GuiGui's Show

Les malfaisants en matière de vie privée, dont la Commission européenne dans son projet législatif Digital omnibus (même si elle semble être revenue sur ce point), déforment ou, a minima, ont une lecture extensive / maximaliste, de l'arrêt C-413/23 (EDPS contre SRB aka CRU aka consortium de résolution) de la CJUE afin de réduire drastiquement ce que recouvre la notion de données à caractère personnel afin qu'un maximum de traitements, notamment les plus intrusifs, échappent au RGPD.

Rappel de la définition d'une donnée à caractère personnel (DCP). Cet arrêt de la CJUE ne revient pas sur le fait qu'une personne peut être identifiable sans qu'un responsable de traitement détienne son identité civile. Point 49 : une information est une DCP lorsqu'elle est liée à une personne identifiable fonction de son contenu, de sa finalité, ou de son effet.

L'analyse pointée expose en quoi cette position est infondée. En résumé :

• Dans le cas d'espèce jugé par la CJUE, les données étaient agrégées et réellement anonymes (l'identifiant portait sur un commentaire, pas sur une personne, et plusieurs commentaires similaires au sein d'une thématique avaient un même ID), loin de la pseudonymisation usuelle. Cas peu propice à la généralisation ;
  
  
• La réidentification reste contextuelle (quels moyens dans chaque cas), pas subjective (en fonction de l'entité) en absolu. L'arrêt de la CJUE doit être lu avec le reste de sa jurisprudence, qu'il confirme.

Voir aussi l'analyse moins accessible de noyb.

Le CEPD est retoqué sur l'affirmation que des données pseudonymisées sont toujours des données identifiantes, donc des DCP (point 80). Des données pseudonymisées transmises à un tiers peuvent permettre à ce denier de lever, directement ou indirectement (point 79), la pseudonymisation, y compris par recoupement, via des moyens raisonnables (moyens déraisonnables : illégaux ou coûteux), y compris en forçant légalement d'autres tiers. Ex. (point 84) : une mise à disposition d'une liste de plaque d'immatriculation peut permettre à autrui, qui disposent des moyens idoines (connaissance d'une plaque, accès au fichier de immatriculation, etc.), d'identifier une personne. Bref, la CJUE répète ce qu'on a toujours su.

De plus, l'information lors de la collecte, y compris des destinataires, ne dépend pas des possibilités d'identification dont disposerait un destinataire :

103 S’agissant, plus particulièrement de l’information relative aux éventuels destinataires des données à caractère personnel, visée à l’article 15, paragraphe 1, sous d), dudit règlement, il s’agit d’une information, à fournir parmi d’autres, lors de la collecte des données auprès de la personne concernée.

[…]

108 Dans ces conditions, il apparaît que l’obligation de fournir à la personne concernée – au moment de la collecte des données à caractère personnel en lien avec elle – l’information relative aux éventuels destinataires de ces données a notamment pour objectif de permettre à cette personne de décider en pleine connaissance de cause si elle fournit ou, au contraire, refuse de fournir ses données à caractère personnel collectées auprès d’elle.

109 Il convient d’ajouter que, comme la Commission l’a, en substance, soutenu lors de l’audience, l’information relative aux éventuels destinataires est, certes, également indispensable pour que la personne concernée puisse, ultérieurement, défendre ses droits à l’encontre de ces destinataires. Toutefois, l’obligation de fournir cette information au moment de la collecte des données à caractère personnel garantit, notamment, que ces données ne soient pas collectées par le responsable de traitement contre la volonté de la personne concernée, voire transférées contre son gré à des tiers.

[…]

113 […] En effet, ainsi qu’il ressort des points 102 à 108 du présent arrêt, cette disposition régit l’obligation d’information incombant au responsable du traitement au moment de la collecte de telles données. Or, la question de savoir si le responsable du traitement a, à ce moment, respecté son obligation d’information ne saurait dépendre des possibilités d’identification de la personne concernée, dont disposerait, le cas échéant, un éventuel destinataire après un transfert ultérieur des données en cause.