Par un arrêt du 8 février 2017 (n° 393714), le Conseil d’Etat rejette la requête en annulation formulée par la société JCDecaux France contre une délibération de la CNIL du 16 juillet 2015. Celle-ci s’était en effet opposée à la mise en place via des panneaux publicitaires d’un système de collecte des adresses MAC des appareils mobiles des piétons circulant sur la dalle de La Défense. Le but de ce traitement, qui aurait été effectif pendant4 semaines, était clairement l’identification des déplacements des individus et de leur fréquence de passage.

Le requérant faisait valoir en substance que les données collectées étaient rendues anonymes par différents traitements : tronquées de leur dernier demi-octet, les adresses Mac seraient complétées par une suite de caractères aléatoires, selon différentes techniques dites de « hachage » et de « salage ».

Aux termes de l’article 2 de la loi du 6 janvier 1978, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.

Selon le Conseil d’Etat, il résulte de ce texte qu’une « donnée personnelle ne peut être regardée comme rendue anonyme que lorsque l'identification de la personne concernée, directement ou indirectement, devient impossible que ce soit par le responsable du traitement ou par un tiers. Tel n'est pas le cas lorsqu'il demeure possible d'individualiser une personne ou de relier entre elles des données résultant de deux enregistrements qui la concernent ».

Or, le but du traitement étant notamment de déterminer la fréquence de passage, la Cnil a justement estimé que ses objectifs mêmes étaient incompatibles avec une anonymisation des données.

La définition donnée de l’anonymisation des données s’avère donc être particulièrement rigoureuse, ce qui permet de la différencier de la pseudonymisation des données, selon la distinction opérée par le Groupe de l’Article 29 qui regroupe les autorités de protection des données personnelles de l’Union européenne dans un avis du 10 avril 2014.

L’anonymisation des données doit en effet être un processus définitif qui empêche de façon absolue toute identification. Lorsque ce n’est pas le cas, la donnée est simplement pseudonymisée et demeure une donnée personnelle.