ANONYMISATION ET PSEUDONYMISATION

La pseudonymisation consiste à transformer des données à caractère personnel de manière à ce qu’elles ne puissent plus être associées à une personne sans recourir à des informations supplémentaires et à condition que celles-ci soient conservées séparément et protégées par des mesures techniques et organisationnelles appropriées. Cette technique vise à limiter les risques d’identification pendant le traitement ou en cas d’accès non autorisé, tout en permettant aux responsables de traitement de conserver des capacités d’analyse ou de réattribution si nécessaire.

Il est impératif de distinguer la pseudonymisation de l’anonymisation. Cette dernière permet de rendre les données totalement déconnectées d’une personne identifiable, sans qu’aucun moyen raisonnable ne permette une réidentification. En conséquence, ces données ne sont plus soumises à la réglementation relative à la protection des données personnelles. Leur utilisation est considérablement simplifiée. Par exemple, les données anonymisées peuvent être conservées indéfiniment ce qui peut être intéressant pour l’archivage historique d’une entreprise. 

Néanmoins, les critères de l’anonymisation sont stricts et prennent en compte l’évolution des technologies, ce qui fait qu’en pratique, l’anonymisation est difficile à atteindre, comme en témoignent les décisions de la CNIL contre Cegedim Santé et Qwant.

La pseudonymisation est un état intermédiaire. Les données pseudonymisées peuvent être réattribuées à une personne grâce aux informations supplémentaires. Ces données conservent donc leur caractère de données personnelles. En revanche, leur utilisation, notamment au titre de l’intérêt légitime, sera facilitée puisque cette technique amoindrit considérablement les risques pour les personnes concernées.

La décision C-413/23 de la CJUE rendue le 4 septembre 2025, est venue apporter une précision quant à la distinction entre ces deux notions en tenant compte des moyens effectifs aux différents acteurs de réidentifier la donnée.

Du point de vue du responsable qui met en place les mesures de pseudonymisation, les données restent personnelles. En conséquence, le transfert vers un destinataire est soumis aux dispositions du RGPD, quand bien même ce destinataire ne serait pas en mesure de réidentifier les données (au regard des moyens raisonnables à sa disposition). En revanche, du point de vue du destinataire des données pseudonymisées, les données ne seront donc pas soumises aux dispositions applicables relatives à la protection des données personnelles, s’il est établi que ce dernier ne dispose pas de moyens raisonnables de réidentifiaction. En conséquence, ce destinataire ne sera notamment pas tenu à l’obligation d’information des personnes (ce qui est logique puisqu’il ne dispose pas des moyens d’identifier les personnes concernées).

Les données peuvent donc être considérées comme pseudonymisées ou anonymisées en fonction des acteurs qui les traitent et des moyens de réidentification à leur disposition. Les données pseudonymisées conservent leur statut de données personnelles si elles peuvent être rattachées à une identité via des informations séparées, même détenues par des tiers, si ces informations sont accessibles avec des moyens raisonables.

AVANTAGES DE LA PSEUDONYMISATION

La pseudonymisation est un outil central dans la mise en conformité RGPD. La mise en place d’un tel système, si elle demande la mise en place de mesure techniques et organisationnelles spécifiques, présente de nombreux avantages et notamment :

