Embed Size (px)
Citation preview
10e ÉDITION
RGPD : appréhender la méthodologie de la PIA et les solutions d’anonymisation de données
Romain PERRAY
Romain Perray a développé une expertise très spécifique en matière de droit à la protection des données
personnelles comme des données publiques ainsi qu’en matière de cybersécurité, qu’il enseigne au sein
du Master II – Droit du Commerce Électronique et de l’Économie Numérique de l’Université Paris I, du
Master II – Droit de la Communication de l’Université de Paris II et du Master II de Droit de Protection
des Données Personnelles de l’Université de Paris V Descartes.
Il intervient aussi bien pour des grands groupes français et internationaux que pour des autorités
publiques, dans le cadre de projets impliquant des transferts transfrontaliers de données, des accords
entre des responsables de traitement conjoints comme entre un responsable de traitement et son ou ses
sous-traitants. Romain a également assisté ses clients dans l’analyse des mesures d’anonymisation ou de
pseudonymisation à mettre en place pour pouvoir exploiter les données personnelles dont ils avaient eu
communication. Romain a aussi procédé à la rédaction de politiques de confidentialité de même que celle
portant sur l’utilisation de cookies et l’utilisation de données à caractère personnel à des fins marketing, y
compris de publicité ciblée, notamment dans le cadre de projets Big Data.
Fort de son expérience, il est l’auteur des fascicules du JurisClasseur Administratif et Communication,
ainsi que des développements relatifs à la protection des données personnelles et de la
vidéosurveillance/vidéoprotection au sein du Guide Pratique Lamy Droit du Numérique. Il publie
également de manière régulière au sein des revues Communication Commerce Electronique, Revue
Lamy Droit de l’Immatériel et Lexology.
Tel.: +33 1 81 69 15 27
Mob.: +33 6 74 40 95 43
Email: [email protected]
Expertise :
Données personnelles &
Cybersécurité
Chargé d’enseignement
Paris I, II, V
Barreau de Paris
Plan
Introduction
I. Distinguer statistiques, pseudonymisation et anonymisation
II. Pseudonymisation et anonymisation : impacts opérationnels
III. Utilité des mesures de pseudonymisation
IV. Méthodologie d’étude d’impact
Introduction
Historique
1970 - Législation nationale
• Développement de l’utilisation de l’informatique par les administrations
• Fichage public
• Interconnexion entre les traitements publics (numéro de sécurité sociale)
• Développement de l’utilisation de l’informatique par les administrations
• Fichage public
• Interconnexion entre les traitements publics (numéro de sécurité sociale)
1995 - Directive 95/46/CE
• Développement de l’utilisation de l’informatique par les entreprises et les particuliers
• Fichage privé
• Internationalisation des échanges
2016 - Règlement 2016/679/UE
• Atomisation du traitement
• Démultiplication des destinataires (ex : cloud computing, big data)
• Finalités ultérieures différentes (ex : profilage)
Atomisation des traitements de données à caractère personnel
Graph representing the metadata of thousands of archive documents, documenting the social network of hundreds of League of Nations personals. Published in: Grandjean,
Martin (2014). « La connaissance est un réseau ». Les Cahiers du Numérique 10 (3): 37-54. CC-BY-SA 3.0
Importance de l’ampleur du traitement
mwe.com
50 millions d’euros
Etablissement principal
Parcours clients
Transparence
Combinaison
Ampleur
Intrusif
Licéité
Pseudonymisation et anonymisation : quelle utilité ?
