SHREMS 2 : la pseudonymisation, seule mesure applicable pour l’essentiel des traitements dans le Cloud

Afin d’empêcher les autorités Américaines d’accéder aux données dans le Cloud, le CEPD propose 2 mesures techniques : la pseudonymisation et le chiffrement, mais précise concernant le chiffrement, que les importateurs de données ne doivent pas entrer en possession des clés de chiffrement/déchiffrement. Cependant, ces clés sont nécessaires pour bénéficier de l’essentiel de leurs services managés. Sachant que les fournisseurs en défaut constituent à eux seuls plus de 70% du marché (les GAFAM), la pseudonymisation est donc la seule mesure applicable pour l’essentiel des services dans le cloud. Cependant, la pseudonymisation elle-même nécessite des mesures particulières, notamment pour éviter les risques de ré-identification…

Après l’invalidation du Privacy Shield en Juillet 2020, visant à empêcher aux autorités Américaines d’accéder illégalement aux données de résidents Européens, le CEPD formule des recommandations permettant d’assurer un niveau de protection de données équivalent aux garanties exigées par le droit de l’Union Européenne. Il définit dans ce sens, différentes mesures supplémentaires à adopter – en plus des Clauses Contractuelles Type (CCT) déjà en vigueur -, d’ordre juridique, technique et organisationnel. Cependant, le CEPD précise que les mesures techniques sont incontournables :

« […] les CCT ou tout autre instrument de transfert visé à l’article 46 du RGPD ne peuvent être utilisés pour ledit transfert que si des mesures techniques supplémentaires rendent impossible ou inopérant l’accès aux données transférées. »

Ainsi, tout processus de mise en conformité doit prendre en compte les mesures techniques.

Deux principales mesures techniques sont définies par le CEPD : le chiffrement (au repos et en transit) et la pseudonymisation. Le chiffrement vise à transformer les données sous une forme inintelligible afin de les protéger au repos (ex : dans des bases de données) et en transit (ex : lors du transfert entre 2 serveurs). La pseudonymisation quant à elle, vise à transformer les données vers une forme non identifiable par le destinataire, afin de protéger l’identité des personnes concernées.

Cependant, certaines précisions apportées par le CEPD rendent difficile l’usage du chiffrement.

1. Le chiffrement est inapplicable pour l’essentiel des services

Le CEPD précise qu’en matière de chiffrement, les clés de chiffrement/déchiffrement doivent être contrôlées exclusivement par l’exportateur de données ou un tiers habilité :

« […] les clés sont conservées sous le contrôle exclusif de l’exportateur de données, ou d’autres entités chargées de cette tâche et établies dans l’EEE ou un pays tiers, dans un territoire ou dans un ou plusieurs secteurs spécifiques d’un pays tiers, ou dans une organisation internationale pour laquelle la Commission a déterminé, conformément à l’article 45 du RGPD, quelle offre un niveau de protection adéquat »

En effet, le but de ces mesures étant d’empêcher les autorités Américaines – entre autres – d’accéder aux données, il ne suffit donc pas que les données soient chiffrées en transit et en bases de données, il faut également que les clés de déchiffrement ne soient pas à la main des fournisseurs de services Cloud. Mieux, il ne faut pas que les fournisseurs aient accès aux données personnelles, même en mémoire vive. En effet, sous injonction du gouvernement Américain (conformément à la loi FISA 702), ces fournisseurs se verraient obligés de transmettre toutes les données en leur possession (clés de chiffrement/déchiffrement et données) à ce dernier.

Cependant, la majorité des services du cloud nécessitent que le fournisseur de service possède les clés de chiffrement/déchiffrement, notamment pour permettre l’utilisation de la panoplie de services managés qu’ils proposent. En effet, ces services ne peuvent opérer sur des données chiffrées, et la technique n’offre pas à ce jour, des solutions fiables pour un déchiffrement effectué par un service tiers. Dans ce contexte, la seule application du chiffrement est le stockage de données de manière chiffrée, sans pouvoir bénéficier de la variété des services qu’offre le cloud. De plus, les fournisseurs en défaut (soumis notamment à la loi FISA 702, les GAFAM entre autres) détiennent à eux seuls plus de 70% du marché, ce qui représente l’essentiel des services dans le cloud.

