C’est pourtant ce qui a été reproché à deux organismes de recherche français et au gestionnaire du registre du cancer de Hambourg, récemment.
Le second s’est ainsi vu rappeler que même hachée au moyen d’un procédé irréversible, la donnée conserve un caractère personnel. La décision est logique : elle s’inscrit dans la lignée de la jurisprudence de la CEDH (S. et Marper c/ Royaume-Uni, 2008). Et pour mémoire, le chiffrement de la donnée n’écarte pas non plus le caractère personnel de la donnée (Kirdök c/ Turquie, 2019).
Quant aux responsables de traitement français, la CNIL leur a rappelé que le formulaire d’information doit évoquer le pseudonymat, et non revendiquer l’anonymat.
D’aucuns se seraient doutés de ce que confondre anonymat et pseudonymat pour échapper à l’application du RGPD peut prêter à de lourdes conséquences.
Cet exemple français illustre que ladite confusion – même bien intentionnée, puisque guidée par un souci de simplification à l’égard des sujets d’une recherche, et sans effet sur l’application du RGPD – peut conduire à la sanction. Il est permis ici de regretter que la publication de la Commission ne précise pas le type de recherche concernée. L’éventuelle validation du recours à un terme en lieu et place de l’autre par un CPP éclairerait la solution sous un jour quelque peu différent.
Rappelons que seul un procédé répondant aux strictes conditions posées par le G29 en 2014 (et aujourd’hui toujours en cours de révision) permet d’anonymiser des données. Et que ce procédé constitue un traitement de données.