ENJEUX
Valoriser au mieux ses bases de données, en conservant un niveau de précision suffisant des données
Garantir de manière constante la sécurité et la confidentialité des données
Eviter l’application de certaines des obligations du RGPD, voire exclure les données du champ d’application du RGPD
Assurer la conformité aux exigences du RGPD, notamment en termes de minimisation
Distinguer statistiques, pseudonymisation et
anonymisation
01
PRINCIPALES DATES
24 octobre 1995
Adoption de la
directive 95/46/CE
4 mai 2016
Promulgation du
règlement 2016/679
(RGPD)
25 mai 2018
Entrée en application
du RGPD
16 juillet 2015
Délibération CNIL
n°2015-255 - JCDecaux
09 mai 2017
Délibération CNIL
n° 2017-145 -
Retency10 avril 2014
Avis du G29
05/2014 sur les
techniques
d’anonymisation
(WP216)
8 février 2017
Décision du Conseil
d’Etat n° 393714 –
JCDecaux
6 septembre 2018
Décision du Tribunal
administratif supérieur de
Munich : 5 CS 18.1157
portant sur l’anonymisation
/ pseudonymisation
Mars 2019
Rapport d'activité de 2017/2018
de l’Autorité bavaroise de
protection des données
portant sur l’anonymisation /
pseudonymisation
4 novembre 2019
Etude de l’AEPD &
l’EDPS sur le hachage
comme technique de
pseudonymisation de
données personnelles
3 décembre 2019
Rapport de l’ENISA
sur les bonnes
pratiques de
pseudonymisation
Distinguer statistiques, pseudonymisation et anonymisation
« Toute information se rapportant à une personne physique identifiéeou identifiable, (…) tel qu'un nom, un numéro d'identification, desdonnées de localisation, un identifiant en ligne » (RGPD, art. 4(1))
« Le traitement de données à caractère personnel de telle façonque celles-ci ne puissent plus être attribuées à une personneconcernée précise sans avoir recours à des informationssupplémentaires » (RGPD, art. 4(5))
« Toute opération de collecte et de traitement de données àcaractère personnel nécessaire pour des enquêtesstatistiques ou la production de résultats statistiques »(RGPD, cons. 162)
Granularité
Donnée
pseudonyme
Donnée
statistique
Donnée
personnelle
Donnée
anonyme
« Données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable » (RGPD, cons. 26)
Donnée
pseudonyme
Donnée
statistique
Donnée
personnelle
« Données à caractère personnel rendues anonymes detelle manière que la personne concernée ne soit pas ouplus identifiable » (RGPD, cons. 26)
Donnée
anonyme
Eviter la confusion entre anonymisation et pseudonymisation
Risque de
ré-identification Hors Champ du RGPD
Les données pseudonymisées
restent des données à caractère
personnel
Anonymisation par randomisation et
généralisation
Anonymisation par randomisation
Anonymisation par généralisationPseudonymisation
Obligation de surveiller si la
base de données demeure
anonyme
Risques de ré-identification
2015
Netflix – 2006
AOL – 2006
2014
2017
Pseudonymisation et anonymisation : impacts
opérationnels
02
Eviter les risques de réidentification
DONNÉES
PSEUDONYMISÉES
DONNÉES
AGRÉGÉES
DONNÉES
PERSONNELLES
Données
anonymiséesDonnées supplémentaires
Individualisation
Inférence
Cumul de techniques
écartant respectivement
l’individualisation, la
corrélation et l’inférence
Corrélation
CARACTÈRE PERSONNEL
DE LA DONNÉE
Données supplémentaires : nouvelles bases de données publiées
ou divulguées, bases de données détenues par des tiers
Nouvelles techniques de ré-identification
Mettre en place un processus d’anonymisation : une succession de mesures
Anonymisation
Mesures
juridiques
Mesures
techniques
Mesures
organisationnelles
Mettre en place un processus d’anonymisation : les techniques
Création d’un
identifiant aléatoire
non nominatif
en remplacement
de la donnée
nominativeidentifiable
Hachage et
/ ou salage
Hachage, salage
et chiffrement
déterministe
Agrégation
Injection
de bruit
PSEUDONYMISATION / SUPPRESSION
Substitution
de données
ou
suppression
d’un attribut
GÉNÉRALISATION
MESURES SUCCESSIVES
Retency, CNIL, délib. n° 2017-145, 9 mai 2017
Avis du G29 10 avril 2014, 05/2014 sur les techniques d’anonymisation (WP216)
RANDOMISATION
Utilité des mesures de pseudonymisation
03
Pseudonymisation : quels moments clé ?
• l’existence éventuelle d’un lien entre les finalités
initiales et ultérieures ;
• le contexte, notamment la relation entre le
traitement et les personnesresponsable de
concernées ;
• la nature des données personnelles ;
• les conséquences possibles du traitement ultérieur ;
• l’existence de garanties appropriées (ex.: chiffrement
ou pseudonymisation).
Exemple 1 Exemple 2 Exemple 3 Exemple 4
Collecte d’adresses IP à
des fins de mesures
d’audience
Codage des données de
patients dans le cadre
d’essais cliniques
Suivi des flux de piétons Réutilisation de données de
géolocalisation
Compatible Compatible Compatible /
Incompatible
Incompatible
TRAITEMENT ULTÉRIEUR
TEST DE COMPATIBILITÉ
Afin de vérifier si le traitement ultérieur à une autre fin est compatible, il convient de
prendre en compte (RGPD, art. 6(4)) :
TransmissionCollecte Hébergement
Quels intérêts à la pseudonymisation ?