Ainsi, la pseudonymisation est donc la seule mesure qui reste. Cependant, elle-même nécessite des mesures spécifiques.

2. La pseudonymisation nécessite une évaluation des risques de ré-identificaion

La pseudonymisation est définie par l’article 4 du RGPD comme :

« Le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ; »

Ces informations supplémentaires doivent donc rester en possession du responsable de traitements, encore faut-il pouvoir les identifier clairement. En effet, il n’est pas aisé d’identifier les données supplémentaires à conserver séparément. Par exemple, est-il suffisant de supprimer le nom, le prénom, l’adresse mail ou encore l’adresse postale pour être certain que la personne concernée ne pourra pas être identifiée par le destinataire ? Vous pouvez consulter notre article sur le sujet pour plus de détails.

La pseudonymisation possède cependant un avantage sur le chiffrement car, à la différence du chiffrement, certains services du Cloud peuvent opérer sur des données pseudonymisées. En ce sens, la pseudonymisation pourrait permettre de répondre au compromis « protection de la vie privée vis à vis du destinataire/usage des services managés ».

Cependant, le CEPD apporte cette précision concernant la pseudonymisation :

« le responsable du traitement a établi, au moyen d’une analyse approfondie des données en question, en prenant en compte toutes les informations dont les autorités publiques du pays destinataire pourraient disposer, que les données à caractère personnel pseudonymisées ne peuvent pas être attribuées à une personne physique identifiée ou identifiable même en procédant à des recoupements avec ces informations »

Comment donc évaluer le niveau de protection des données pseudonymisées dans ce contexte ?

Quels critères doivent être considérés ?

En ce sens, le CEPD apporte plus de précisions :

« Ces mesures visent à prévenir tout accès potentiellement en empêchant les autorités d’identifier les personnes concernées, de déduire des informations les concernant, de les distinguer dans un autre contexte ou d’associer les données transférées à d’autres ensembles de données quelles pourraient détenir et qui pourraient contenir, notamment, des identifiants en ligne fournis par les appareils, applications, outils et protocoles utilisés par les personnes concernées dans d’autres contextes. »

Ainsi, il faudrait empêcher toute identification des personnes par déduction (inférence), distinction (individualisation) et par corrélation avec d’autres données. Ces critères ont déjà été définis dans un avis émis par le CEPD en 2014 .

Il est donc nécessaire de justifier que cette analyse à été effectuée, et en cas de contrôle de la CNIL, elle devra être présentée par le responsable de traitements. Cette analyse devra démontrer que les risques de ré-identification ont été suffisamment réduits pour empêcher toute violation par le fournisseur de services Cloud.

3. Conclusion

L’invalidation du Privacy Shield par l’Europe entraine l’adoption de mesures techniques supplémentaires visant à s’assurer que les autorités américaines entre autres, n’aient pas accès illégalement aux données des Européens. Cependant, si le chiffrement et la pseudonymisation sont préconisées, le chiffrement est difficilement applicable à cause de l’impossibilité pour l’importateur de données d’entrer en possession des clés de chiffrement/déchiffrement. Ce qui fait de la pseudonymisation, la seule mesure applicable pour l’essentiel des traitements dans le Cloud. Cependant, pour être conforme, la pseudonymisation doit faire l’objet d’une analyse de risques basées sur 3 critères : individualisation, corrélation et inférence, telle que le décrit l’avis du CEPD.

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

SHREMS 2 : la pseudonymisation, seule mesure applicable pour l’essentiel des traitements dans le Cloud

Laisser un commentaire Annuler la réponse