  • Réduction des risques d’atteinte à la vie privée : en masquant les identifiants directs, la pseudonymisation permet de limiter la divulgation d’informations personnelles aux personnes autorisées. Par ailleurs, en cas d’accès non autorisé ou de fuite, elle atténue la gravité des conséquences, car les données pseudonymisées, sans les clés d’attribution, sont plus dificilement pour des usages malveillants.
  • Un moyen efficace de respecter le principe de privacy by design et by default.
  • Mesure complémentaire pour les transferts internationaux de données : La pseudonymisation peut également jouer un rôle clé comme mesure complémentaire pour les transferts de données à caractère personnel vers des pays tiers. En l’absence d’une décision d’adéquation, les responsables doivent fournir des garanties appropriées pour assurer un niveau de protection équivalent. Si les outils de transfert (comme les clauses contractuelles types ou les règles d’entreprise contraignantes) sont insuffisants en raison de la législation ou des pratiques du pays destinataire (par exemple, accès disproportionné par les autorités publiques), la pseudonymisation peut offrir des garanties supplémentaires rendant acceptable le transfert.
  • Facilite l’utilisation de l’intérêt légitime comme base légale du traitement ou de réutilisation des données pour une finalité compatible puisque les risques pour les personnes concernées seront considérablement limités en fonction des mesures prises pour assurer la pseudonymisation.
  • Conserve la possibilité de réattribution contrôlée des données, ce qui peut être utile dans les secteurs de la santé ou de la recherche, où l’analyse anonymisée suffit la plupart du temps, mais une réidentification ciblée peut être requise dans certains cas. Cela peut également s’avérer nécessaire au regard de certaines obligations légales auxquelles est tenu le responsable de traitment.

MISE EN PLACE DE LA PSEUDONYMISATION

Selon les lignes directrices de l’EDPB, l’application réussie de cette technique exige une méthodologie rigoureuse, articulée autour de trois axes principaux : la planification, l’exécution technique et la gouvernance.

1. Planification : Définir le Cadre

Avant toute mise en œuvre technique, le responsable de traitement doit établir un cadre clair pour garantir l’efficacité de la mesure :

  • Définir le « Domaine de Pseudonymisation » : Il est crucial de déterminer l’environnement dans lequel l’attribution des données à des personnes spécifiques doit être empêchée. Ce domaine inclut les destinataires autorisés et, si l’objectif est de se prémunir contre les fuites, les acteurs non autorisés (cybercriminels, employés malveillants).
  • Évaluer les risques et les moyens d’attribution : Le responsable doit évaluer les moyens raisonnables dont disposent les acteurs du domaine (y compris des tiers) pour tenter de réattribuer les données. Les mesures techniques et organisationnelles concernant la mise en place de la pseudonymisation doivent être calibrées pour atténuer ces risques identifiés.

2. Exécution Technique 

La conformité technique repose sur l’application combinée et robuste de plusieurs mesures.

A. Transformation des Données

Les identifiants directs doivent être remplacés par un pseudonyme via une procédure de transformation (pseudonymising transformation).L’intérêt de cette mesure et qu’elle ne doit pas permettre de retrouver avec des efforts raisonables les données identifiantes. Plusieurs méthodes peuvent être envisagées en fonction notamment de la sensibilité du traitement : 

  • Hachage
  • Table de concordance
  • Tokenisation
  • Chiffrement des données

Il est également essentiel de :

  • Gérer les Quasi-identifiants : S’assurer que les autres attributs de la donnée (âge, sexe, code postal, etc.) ne peuvent pas être facilement utilisés, seuls ou en combinaison, pour réidentifier la personne.
  • Contrôler les liens (linkability) : Si la réattribution est souhaitée pour l’analyse (par exemple, suivre le même utilisateur à travers différents enregistrements), les pseudonymes peuvent être cohérents. Cependant, cette cohérence peut créer des risques de réidentification. Elle doit être analysée et limitée au strict nécessaire pour les finalités du traitement.

B. Séparation et protection 

C’est un autre élément technique important de tout projet de pseudonymisation :

  • Les informations supplémentaires, telles que les tables de correspondance et les clés cryptographiques, doivent être conservées séparément des données pseudonymisées.
  • Ces secrets doivent être protégés par des mesures techniques (ex: stockage physique séparé) et organisationnelles appropriées(ex: gestion des autorisations d’accès et des privilèges, cloisonnement des rôles). La facilité d’accès à ces secrets par un acteur non autorisé fragiliserait l’ensemble de la mesure.

La pseudonymisation est une solution clé pour les organisations souhaitant allier innovation, exploitation des données et conformité au RGPD. En adoptant une approche rigoureuse, alignée sur les recommandations de l’EDPB, et en intégrant la pseudonymisation dès la conception, les entreprises peuvent non seulement se conformer aux réglementations, mais aussi renforcer la confiance de leurs partenaires et clients.