Un élément de
Privacy by Design
(RGPD, art. 25)
Une mesure de
minimisation
(RGPD, art. 5(1), c)
Une garantie de
sécurité
(RGPD, art. 32)
INTERÊTS
ENISA, 3 décembre 2019, rapport sur les bonnes pratiques de pseudonymisation (« Pseudonymisation techniques and best
practices - Recommendations on shaping technology according to data protection and privacy provisions »)
ENISA, novembre 2018, étude sur la pseudonymisation (« An overview on data pseudonymisation - Recommendations on shaping
technology according to GDPR provisions)
Méthodologie d’étude d’impact
04
Quelle évolution de la réglementation ?
23
COURANT
SENSIBLE
COURANT SENSIBLE COURANT SENSIBLE
COURANT SENSIBLE
LIL DIRECTIVE 95/46 & LIL
1978 19952018
RGPD & LIL
PRIVÉ PUBLIC PRIVÉ PUBLIC PRIVÉ
PUBLIC
DIRECTIVE
2016/680 &
LIL LIL
P
O
L
I
C
E
-
J
U
S
T
I
C
E
S
Û
R
E
T
É
-
D
E
F
E
N
S
E
N
O
N
R
É
G
A
L
I
E
N
COURANT
SENSIBLE
COURANT
SENSIBLE
D
É
C
L
A
R
A
T
I
O
N
A
V
I
S
D
É
C
L
A
R
A
T
I
O
N
A
V
I
S
A
V
I
S
A
U
T
O
R
I
S
A
T
I
O
N
A
I
P
D
A
I
P
D
A
U
T
O
R
I
S
A
T
I
O
N
Quelle place dans l’accountability ?
OBLIGATION GÉNÉRALE DE NOTIFICATION PRÉALABLE
Autorisation pour certains traitements, comme ceux portant sur des données sensibles ou les transferts de données hors de l’Union européenne
Le responsable de traitement doit prendre les mesures pour être en conformité et être capable de le démontrer (RGPD, art. 5(2) et 24) :
• adoption de règles internes (RGPD, consid. 78) ;
• tenue d’un registre des activités de traitement (RGPD, art. 30) ;
• le cas échéant, mise en place d’une étude d’impact (RGPD, art. 35), voire d’une consultation préalable (RGPD, art. 36).
24
AVANT
APRÈS
AUTO-ÉVALUATION
RGPD
Quelles sanctions à ne pas réaliser d’AIPD ?
25
• Avertissement, injonction de
suspendre le traitement ou sanction
pécuniaire
• Montant maximal pouvant aller
jusqu’à 10.000.000 € ou 2% du CA
total mondial consolidé
• Décision potentiellement rendue
publique
SANCTIONS ADMINISTRATIVES AUTRES CONSEQUENCES
• En cas de contentieux, par exemple prud’homale, la
preuve obtenue au moyen d’un traitement n’ayant pas
fait l’objet d’une AIPD, pourtant obligatoire, est illicite
(par analogie, CA Paris, pôle 6, ch. 9, 12 mai 2016,
n°14/10477)
• Impact sur la valorisation de la société, en cas de
cession d’un actif ou d’une activité soumise à AIPD (par
analogie, Cass. com., 25 juin 2013, n° 12-17.037
• En revanche, dans le secteur public, l’absence d’AIPD
n’entraîne pas l’illégalité du traitement (CE, 6 nov.
2019, n°434376)
Quand conduire une étude d’impact ?
Susceptible d’engendrer
un risque élevé
(Art. 35(1), (3), et (4))
Avis du DPO
(Art. 35(2) et
art. 39(1), c))
Absence de
consultation
préalable
Consultation
préalable
DPIA non
nécessaire
Groupe de l’article 29, Lignes directrices DPIA, 4 oct. 2017, WP
248 rév.01, p. 8.
Risques résiduels
élevés?
(Art. 36 (1))
DPIA
(Art. 35(7))
Exception ?
(Art. 35(5) et (10))
Code(s) de
conduite
(Art. 35(8))
Avis des
personnes
concernées
(Art. 35(9))
Traitement revu
par le
Responsable de
traitement
(Art. 35(11))
NO
N
NON OUIOU
I
OUI
NON
Qu’est-ce qu’un « risque » ?
« un scénario qui décrit un événement et ses effets, estimés en terme de gravité et de probabilité »*
Risque
Exemple
*Groupe de l’article 29, Lignes directrices DPIA, 4oct. 2017, WP 248 rév.01, p. 7.
