Le 11 février 2025, la CNIL a dévoilé avoir rappelé la société QWANT à ses obligations légales au regard du RGPD en ce que celle-ci considérait comme anonymisées des données personnelles en réalité pseudonymisées.
Les données utilisées dans le cadre de la vente d’espaces publicitaires du moteur de recherche QWANT, via MICROSOFT, étaient présentées comme anonymes dans la politique de confidentialité. QWANT transmettait à MICROSOFT des données techniques telles que l’adresse IP tronquée ou hachée constituée en identifiant. À la suite d’une plainte reçue en 2019, la CNIL a réalisé des investigations à l’issue desquelles elle a retenu que les données transmises à MICROSOFT ne pouvaient pas être qualifiées d’anonymes. Pour la CNIL, il s’agissait de données pseudonymes soumises au RGPD, puisque la réidentification des personnes concernées était techniquement possible.
Si QWANT a fait l’objet d’un simple rappel aux obligations légales, la CNIL se montre bien plus sévère lorsque cette confusion permet de traiter des données sensibles sans respecter le RGPD. En septembre 2024, la société CEGEDIM SANTE a écopé d’une amende de 800 000 € pour avoir, dans son traitement, considéré des données de santé comme anonymes alors que celles-ci étaient uniquement pseudonymes.
En définitive, seules les données personnelles rendues anonymes suivant notamment les recommandations des autorités de protection des données européennes ne sont plus soumises au RGPD.
Gbandi Nadjombe, avocat – docteur en droit, Parthema Avocats, pôle PI & Digital
