
Les régulateurs européens n'ont pas tranché définitivement ce débat et certaines autorités, comme l’autorité irlandaise, semblent avoir adopté une approche relative et fondée sur les risques. Le Tribunal de l’UE a de son côté estimé le 26 avril 2023 dans l’Affaire SRB, que les données pseudonymisées ne sont pas des données à caractère personnel, si le destinataire n'est pas en possession des informations supplémentaires nécessaires pour ré-identifier les personnes qui se cachent derrière les données
D’autres autorités privilégient une approche du "tout ou rien" : soit les données sont anonymisées de façon irréversible auquel cas le RGPD ne s’applique pas (« rien ») ; soit il existe une possibilité abstraite de réidentification, les données sont alors qualifiées de personnelles et le RGPD s’applique pleinement, la pseudonymisation n’offrant alors aucune « exonération » à son auteur, y compris lorsque personne ne subit un dommage (« tout »).
C’est l’approche de la CNIL qui considère une donnée pseudonymisée comme une donnée personnelle « intégralement soumise aux obligations du RGPD ». Le chercheur, l’entreprise ou l’administration qui utilise cette technique se verra ainsi appliquer le RGPD comme s’il n’avait procédé à aucune mesure de protection des données.
La CNIL prend-elle vraiment en compte le principe d’approche par les risques du RGPD ? Les autorités de protection des données ne devraient-elles pas accorder plus de crédit à la lettre du RGPD qui reconnaît cette technique ?
Pour une Europe innovante : vers une application souhaitable de l’approche par les risques
Si les autorités de protection des données ont raison d’insister sur la distinction entre pseudonymisation et anonymisation, il est également possible de développer une vision plus nuancée. L’interprétation des autorités ne prend pas en compte le degré du risque lors de l’évaluation de la responsabilité du responsable de traitement. Peu importe que la sécurité des données soit évaluée à 20% ou à 99%, la CNIL applique la même sanction, créant ainsi une insécurité juridique et découragement à l’utilisation de la pseudonymisation. Si ce principe de 0 risque s’appliquait aux transports, prendre l’avion, le train ou la voiture serait interdit.
L’étude du Professeur Christakis montre que la pseudonymisation est largement reconnue au niveau européen comme une technique efficace pour faciliter le traitement des données personnelles tout en offrant de solides garanties pour leur protection. Les responsables du traitement qui investissent des ressources importantes pour protéger les données personnelles pseudonymisées, devraient donc pouvoir les utiliser sans risque juridique systématique.
La mise en place d’un dialogue renforcé entre régulateurs, chercheurs et entreprises permettrait de développer des solutions équilibrées. L’élaboration d’un code de conduite – prévu par le RGPD mais toujours pas mise en œuvre – pourrait en être la première étape.
L’étude du Professeur Christakis conclut sur le fait « qu’une approche très stricte, qui ne prendrait pas pleinement en compte les mécanismes de pseudonymisation robustes, emportera des conséquences indésirables », notamment sur la recherche scientifique et le développement de l'IA générative en Europe.
Il y a quelques semaines, le retentissant rapport Draghi a puissamment alerté les décideurs européens sur le risque de décrochage économique et technologique du continent et mis en avant les choix politiques qui s’imposent en urgence à l’Union européenne pour briser la spirale de son déclassement. Dépasser l’approche conservatrice de la protection des données, pour adopter la culture du risque fait sans doute partie de ces choix.
La volonté des pouvoirs publics de faire de la France et de l’Europe des leaders mondiaux de l’IA fera-t-elle bouger les lignes ?
Marion Boige et Thaima Samman, avocates, cabinet Samman