Recours à une nouvelle technologie (telle qu’un dispositif de géolocalisation)
Quand un risque est-il « élevé » ? (1/2)
Risque
« élevé »
Evaluation systématique et approfondie d’aspects
personnels concernant des personnes physiques
qui est fondé sur un traitement automatisé et sur la base de laquelle
sont prises des décisions produisant des effets
juridiques à l’égard d’une personne physique.
Traitement à grande échelle de données
sensibles ou de données relatives à des
condamnations pénales et à des infractions.
Surveillance systématique à grande
échelle d’une zone accessible au public.
• Evaluation ou scoring ;
• Prise de décisions automatisée avec
effet juridique ou effet similaire
significatif ;
• Surveillance systématique ;
• Données sensibles ou donnéesà
caractère hautement personnel ;
• Données traitées à grande échelle ;
• Croisement ou combinaison
d’ensembles de données ;
• Données concernant des personnes
vulnérables ;
• Utilisation innovante ou applicationde
nouvelles solutions technologiques
ou organisationnelles ;
• Traitements pouvant exclure du
bénéfice d'un droit, d'un service ou
d'un contrat*.
Quand un risque est-il « élevé » ? (1/2)
CNIL, délib. n° 2018-327, 11 oct. 2018.
Comment réaliser une AIPD ?
30
DÉCRIRE LE TRAITEMENT ET IDENTIFIER LES RAISONS DE LA
CONDUITE DE L’AIPD
1
• Identifier les risques juridiques, en plus des mesures de conformité
• Identifier les risques techniques au regard du contexte et des sources de menaces
• Evaluer tant la possibilité d’occurrence du risque que sa gravité
IDENTIFIER LES RISQUES
JURIDIQUES ET TECHNIQUES
2
IDENTIFIER LES MESURES POUR
REDUIRE OU SUPPRIMER CES
RISQUES
3
• Avis du DPO, du RSSI, des experts métiers, projectsmanagers, avocat…
• Consultation des personnes concernées, de la CNIL…
• Faisabilité, évaluation des coûts, projection dans le temps
• Attribuer les actions aux bonnes personnes avec des délais
CALCULER LE RISQUE RESIDUEL ET
LE FAIRE VALIDER PAR LE
RESPONSABLE DE TRAITEMENT
4
• Endosser l’AIPD
• Prévoir une date de vérification et mise à jour de l’AIPD
• Prévoir des audits des mesures prévues
Description générale du traitement
31
1
Analyses des risques : critères du risque élevé
• Existe-t-il un traitement de données sensibles ou de données hautement personnelles ?
• Le traitement établit-il une évaluation des personnes concernées, y compris du profilage et de prédiction?
• Le traitement implique-t-il une prise de décision automatisée ?
• Le traitement indique-t-il un contexte de surveillance systématique ?
• Existe-t-il un traitement des données personnelles à grande échelle ?
• Le traitement implique-t-il le croisement ou la combinaison de données ?
• Le traitement inclut-il des données concernant des personnes vulnérables ?
• Le traitement introduit-il une utilisation de technologies qui pourraient être perçues comme intrusives ?
• Le traitement a-t-il pour conséquence d'empêcher les personnes d'exercer un droit ou de bénéficier d'un service ou d'un contrat ?
32Groupe de l’article 29, Lignes directrices DPIA, 4 oct. 2017, WP 248 rév.01, p. 8.
Cette étape permet :• de vérifier les raisons pour lesquelles l’AIPD est conduite ;• de fournir une analyse préliminaire du niveau de risque global impliqué par le traitement.
Critères du G29
2
Analyse des risques : nature des données
Echelle d'estimation de l'impact sur la vie privée lié à la nature des données
• 1 - Mineur : Données non sensibles et limitées à des informations d'état civil et coordonnées
• 2 - Limité : Données non sensibles, susceptibles de révéler des informations sur la vie personnelleou professionnelle
• 3 - Important : Données hautement personnelles (NIR, géolocalisation, coordonnées bancaires...)
