Rédigé par : Bart Van Buitenen

L’arrêt SRB est totalement sans intérêt pour 95 % des DPO

« Voilà, c’est dit. » Maintenant que la poussière est quelque peu retombée et que le flot de publications LinkedIn analysant les subtilités de la définition des données à caractère personnel s’est tari, il est temps d’examiner ce qu’un DPO sur le terrain peut réellement faire de cet arrêt. Spoiler : pas grand-chose.

Comme tout titre accrocheur, la nuance intervient un ou deux paragraphes plus loin. Dans une perspective plus large relative à l’interprétation du RGPD et à la notion de données à caractère personnel, l’affaire SRB est évidemment intéressante. C’est pourquoi de nombreux articles académiques et analyses juridiques lui ont déjà été consacrés, et pourquoi DPI l’aborde également lors des sessions Stay Tuned. Toutefois, les DPO ont les pieds dans la réalité opérationnelle de la protection des données, et pour beaucoup d’entre eux, cette réalité semble désormais encore plus complexe.

Pourquoi l’arrêt SRB a-t-il peu d’impact pour le DPO ?

Un élément trop rarement mentionné concernant l’affaire SRB est le contexte très spécifique dans lequel l’arrêt a été rendu. Comme nous le savons de la jurisprudence de la Cour, toute conclusion doit être interprétée dans ce contexte précis. SRB a communiqué des données spécifiques, d’une manière spécifique, et avait mis en place des mesures spécifiques. Il serait excessif d’en détailler tous les aspects ici, mais il suffit de constater que ce contexte particulier ne s’applique pas à de nombreuses situations dans lesquelles l’arrêt SRB est aujourd’hui invoqué avec empressement.

À plusieurs reprises, les actions suivantes ont été évoquées à la suite de l’arrêt SRB :

• Identifier les destinataires des données pseudonymisées dans votre déclaration de confidentialité
• Examiner vos accords de partage de données relatifs aux données pseudonymisées
• Réévaluer vos flux de données

Votre organisation échange-t-elle fréquemment des ensembles de données complexes pseudonymisées ou anonymisées ? Dans ce cas, ces recommandations peuvent être pertinentes. Mais encore une fois, 95 % des DPO ne travaillent pas dans ce type d’organisation et n’ont donc pas lieu de s’inquiéter.

Un groupe de DPO particulièrement concerné est celui du secteur de la santé. Plusieurs DPO ont indiqué être confrontés à des tiers souhaitant accéder aux données détenues par des établissements de soins. Souvent, le médecin concerné ou la direction y voit également un intérêt, ces échanges pouvant être assortis d’une rémunération. Ces demandes avaient précédemment été refusées sur avis du DPO, mais les demandeurs reviennent désormais en invoquant l’arrêt SRB.

Le DPO, déjà fréquemment amené à opposer un refus, se voit désormais confronté à des critiques internes : « Pourtant, la plus haute juridiction a jugé que les données sont anonymes ! » Votre réponse simple en tant que DPO : « Pouvez-vous démontrer en quoi la situation décrite dans l’arrêt SRB s’applique au transfert de données envisagé ? » Autrement dit, démontrez que les données dans cette situation sont effectivement anonymes et le demeurent. N’oubliez pas ce dernier point : dans un monde marqué par l’IA, la réidentification des données est facilitée, et la probabilité que des ensembles de données complexes soient véritablement anonymes s’en trouve encore réduite.

Parfois, le meilleur conseil est que quelqu’un d’autre doit le donner

Puisque nous abordons la question de l’anonymisation, les DPO en Belgique ont une responsabilité supplémentaire prévue par la loi relative à la protection des données (également appelée loi-cadre). Conformément à l’article 204 :

Article 204. Lorsqu’un délégué à la protection des données a été désigné conformément à l’article 190, celui-ci donne des conseils sur l’utilisation des différentes méthodes de pseudonymisation et d’anonymisation, en particulier quant à leur efficacité en matière de protection des données.

Cette disposition est souvent interprétée comme imposant au DPO de confirmer que les données sont suffisamment anonymisées. Je me considère comme un DPO expérimenté, mais déclarer anonymes des ensembles de données complexes dépasse mes compétences, tout comme conseiller sur les méthodes à appliquer. Il m’arrive fréquemment d’affirmer qu’un ensemble de données n’est pas anonyme ; je suis beaucoup plus prudent lorsqu’il s’agit d’affirmer l’inverse.

C’est ici que je rappelle un principe essentiel : parfois, le meilleur conseil est que quelqu’un d’autre doit le donner. Il existe des acteurs spécialisés, appelés trusted third parties (ou « tiers de confiance » au sens de l’article 203 de la loi-cadre), ou d’autres experts, susceptibles de rendre un tel avis. Si le responsable du traitement considère la question suffisamment importante, il peut et doit faire appel à ce type d’expertise.