L’autorité espagnole de protection des données (appelée Agencia Española de Protección de Datos ou « AEPD ») et le Contrôleur européen de la protection des données (ou « CEPD ») ont publié le 4 novembre 2019 un document détaillant différentes techniques de hachage pouvant être mises en œuvre aux fins de pseudonymisation des données à caractère personnel.
La publication de ce document est l’occasion de rappeler que, parmi les mesures techniques et organisationnelles devant être déployées par un responsable de traitement en vue d’assurer la sécurité des données à caractère personnel, la pseudonymisation est une mesure pouvant opportunément être envisagée pour réduire le lien de corrélation entre les données d’identification et les autres données relatives à une personne concernée, et ainsi augmenter le niveau de sécurité, et notamment de confidentialité, des données à caractère personnel traitées.
Anonymisation vs. pseudonymisation
Pour mémoire, la pseudonymisation désigne « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable » (cf. article 4 du Règlement 2016/679 du 27 avril 2017 sur la protection des données dit « RGPD ») et figure parmi les mesures techniques et organisationnelles de sécurité présentées à l’article 32 du RGPD et susceptibles de garantir un niveau de sécurité adapté aux risques encourus s’agissant des données à caractère personnel faisant l’objet d’un traitement.
La pseudonymisation doit être distinguée de l’anonymisation. En effet, contrairement à la pseudonymisation qui permet d’assurer un certain niveau de sécurité des données, sans leur faire toutefois perdre leur qualification de “données à caractère personnel”, l’anonymisation des données a vocation à ce que celles-ci ne permetttent plus de ré-identifier une personne déterminée. En effet, pour rendre des données « anonymes », le G29 précise qu’il faut en retirer suffisamment d’éléments pour que la personne concernée ne puisse plus être identifiée. Plus précisément, les données doivent être traitées de façon à ne plus pouvoir être utilisées pour identifier une personne physique, et ce de manière irréversible et définitive, en recourant à l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre, soit par le responsable de traitement, soit par un tiers (G29, Avis 05/2014 sur les techniques d’anonymisation adopté le 10 avril 2014, WP216). Il résulte donc de la mise en œuvre de techniques d’anonymisation de données à caractère personnel que lesdites données ne constituent plus des données à caractère personnel.
Pour s’assurer qu’une technique d’anonymisation des données est efficace, le G29 et la Commission nationale de l’informatique et des libertés (ou « Cnil ») recommandent de passer en revue les trois critères suivants :
- l’individualisation : est-il possible d’isoler un individu ?
- la corrélation : est-il possible de relier entre eux des ensembles de données concernant un même individu ?
- l’inférence : est-il possible de déduire, avec un degré de probabilité élevé, des informations sur un individu ?
Un ensemble de données pour lequel il n’est possible ni d’individualiser ni de corréler ni d’inférer est a priori anonyme. Si toutefois l’un des critères précités n’est pas réuni, alors il conviendra de mener une analyse détaillée des risques de ré-identification pour déterminer s’il peut être considéré que les données concernées sont anonymes ou non.
Si l’anonymisation de données à caractère personnel doit parfois être recherchée afin de s’assurer que les données ne revêtent justement plus un “caractère personnel”, il est dans certaines hypothèses inopportun, voire impossible, en fonction des finalités poursuivies par un traitement de données à caractère personnel, de procéder à une réelle anonymisation. Dans une telle situation, alors la pseudonymisation des données à caractère personnel doit être envisagée. En tout état de cause, la question de l’opportunité, voire de la nécessité, d’implémenter pour tel ou tel traitement un procédé de pseudonymisation doit être posée au cas par cas, étant précisé qu’un tel procédé a le mérite d’assurer un niveau de sécurité des données en principe élevé, à condition d’être déployé selon des modalités permettant de s’assurer notamment de l’intégrité et de la confidentialité des données concernées.
La fonction de hachage : une mesure de pseudonymisation pouvant permettre de limiter les risques pour les personnes concernées
La fonction de hachage est définie par l’Agence nationale de la sécurité des systèmes d’information (ou « Anssi ») comme étant « la fonction cryptographique qui transforme une chaîne de caractères de taille quelconque en une chaîne de caractères de taille fixe et généralement inférieure ». Concrètement, cette technique permet d’associer à un message, à un fichier ou à un répertoire, une empreinte unique.
Ainsi que le relèvent l’AEPD et le CEPD, le hachage, appliqué à des données à caractère personnel, a pour objectif de rendre la reconstruction des données initiales, et donc la ré-identification des personnes concernées, extrêmement difficile, voire impossible.
Pour s’en convaincre, il peut être précisé que les fonctions de hachage sont par exemple utilisées dans le cadre de mécanismes de conservation des mots de passe (et ainsi éviter leur conservation « en clair »), ou encore intégrées à des procédés de signatures électroniques ou au mode de fonctionnement des blockchains.
La mise en place de fonctions de hachage peut donc être une piste intéressante à explorer en vue du déploiement de mesures de pseudonymisation.
A cet égard, le document élaboré par l’AEPD et le CEPD rappelle l’utilité que peut présenter le déploiement de fonctions de hachage à des fins de pseudonymisation. Toutefois, il détaille également les sources de risques de ré-identification et de collision en donnant des exemples concrets de situations dans lesquels le hachage n’est pas suffisant pour limiter le risque de ré-identification, notamment lorsque des recoupements avec d’autres informations peuvent être mis en œuvre, et donne des pistes pour limiter voire empêcher une telle ré-identification.