• 4 - Maximal : Données sensibles (catégories particulières) au sens du RGPD (révélant l'origineraciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques oul'appartenance syndicale, données génétiques, données biométriques aux fins d'identifier unepersonne physique de manière unique, données de santé ou concernant la vie sexuelle oul'orientation sexuelle, données relatives aux condamnations pénales et aux infractions ou auxmesures de sûreté connexes)
33
2
Analyse des risques : risques juridiques et techniques
34
Echelle d'estimation de la probabilité de réalisation du risque :
1. Mineur : il ne semble pas possible que la menace puisse être réalisée au regard des caractéristiques du traitement.
2. Limité : il semble difficile que la menace puisse être réalisée au regard des caractéristiques du traitement.
3. Important : il semble possible que la menace puisse être réalisée au regard des caractéristiques du traitement.
4. Maximal : il semble extrêmement facile que la menace puisse être réalisée au regard des caractéristiques du traitement.
Echelle d'estimation de la gravité / impact du risque :
1. Mineur : Les personnes concernées ne seront pas impactées ou pourraient connaître quelques désagréments, qu’elles surmonteront sans difficultés
2. Limité : Les personnes concernées pourraient connaître des désagréments significatifs, qu’elles pourront surmonter malgré quelques difficultés
3. Important : Les personnes concernées pourraient connaître des conséquences significatives, qu’elles devraient pouvoir surmonter, mais avec des difficultés réelles et significatives
4. Maximal : Les personnes concernées pourraient connaître des conséquences significatives, voire irrémédiables, qu’elles pourraient ne pas surmonter
Echelle de calcul du niveau de risque juridique
Impact / Gravité
4 - Maximal 4 4 4 4
3 - Important 3 3 4 4
2 - Limité 2 2 3 3
1 - Mineur 1 2 2 3
Probabilité1 -Mineur
2 - Limité3 -Important
4 - Maximal
1 2 3
2
Effectivité des mesures correctives, garanties permettant de réduire les risques identifiés
35
Echelle d'estimation de l'effectivité de la mesure corrective / garantie
1. Négligeable : la mesure n'est pas mise en oeuvre ou ne réduit pas le niveau de risque
2. Limitée : la mesure n'est pas systématiquement mise en oeuvre ou ne réduit que très peu le niveau de risque
3. Importante : la mesure est systématiquement mise en oeuvre mais ne réduit pas complètement le niveau de risque ou ne correspond pas aux recommandations du secteur / à l'état de l'art
4. Maximale : la mesure est systématiquement mise en oeuvre et supprime totalement ou quasi-totalement le risque
2
Important : •attribuer les mesures à une personne ouun service, assorties d’une deadline précise
•suivre la mise en place des mesures lorsdes réunions projet.
1
3
Evaluation du risque résiduel
36
Notation du risque résiduel, au regard du niveau de risque initial et de l’effectivité des mesures correctives/garanties, sans matrice, au regard des justifications apportées
1
Analyse par le responsable de traitement :-Évaluation de la nature acceptable ouaméliorable du niveau de risque résiduel ;-Vérification par un tiers ;-Validation par le responsable de traitement
2
4
Évaluation de la nécessité et de la proportionnalité
Évaluation desrisques pour lesdroits et libertés
Mesures envisagées pour faire face aux
risques
Documentation
Suivi et examen
• mener l’AIPD dès les premières
étapes du traitement des données
afin d'identifier les risques à un
moment où le traitement des données
peut encore être modifié (privacy by
design) ;
• l’AIPD doit être signée par les
personnes appropriées dans
l'entreprise ;
• une procédure de révision doit être
mise en place, non seulement lorsque
le traitement des données est modifié,
mais de temps en temps, afin de
vérifier si les risques ont changé pour
d'autres raisons
Processus
Attention
au « release and forget »
Quel suivi ?Description des opérations de
traitement envisagées
Évaluation de la nécessité et de la proportionnalité
Évaluation des risques pour les droits et libertés
Mesures envisagées pour faire face aux
risques
Documentation
Suivi et examen
Quand consulter préalablement la CNIL ?
Consultation préalable
Lorsque les individus ne seraient pas susceptibles de pouvoir surmonter
les risques :
Ex.: Accès illégitime à leurs données de nature à
menacer leur vie, entraîner une mise à pied,
mettre en péril leur situation financière.
Lorsqu’il semble évident que le risque se concrétisera :
Ex.: Dans la mesure où il n’est pas possible de réduire le nombre de
personnes accédant aux données en raison de leurs modes de partage,
d’utilisation ou de distribution.
Lorsque le responsable de traitement ne parvient pas à identifier des mesures suffisantes pour réduire les risques à un niveau
acceptable.
Lorsque l’analyse d’impact indique que le traitement présenterait un risque élevé, c’est-à-dire les conséquences importantes pour
les personnes concernées, si le responsable de traitement ne prenait pas de mesures pour l’atténuer.
MERCI DE VOTRE
ATTENTION
