Dans une décision du 8 février 2017, le Conseil d’Etat est venu préciser ce qu’il faut entendre par « données anonymisées » par opposition aux « données pseudonymisées ». Cette distinction n’est pas neutre juridiquement puisque leur traitement n’est pas soumis au même régime, seul le traitement des secondes étant pleinement soumis à la loi n°78-17 dite « informatique et libertés ».

Cette affaire concerne un projet imaginé par la société JCDecaux qui visait à compter les flux de piétons sur la dalle piétonne de La Défense, grâce à des boitiers de comptage WIFI, installés sur des mobiliers publicitaires et destinés à capter les adresses des appareils mobiles présents dans cet espace. L’idée était donc de mesurer les volumes de fréquentation et les taux de répétition, à des fins essentiellement publicitaires.

La société JCDecaux avait sollicité, pour ce traitement, une autorisation de la CNIL car, en application du Code de l’environnement (article L. 581-9), tout outil de mesure d’audience installé sur un dispositif publicitaire doit faire l’objet d’une telle autorisation. Malheureusement, cette autorisation lui avait été refusée, car le dispositif n’était pas, selon la CNIL, conforme à la loi n°78-17, en raison de l’information préalable donnée aux passants, considérée comme insuffisante.

Pour la société JCDecaux, cette décision est aberrante, puisque les données étant anonymisées après leur collecte, elle devait bénéficier du régime dérogatoire permettant la délivrance d’une information plus limitée que celle prévue dans le cas d’une collecte de données n’ayant pas vocation à être anonymisées.

Seulement voilà, la CNIL a considéré que les données collectées n’étaient pas anonymisées mais pseudonymisées. La société JCDecaux se devait donc de délivrer une information complète aux passants, ce qu’elle ne faisait pas.

Voici ce que la CNIL retenait :

« La finalité du traitement telle qu’exposée viserait à compter le nombre de terminaux mobiles détectés, mais aussi à mesurer la répétition – c’est-à-dire la récurrence de passage (…) et à déterminer les parcours susceptibles d’être réalisés (…). Dès lors, l’objectif du projet que la société JCDecaux souhaite mettre en œuvre ne viserait pas seulement à évaluer le nombre de personnes qui passent sur l’esplanade de La Défense sur une durée d’un mois, mais à estimer le nombre de passants, leurs parcours et le nombre de fois où un même passant repasse sur l’esplanade sur une période donnée.

Or, pour qu’une solution d’anonymisation soit efficace, elle doit empêcher toutes les parties d’isoler un individu dans un ensemble de données, de relier entre eux deux enregistrements dans un ensemble de données (…). Ces critères n’étant pas compatibles avec la finalité du projet que la société JCDecaux souhaite mettre en œuvre, ils ne sont pas satisfaits par le procédé présenté, ce dernier étant une technique de pseudonymisation, permettant toujours la corrélation et l’inférence. »

C’est dans ce contexte que la société JCDecaux a saisi le Conseil d’Etat pour obtenir l’annulation de cette délibération.

Elle n’a pas obtenu gain de cause, la haute juridiction administrative considérant que les données collectées n’étaient pas anonymisées, mais bien pseudonymisées :

« Une donnée ne peut être regardée comme rendue anonyme que lorsque l’identification de la personne concernée, directement ou indirectement, devient impossible que ce soit par le responsable du traitement ou par un tiers. Tel n’est pas le cas lorsqu’il demeure possible d’individualiser une personne ou de relier entre elles des données résultant de deux enregistrements qui la concernent. »

Ainsi, dès lors que le traitement réalisé sur une donnée permet d’attribuer à cette donnée la personne concernée en ayant recours à des informations supplémentaires, alors la donnée est dite pseudonymisée. En revanche, si le traitement réalisé sur la donnée ne permet plus du tout – quel que soit le procédé utilisé – de lui attribuer la personne concernée, alors la donnée est dite anonymisée.

Une telle décision va dans le sens du règlement européen sur la protection des données (RGPD) et notamment de la définition qu’il donne de la « pseudonnymisation » (article 4).