Article 11 Traitement ne nécessitant pas l'identification

Finalité et logique de la disposition

L'article 11 repose sur l'idée que le RGPD ne doit pas imposer une identification artificielle des personnes lorsqu'elle est inutile au regard des finalités du traitement.

Il vise à éviter que les responsables de traitement soient contraints de collecter ou de conserver des données identifiantes supplémentaires uniquement pour satisfaire aux obligations du règlement, ce qui irait à l'encontre du principe de minimisation des données énoncé à l'article 5, paragraphe 1, point c).

Cette disposition favorise ainsi les traitements reposant sur des données pseudonymisées ou non directement identifiantes, dès lors que l'identification n'est pas requise.

Notion de traitement ne nécessitant pas l'identification

Le champ d'application de l'article 11 concerne les traitements pour lesquels l'identification de la personne n'est pas nécessaire à la réalisation des finalités poursuivies.

Il peut s'agir, par exemple, de traitements statistiques, d'analyses d'audience anonymisées, de traitements de sécurité ou de contrôle technique, ou encore de certaines recherches scientifiques.

Il ne s'applique pas lorsque l'identification est intrinsèquement requise, notamment pour la gestion de comptes utilisateurs, l'exécution de contrats ou l'exercice de droits individualisés.

Effets sur l'exercice des droits des personnes concernées

En principe, les droits d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition supposent l'identification de la personne concernée.

Lorsque le responsable du traitement ne peut pas identifier la personne et n'a pas à le faire, ces droits ne sont pas applicables, sauf si la personne fournit des informations supplémentaires permettant son identification.

Cette règle ne prive pas la personne concernée de ses droits, mais subordonne leur exercice à une possibilité d'identification effective.

Limites et garanties

L'article 11 ne constitue pas une exemption générale au RGPD.

Le responsable du traitement demeure tenu de respecter l'ensemble des principes de l'article 5, notamment la licéité, la minimisation, la sécurité et la responsabilité.

Il ne peut invoquer l'article 11 pour se soustraire à ses obligations lorsqu'il dispose en réalité des moyens d'identifier les personnes concernées ou lorsqu'il cherche volontairement à organiser une impossibilité d'exercice des droits.

Cette disposition ne s'applique pas non plus lorsque l'identification est possible par recoupement avec d'autres données détenues par le responsable du traitement.

Articulation avec l'anonymisation et la pseudonymisation

L'article 11 s'inscrit dans la logique de promotion des techniques limitant l'identification des personnes.

Il se distingue toutefois de l'anonymisation, qui fait sortir les données du champ d'application du RGPD.

Il s'applique principalement aux traitements utilisant des données pseudonymisées ou partiellement identifiantes, pour lesquels l'identification directe n'est pas requise.

Portée juridique et interprétation

Les autorités de contrôle apprécient strictement les conditions d'application de l'article 11.

Le responsable du traitement doit être en mesure de démontrer que l'identification n'est pas nécessaire au regard des finalités poursuivies et qu'il n'existe pas de moyens raisonnables d'identifier la personne.

Toute invocation abusive de cet article peut conduire à une remise en cause de la licéité du traitement et à des sanctions.

Implications pratiques pour les responsables de traitement

Les organisations mettant en œuvre des traitements ne nécessitant pas l'identification doivent documenter cette analyse dans leur registre de traitements.

Elles doivent concevoir leurs systèmes de manière à limiter l'identification au strict nécessaire et à éviter toute collecte inutile de données identifiantes.

En cas de demande d'exercice de droits, elles doivent être en mesure d'expliquer les raisons pour lesquelles l'identification est impossible ou non requise et d'indiquer les informations nécessaires à la personne pour permettre son identification.

Jurisprudence et pratique des autorités de contrôle

L'article 11 du RGPD fait l'objet d'une application encore limitée dans la jurisprudence et la pratique des autorités de contrôle, en raison de son champ d'application spécifique. Les autorités de contrôle européennes ont toutefois précisé que cette disposition ne peut être invoquée pour contourner les obligations du RGPD et qu'elle suppose une analyse concrète et documentée de la nécessité ou non de l'identification.

La CNIL considère que l'article 11 s'applique principalement aux traitements reposant sur des données pseudonymisées ou partiellement anonymisées, pour lesquels l'identification directe des personnes n'est ni recherchée ni nécessaire au regard des finalités poursuivies. Elle rappelle toutefois que le responsable du traitement ne peut invoquer l'article 11 lorsqu'il dispose en réalité des moyens techniques ou organisationnels permettant d'identifier les personnes concernées.

Les autorités de contrôle soulignent également que l'impossibilité d'exercer certains droits en application de l'article 11 ne dispense pas le responsable du traitement de ses autres obligations, notamment celles relatives à la sécurité des données, à la limitation des finalités et à la conservation. L'article 11 ne constitue donc pas une exemption générale, mais une modalité spécifique d'application des droits des personnes concernées.

Recommandations de la CNIL et du CEPD

La Commission nationale de l'informatique et des libertés (CNIL) recommande aux responsables de traitement qui invoquent l'article 11 de documenter précisément les raisons pour lesquelles l'identification des personnes n'est pas nécessaire au regard des finalités poursuivies. Cette documentation doit figurer dans le registre des activités de traitement et doit permettre de démontrer que le traitement respecte le principe de minimisation prévu à l'article 5, paragraphe 1, point c), du RGPD.

Le Comité européen de la protection des données (CEPD) insiste sur la nécessité de concevoir les traitements de manière à limiter l'identification au strict nécessaire, conformément au principe de protection des données dès la conception et par défaut prévu à l'article 25 du RGPD. Le CEPD recommande le recours à des techniques de pseudonymisation, d'agrégation ou d'anonymisation lorsque les finalités du traitement peuvent être atteintes sans identification directe des personnes.

La CNIL et le CEPD soulignent que, lorsque l'article 11 s'applique, le responsable du traitement doit informer les personnes concernées des conditions dans lesquelles elles peuvent exercer leurs droits, notamment en fournissant des informations supplémentaires permettant leur identification. Ils recommandent également de prévoir des procédures internes permettant de traiter les demandes d'exercice de droits dans les cas où la personne concernée apporte les éléments nécessaires à son identification.