Données personnelles anonymisées

L’anonymisation est le résultat du traitement des données personnelles afin d’empêcher, de façon irréversible, toute identification. Ce faisant, les responsables du traitement des données doivent tenir compte de plusieurs éléments, en prenant en considération l’ensemble des moyens « susceptibles d’être raisonnablement mis en œuvre » à des fins d’identification (soit par le responsable du traitement, soit par un tiers).

Le code postal, le sexe, la date de naissance permet de reconnaître 87 % des américains (Latanya Sweeney, Simple Demographics Often Identify People Uniquely. Data Privacy WorkingPaper, Pittsburgh 2000).

Le recoupement d'arrêts anonymes, relatifs aux recours en matière de fixation des prix des médicaments, avec d'autres fichiers en libre accès, a permis de ré-identifier 84 % des entreprises concernées (Kerstin Noëlle Vokinger, Gesundheitsdaten im digitalen Zeitalter, in: Jusletter27. Januar 2020, p. 6; ATPrD FR)

Pseudonymisation

Le Tribunal de l’Union européenne (TUE) (^{arrêt T-557/20 du 26 avril 2023}) soutient que les données pseudonymisées aux yeux du destinataire ne constituent pas des données personnelles soumises aux règles y relatives. Lors d’un envoi de données, il s’agit donc d’examiner rigoureusement la qualité de la pseudonymisation ; c’est-à-dire de déterminer si le destinataire dispose de moyens légaux et réalisables en pratique lui permettant d’accéder aux informations supplémentaires nécessaires à la réidentification des personnes concernées.

Cette détermination va dans le sens de l'arrêt Logistep SA (^{ATF 136 II 508}), dans lequel la problématique était inversée : Logistep SA collectait les adresses IP de personnes susceptibles de violer des droits d'auteur et les transmettait aux ayants droit, qui pouvaient retrouver l'identité des contrevenants avec l'aide des autorités pénales : Pour Logistep, les adresses IP ne constituaient pas des données personnelles, mais leur transmission à une autre partie, qui pouvait identifier les personnes concernées, l'était.

 La question de savoir si une information peut être mise en relation avec une personne sur la base de données supplémentaires, c'est-à-dire si l'information se rapporte à une personne identifiable (art. 3, let. a LPD), s'apprécie du point de vue du détenteur de l'information […] Dans le cas de la transmission d'informations, il suffit que le destinataire soit en mesure d'identifier la personne concernée (^{ATF 136 II 508, consid. 3.4}).

Mais attention, la pseudonymisation soulève trois problématiques particulières :

• La situation présente certains risques pour celui qui transmet les données : en effet, alors que les données restent en principe pour lui des données personnelles (puisqu’il détient le code), le destinataire des informations ne sera, lui, pas soumis aux règles de protection des données, puisque les informations reçues ne seront pas, pour lui, des données personnelles. Cette situation peut poser des problèmes à celui qui transfère des données, qui s’est potentiellement engagé envers les personnes concernées à traiter les données d’une certaine manière. Au demeurant, en cas de violation de la sécurité des données chez le destinataire, celui-ci ne sera légalement pas tenu de notifier le responsable du traitement, alors que le responsable du traitement sera quant à lui tenu à des obligations d’annonce.

• L’analyse juridique dépend d’une situation factuelle spécifique (le data environment), basée sur les moyens raisonnablement à disposition du destinataire. Si la situation factuelle change, par exemple parce que le destinataire transmet à son tour les données (qui sont anonymes pour lui) à des tiers, ou les publie sur internet, l’analyse juridique change également et des données qui ont été anonymes pendant un moment peuvent soudainement redevenir personnelles (^{Alexandre Jotterand, Des données personnelles pseudonymisées transférées à un tiers deviennent-elles anonymes ?, 13 juin 2023 in www.swissprivacy.law/232}).

• Les données soumises à la LRH ne peuvent pas être pseudonymisées, mais uniquement anonymisées pour se soustraire des règle relatives à la protection des données personnelles (^{Frédéric Erard, Les données codées dans le contexte de la recherche: personnelles ou anonymes ?, in: PJA 2021, p. 606.}).

Au vu de ces problématiques, la communication de données pseudonymisées doit être accompagnée d'engagements contractuels pour y parer.

1. Lorsqu’une entité ne répond pas à une demande fondée sur la CPDT-JUNE rapidement, comme les art. 39 et 76 CPDT-JUNE le prévoient, la partie demanderesse peut demander au PPDT la tenue d’une séance de conciliation (art. 40 CPDT-JUNE) (voir modèles) (dossier 2023.4954).