Il est notamment recommandé de mettre en œuvre la fonction de hachage au moyen d’une clé secrète. En effet, si le hachage permet d’assurer l’intégrité d’une information, il est toutefois nécessaire d’utiliser une fonction de hachage “à clé secrète” pour assurer un niveau de sécurité supplémentaire puisqu’une telle clé a vocation à assurer la confidentialité du message, étant précisé que la complexité de la clé secrète, ou encore la mise en place de techniques complémentaire (salage par exemple), sont également des facteurs dont il convient de tenir compte et/ou qu’il convient d’envisager afin de renforcer le niveau de protection que ce procédé de pseudonymisation a vocation à apporter.
Enfin, ainsi que la Cnil a déjà pu le préciser, en l’absence de besoin de ré-identification, la clé secrète peut être supprimée pour diminuer le risque de ré-identification. En revanche, si la conservation de la clé secrète est nécessaire, des mesures doivent être mises en place pour assurer la confidentialité de cette clé et il est notamment conseillé de tracer les accès à cette clé ou encore de soumettre contractuellement les détenteurs de cette clé à une obligation renforcée de confidentialité et à un engagement et une garantie de leur part de ne pas, sauf hypothèses exceptionnelles expressément prévues, utiliser ladite clé à des fins de ré-identification.
La fonction de hachage : une mesure devant être évaluée au regard des risques pour les personnes concernées
Ainsi que le relèvent l’AEPD et le CEPD, il convient en tout état de cause de déterminer au cas par cas, in concreto, si une telle technique de pseudonymisation est appropriée pour assurer la sécurité des données à caractère personnel conformément aux exigences de l’article 32 du RGPD.
De manière générale, il convient de préciser que la pseudonymisation des données à caractère personnel, laquelle peut résulter de la mise en œuvre de fonctions de hachage, « peut réduire les risques pour les personnes concernées et aider les responsables du traitement et les sous-traitants à remplir leurs obligations en matière de protection des données » (cf. considérant 28 du RGPD), et figure parmi les mesures pouvant être opportunément déployées aux fins d’assurer la sécurité, et notamment la confidentialité, des données.
Toutefois, la mise en œuvre d’une telle mesure n’exclut pas toute autre mesure de protection des données à caractère personnel dont le déploiement pourrait être nécessaire compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement envisagé ainsi que des risques pour les droits et libertés des personnes concernées. A titre d’illustration, dans le cadre de projets pour lesquels des traitements de données à caractère personnel doivent être mis en œuvre et nécessitent un niveau de sécurité renforcé (ex: projets de type “big data” ou dispositifs dont le fonctionnement repose sur l’intelligence artificielle et nécessitant le traitement massif de données), alors les fonctions de hachage peuvent nécessiter d’être couplées avec des mesures de sécurité supplémentaires, tels que des procédés de chiffrement par exemple.
A cet égard, il est recommandé d’apprécier le niveau de sécurité et le caractère approprié des fonctions de hachage, et plus généralement des mesures de pseudonymisation mises en œuvre, dans le cadre des analyses d’impact relatives à la protection des données (ci-après désignées « AIPD »). Pour mémoire, conformément à l’article 35 du RGPD, lorsqu’un traitement, compte tenu de la nature, de la portée, du contexte et des finalités du traitement, « est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel »[1].
Une telle AIPD doit notamment comporter :
- une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable de traitement ;
- une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités poursuivies ;
- une évaluation des risques pour les droits et libertés des personnes concernées ;
- les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect de la réglementation applicable en la matière, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.
En tout état de cause, qu’une AIPD soit ou non obligatoire, il convient pour chaque traitement de données à caractère personnel mis en œuvre d’étudier si la pseudonymisation est une mesure de sécurité des données appropriée, voire nécessaire, qu’il convient de déployer et dans quelles conditions et selon quelles modalités (cf. caractéristiques techniques, mesures techniques ou organisationnelles de sécurité complémentaires,…), notamment aux fins de limiter les risques de ré-identification et donc ceux pouvant résulter du traitement de données à caractère personnel envisagé pour les droits et libertés des personnes concernées.
* *
*
Il résulte de ce qui précède que la publication du document de l’AEPD et du CEPD est l’occasion de rappeler que les mesures de pseudonymisation, notamment par la mise en œuvre de fonctions de hachage, doivent être prises en considération par les responsables de traitement dans le cadre de la détermination des mesures appropriées qu’il convient de déployer en vue de préserver la sécurité des données à caractère personnel qu’ils traitent, en particulier pour chaque traitement identifié comme étant « à risque », notamment lorsqu’une analyse d’impact est requise, et que les modalités d’implémentation de telles mesures (cf. caractéristiques techniques, mesures techniques ou organisationnelles de sécurité complémentaires,…) doivent être réfléchies pour être adaptées aux risques résultant dudit traitement.
Par AGIL’IT – Pôle IT, Data protection & Télécoms
Laure LANDES-GRONOWSKI, Avocate associée
Marie MILIOTIS, Avocate
[1] A toutes fins utiles, la Cnil a publié une liste des traitements pour lesquels une analyse d’impact relatives à la protection des données (ci-après désigné « AIPD ») est requise ainsi qu’une liste des traitements non soumis à la réalisation d’une AIPD.