Des chercheurs annoncent avoir mis au point un algorithme qui remet (une fois de plus) en cause le principe même de l’anonymat. Une donnée anonyme est-elle une simple vue de l’esprit ? L’enjeu est fondamental car le GDPR ne s’applique que s’il y a un traitement de … données à caractère personnel. Ce qui suppose que certaines données n’ont pas cette caractéristique. Que faire dès lors si la donnée “non-personnelle” (anonyme ou anonymisée) ne correspond en réalité à rien ?
Les données non-personnelles échappent au GDPR
Le principe est le suivant : les régimes de protection des données (dont le Règlement général sur la protection des données, en abrégé « GDPR ») s’appliquent dès lors qu’il y a un traitement de … données à caractère personnel.
A l’inverse, un traitement qui ne porte pas sur des données personnelles échappe aux réglementations en la matière.
D’où l’idée de « rendre les données anonymes » pour se soustraire aux obligations légales.
En pratique, il existe différentes techniques d’anonymisation (la « k-anonymisation », la «l-diversité », la « confidentialité différentielle », etc.(pour en savoir plus ou comprendre comment fonctionnent ces méthodes : avis 05/2014 du 10 avril 2014 sur les techniques d’anonymisation). Quel avocat n’a connu cette situation embarrassante d’avoir à expliquer à un client convaincu qu’il échappe au GDPR, que le seul fait d’avoir remplacé le nom de famille par des initiales ne lui permet pas d’échapper à la rigueur de la loi ?