Le Comité européen de la protection des données (CEPD) a publié de nouvelles lignes directrices sur la pseudonymisation. Il propose un rapprochement avec les autorités de la concurrence du Vieux continent, pour une meilleure régulation du numérique.
La protection des données personnelles est devenue, au fil des années, un enjeu majeur pour les entreprises du numérique, ce qui pousse aujourd'hui le CEPD a franchir une nouvelle étape en la matière.
Plus concrètement, l'institution européenne a adopté, le vendredi 17 janvier 2025, des lignes directrices détaillées sur la pseudonymisation, qui consiste à remplacer les informations identifiantes d’une personne par des codes ou alias pour rendre l’identification plus difficile sans données supplémentaires. En parallèle, le CEPD propose un rapprochement stratégique avec les autorités de la concurrence. Si menée à bien, la démarche pourrait contribuer à redéfinir l'encadrement des pratiques numériques en Europe.
La pseudonymisation, un outil clé pour la conformité au RGPD
La pseudonymisation des données personnelles est gros challenge pour les entreprises du secteur des nouvelles technologies. Le Comité européen de la protection des données a clarifié cette notion en rappelant un point essentiel : même pseudonymisées, les données restent des informations personnelles identifiables.
Cette précision capitale impose tout particulièrement aux organisations de maintenir un niveau de protection élevé, même après le processus de pseudonymisation des informations. Cela peut s'avérer précieux pour les entreprises ou autres organisations qui cherchent à réduire leurs risques en matière de protection des données.
Le CEPD souligne d'ailleurs que la pseudonymisation peut faciliter l'utilisation d'intérêts légitimes comme base légale, en faisant référence à l'article 6.1.f du RGPD. Une opportunité pour les entreprises, à condition de respecter l'ensemble des exigences du règlement.
Les nouvelles lignes directrices détaillent également les mesures techniques et les garanties nécessaires pour assurer la confidentialité des données. L'objectif est bien clair : il s'agit d'empêcher toute identification non autorisée des individus. Notons que ces recommandations sont soumises à une consultation publique jusqu'au 28 février 2025, pour permettre aux acteurs du secteur, comme le veut la pratique, de contribuer à leur élaboration.
Vers une convergence entre protection des données et droit de la concurrence
L'initiative du CEPD s'inscrit un peu dans la lignée de l'arrêt Meta contre Bundeskartellamt de juillet 2023. Cette décision historique de la Cour de Justice de l'Union européenne avait souligné la nécessité d'une collaboration entre les autorités de protection des données et de la concurrence, posant les bases d'une régulation plus coordonnée.
Le CEPD propose d'intégrer les facteurs de marché dans les pratiques de protection des données. Cette démarche pourrait assurer une meilleure prise en compte des enjeux de protection des données dans les évaluations concurrentielles, pour ainsi créer un cadre plus cohérent pour la régulation du numérique.
Et pour concrétiser cette vision, le CEPD recommande la création d'un point de contact unique entre régulateurs, comme la CNIL et l'Autorité de la concurrence en France.
Cette simplification administrative devrait faciliter la coordination entre les différentes autorités, pour permettre une application plus efficace et harmonieuse des réglementations européennes dans le secteur numérique. Affaire à suivre !
