📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 11 du RGPD : Traitement ne nécessitant pas l’identification

Sommaire

Introduction 

L’article 11 du RGPD (Règlement Européen sur la protection des données) aborde une question cruciale dans l’équilibre entre protection des données personnelles et efficacité des traitements : les situations où l’identification des personnes concernées n’est pas nécessaire pour la finalité poursuivie. Cette disposition permet aux organisations qui déterminent les finalités et les moyens  de ne pas maintenir ou collecter d’informations supplémentaires d’identification lorsque celles-ci ne sont pas requises pour atteindre les objectifs du traitement.

Schéma article 11 du RGPD : traitement ne nécessitant pas l'identification

Explication de l’article 

L’article 11 établit que lorsque les finalités du traitement n’exigent pas l’identification des individus, l’organisation n’est pas tenue de conserver ou d’obtenir des informations supplémentaires d’identification dans le seul but de se conformer au RGPD.

Lorsque l’organisation démontre qu’elle n’est pas en mesure d’identifier les personnes après anonymisation effective des données, elle est exonérée des obligations prévues aux articles 15 à 20 du RGPD (droits d’accès, de rectification, d’effacement, de limitation et de portabilité). Cette exonération est conditionnée à la capacité de l’organisation de prouver l’impossibilité d’identification et à l’information des personnes, dans la mesure du possible.

L’exemption cesse de s’appliquer dès lors que la personne fournit des informations complémentaires permettant son identification. Dans ce cas, l’organisation doit traiter la demande selon les modalités habituelles du RGPD.

Cette disposition s’inscrit dans la logique du « privacy by design » en encourageant les pratiques d’anonymisation effective plutôt que le maintien systématique d’identifiants à des fins de conformité réglementaire. Elle privilégie la protection substantielle des données personnelles par rapport aux obligations procédurales.

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert

Texte original du RGPD

« Si les finalités pour lesquelles des données à caractère personnel sont traitées n’imposent pas ou n’imposent plus au responsable du traitement d’identifier une personne concernée, celui-ci n’est pas tenu de conserver, d’obtenir ou de traiter des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter le présent règlement.

Lorsque, dans les cas visés au paragraphe 1 du présent article, le responsable du traitement est à même de démontrer qu’il n’est pas en mesure d’identifier la personne concernée, il en informe la personne concernée, si possible. En pareils cas, les articles 15 à 20 ne sont pas applicables, sauf lorsque la personne concernée fournit, aux fins d’exercer les droits que lui confèrent ces articles, des informations complémentaires qui permettent de l’identifier. »

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)

La loi Informatique et Libertés ne contient pas d’équivalent direct à l’article 11 du RGPD. 

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

La directive 95/46/CE ne contenait pas d’équivalent spécifique à l’article 11 du RGPD.

Analyse des 3 textes qui précèdent

L’article 11 du RGPD introduit une nouveauté absolue par rapport aux textes antérieurs : il autorise expressément les responsables de traitement à ne pas identifier les personnes concernées lorsque leurs finalités ne l’exigent pas.

Avant le RGPD : Tous les traitements de données étaient soumis aux mêmes obligations, même si l’identification n’était pas nécessaire.

Avec l’article 11 : Si vous n’avez pas besoin d’identifier les personnes pour votre finalité, vous pouvez :

  • Ne pas chercher à les identifier
  • Ne pas conserver d’informations permettant l’identification
  • Être dispensé des obligations des articles 15 à 20 (droits d’accès, rectification, effacement, etc.)

L’article 11 du RGPD constitue un progrès significatif en reconnaissant la réalité des traitements anonymisés/pseudonymisés. Cependant, son application pratique reste complexe et incertaine, d’où l’importance de la jurisprudence émergente pour clarifier ces zones d’ombre.

Cette disposition illustre l’ambition du RGPD de créer un cadre plus nuancé et adaptatif que les textes précédents, tout en révélant les défis de mise en œuvre d’une réglementation moderne sur les données personnelles.

Jurisprudences

Françaises

La jurisprudence française spécifique à l’article 11 est encore limitée en raison de la relative nouveauté de cette disposition. 

Européennes

La jurisprudence sur l’article 11 du RGPD reste limitée car cet article est récent. Toutefois, une décision importante a clarifié son application concernant l’anonymisation et la pseudonymisation.

Affaire T-557/20 (26 avril 2023)

Le Conseil de résolution unique (CRU) avait transmis à la société Deloitte des données pseudonymisées sur Banco Popular Español. Le CRU conservait la « clé » permettant de retrouver l’identité des personnes, mais Deloitte ne l’avait pas.

Le désaccord

  • Le CEPD (gendarme européen des données) : « Ces données restent personnelles car quelqu’un peut les réidentifier »
  • Le CRU : « Pour Deloitte, ces données ne sont pas personnelles car il ne peut pas les réidentifier »

Le Tribunal a donné raison au CRU en établissant 3 principes simples :

  1. On regarde qui reçoit les données : si Deloitte ne peut pas identifier les personnes, alors pour lui, ce ne sont pas des données personnelles
  2. Il faut des moyens concrets : pour qu’une donnée soit personnelle, il faut pouvoir réidentifier « facilement et légalement » les personnes
  3. L’article 11 fonctionne : des données pseudonymisées peuvent échapper au RGPD si le destinataire ne peut vraiment pas identifier les personnes

Cette décision facilite l’utilisation de données pseudonymisées : si vous recevez des données codées et que vous n’avez aucun moyen raisonnable de retrouver les identités, l’article 11 du RGPD peut s’appliquer et vous libérer de certaines obligations.

Recommandations

Il n’existe pas de recommandation spécifique à l’article 11 du RGPD émanant uniquement de la CNIL ou du CEPD. On ne trouve que des éléments indirectement liés à cet article, principalement dans le cadre de l’interprétation des droits des personnes concernées lorsque l’identité n’est pas nécessaire.

CNIL

La CNIL ne publie pas de recommandation autonome sur l’article 11.

Elle encourage toutefois les organismes à se doter de procédures permettant de déterminer si l’identification est indispensable pour atteindre la finalité du traitement.

CEPD 

Le CEPD a publié les Lignes directrices 01/2022 sur les droits des personnes concernées (articles 15 à 20 du RGPD).

Ces lignes directrices abordent indirectement l’article 11, puisqu’il prévoit que lorsque le responsable du traitement ne peut pas identifier une personne (et que cette identification n’est pas nécessaire), certaines obligations liées aux droits d’accès, de rectification ou d’effacement ne s’appliquent pas.

En résumé, il n’y a donc pas de recommandation autonome sur l’article 11, mais plutôt des rappels et clarifications au travers des recommandations générales de la CNIL et des lignes directrices du CEPD.

Ne restez pas seul face à vos obligations RGPD. Trouvez un DPO externe de confiance avec Mon Expert RGPD.

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.