D'un point de vue technique, les données qui ont été anonymisées, même si elles présentent un risque résiduel, ne peuvent pas être traitées de la même façon que les autres, ne serait-ce que du point de vue de l'exercice des droits des individus. On ne pourra pas imposer la même chose à un responsable de traitement qui a anonymisé ses données qu'à celui qui ne l'a pas fait.
Quant à votre deuxième remarque, je reconnais qu'il est très difficile de faire de l'analyse de risques, d'autant que ceux-ci évoluent dans le temps. En matière de sécurité, une analyse de risques est valable à l'instant t et elle doit s'accompagner de procédures de gestion des données ou des risques résiduels. Si l'on se rend compte que les hypothèses initiales ne sont plus vérifiées, de nouvelles obligations doivent peser sur le détenteur des données. Ce n'est pas une opération définitive.