2. Le service de la santé jurassien est en droit de communiquer des données anonymisées liées aux hospitalisations extérieures des patients jurassiens à H-JU, pour que ce dernier puisse analyser ce choix. H-JU n’est pas en droit de croiser les données avec d’autres fichiers pour identifier les personnes concernées (dossier 2019.2631).

3. Les statistiques communales ou cantonales ne permettant pas de reconnaître des personnes sont accessibles par tout un chacun et ne constituent pas des données personnelles protégées (dossier 2019.2644).

4. S'il n'est pas possible de suffisamment anonymiser une décision administrative avant de la publier (sa lecture permet d'identifier les personnes concernées), il faut informer ces dernières qu’il est envisagé de publier des données les concernant. S’ils s’opposent, il s’agira de faire une pesée entre l’intérêt public d’informer la population dans un tel cas d’espèce et l’intérêt privé à préserver leur personnalité (dossier 2015.1276).

5. Selon la jurisprudence du Tribunal administratif fédéral (arrêt A-5430/2013), il n'est en principe pas possible de connaître l'identité d'une personne qui dénonce un abus à l'assurance invalidité (dossier 2010.0086).

6. Si un particulier communique des doutes sur l'aptitude à la conduite d'une autre personne à l'autorité cantonale, son anonymat est garanti par l'article 30a OAC  (dossier 2014.0674).

1. Lorsqu’une entité ne répond pas à une demande fondée sur la CPDT-JUNE rapidement, comme les art. 39 et 76 CPDT-JUNE le prévoient, la partie demanderesse peut demander au PPDT la tenue d’une séance de conciliation (art. 40 CPDT-JUNE) (voir modèles) (dossier 2023.4954).

2. La liste anonymisée des anciens contrôles du SCAV, par type d'établissement public et indiquant le résultat, est en principe accessible, à moins qu'une exception au sens des art. 69 à 72 CPDT-JUNE soit réalisée ou que l’art. 24 LDAl ne s’y oppose (dossier 2022.4218).

3. La publication d’un rapport sur internet doit être complètement anonymisé, faute de base légale adéquate. En revanche, la version non publiée par ce biais peut appliquer les principes suivants :
   a) Les personnes exerçant un mandat public, comme les membres du Conseil d’Etat, sont citées nommément.
   b) Les chefs de service et autres hauts fonctionnaires, dont la fonction est facilement associable à leur nom, sont aussi cités nommément.
   c) Les personnes externes à l’administration dont la presse a fait état ou qui ont été ou sont impliquées dans des procédures en cours sont mentionnés sous un pseudonyme.
   d) Les collaborateurs de l’Etat assumant des fonctions subalternes et dont les intérêts sont directement touchés par l’enquête sont mentionnés sous un pseudonyme.
   e) Les établissements publics, où certains faits notables se sont déroulés, sont mentionnés sous un pseudonyme (dossier 2022.4223).

4. Les statistiques communales ou cantonales ne permettant pas de reconnaître des personnes sont accessibles par tout un chacun et ne constituent pas des données personnelles protégées (dossier 2019.2644).

5. Il n'est pas nécessaire de faire figurer le nom des employés dans un budget communal publié ou accessible au public (dossier 2018.2598).

L'anonymisation de documents officiels consiste à caviarder ces derniers de manière à ce que les personnes mentionnées ne soient reconnaissables d'aucune manière.

Exemples

• Si le texte mentionne un ancien président de la République française, marié à une chanteuse, le caviardage du nom de l'intéressé ne suffit pas.

• Un document mentionnant uniquement un numéro de plaque minéralogique contient une donnée personnelle (^{Pour plus de détails à propos de l'anonymisation et pour connaître les références jurisprudentielles, il est vivement encouragé de parcourir l'article "Principes de procédure poussés dans les cordes par celui de la transparence ?", p. 149 à 171, et des bonnes pratiques qui y sont suggérées (p. 168)}).

Si une autorité craint que son anonymisation ne soit pas suffisante, il lui est conseillé d'offrir le droit d'être entendu aux parties concernées, par exemple, en venant consulter les documents sur place et en s'assurant qu'aucune copie ne sorte des lieux. Ainsi celles-ci pourront se prononcer en toute connaissance sur la communication ou non du document officiel demandé.

Si une opposition est formulée, il appartiendra à l'entité sollicitée de la traiter en fonction des arguments soulevés. Elle a les options suivantes :

• Augmenter le caviardage jusqu'à l'accord.

• Lever l'opposition s'il est jugé que les arguments sont infondés.

• Confirmer l'opposition si l'argumentation est pertinente. Mais dans ce cas, elle doit envisager d'élaborer un résumé pour la partie demanderesse.