La Prudence Italienne : Un Exemple à Suivre
Anonymisation des Données, selon le GDDP : La décision de la CNIL italienne ( Le GDDP ) du 18 juillet 2023 (n° 9920977) soulève une question cruciale : l’insuffisance de l’anonymisation par agrégation. Cette décision rappelle que même des données anonymisées peuvent, sous certaines conditions, être soumises au RGPD. L’autorité italienne insiste sur la nécessité de limiter le nombre de statistiques agrégées publiées pour éviter une attaque par reconstruction. Cela pourrait permettre de reconstituer des identités individuelles à partir de données statistiques, rendant l’anonymat précaire.
La Vision Française : Sécurité et Précaution
En France, la CNIL a également pris position sur cette question. La délibération n° 2017-285 établit le besoin d’avoir un nombre minimal de personnes concernées pour les statistiques établies. Cette approche vise à prévenir la ré-identification des individus à partir de données groupées.
Engagement des Utilisateurs : Une Barrière contre la Ré-identification
La CNIL a également exploré des mesures innovantes pour renforcer l’anonymisation. Dans la délibération “Roche – La Paillasse”, elle a imposé que chaque utilisateur des jeux de données anonymes s’engage à ne pas tenter de réidentifier les données. Cette mesure de précaution est désormais une pratique courante, servant de garde-fou contre les actions délibérées de réidentification.
La Nécessité d’une Réévaluation Périodique
Les autorités mettent en avant l’importance de la réévaluation périodique de l’efficacité de l’anonymisation. Avec l’évolution constante des techniques et des capacités de calcul, un anonymat établi peut rapidement devenir caduc. Cette réévaluation est cruciale pour détecter toute possibilité de “re-personnalisation” des données.
Anonymisation des Données, selon le GDDP
La décision de la CNIL italienne, ainsi que les orientations de la CNIL française, montrent que l’éviction du RGPD grâce à l’anonymisation des données est un processus complexe et dynamique. Les organisations doivent rester vigilantes et proactives pour assurer que l’anonymisation reste effective. Cela implique non seulement des mesures techniques mais aussi des engagements contractuels de la part des utilisateurs des données. Dans le domaine de la recherche, où ces questions sont particulièrement prégnantes, la publication ou la mise à disposition de données anonymes doit être rigoureusement encadrée et incluse dans une analyse d’impact approfondie.