La vision de Cyber Academy
La pseudonymisation est la technique définie à l'article 4(5) du GDPR : elle consiste à remplacer les identifiants directs par des jetons réversibles, la clé étant conservée séparément. Elle réduit le risque et ménage la bienveillance des autorités de contrôle, mais les données restent des données à caractère personnel. L'anonymisation est la technique qui permet d'échapper totalement au champ du GDPR ; la pseudonymisation, non. Attention à la confusion entre les deux.
Ce que fait réellement la pseudonymisation
La pseudonymisation est une technique de protection des données, pas un statut que la donnée atteindrait. Vous prenez les champs qui désignent directement une personne, le nom, l'adresse e-mail, le numéro national d'identité, et vous les remplacez par un jeton : un identifiant aléatoire, une référence codée, une valeur chiffrée. La correspondance qui retransforme le jeton en identité réelle, la clé, est conservée séparément et protégée par ses propres mesures techniques et organisationnelles. Quiconque travaille avec le jeu de données pseudonymisé peut l'analyser, le partager ou tester dessus sans voir à qui appartiennent les enregistrements, tandis que l'organisation conserve la capacité de réidentifier lorsqu'elle a un motif légitime de le faire.
Le RGPD nomme explicitement cette technique et la traite comme une garantie recommandée. Elle apparaît comme un moyen de satisfaire à la protection des données dès la conception et par défaut, comme une mesure susceptible de réduire le risque résiduel d'un traitement, et comme un facteur que les autorités de contrôle apprécient favorablement lorsqu'elles évaluent si vous en avez fait assez. Y recourir signale que vous avez pris au sérieux la sécurité et la minimisation. C'est la bonne disposition à laquelle renvoie la définition courte, et elle est réelle, mais elle ne change pas la nature juridique de la donnée.
La pseudonymisation n'est pas l'anonymisation
C'est la confusion qui met les organisations en difficulté. Parce qu'un enregistrement pseudonymisé ne porte plus de nom visible, on suppose qu'il est sorti du champ du règlement. Il n'en est rien. La pseudonymisation est réversible par conception : la clé existe, donc la donnée peut être rattachée à une personne identifiable, donc elle reste une donnée à caractère personnel et toutes les obligations continuent de s'appliquer. L'anonymisation est le marché inverse. Elle est irréversible, le lien avec l'individu est détruit si complètement que la réidentification n'est plus raisonnablement possible par quelque moyen susceptible d'être employé, et c'est seulement alors que la donnée sort entièrement du champ du RGPD.
| Aspect | Pseudonymisation | Anonymisation |
|---|---|---|
| Réversible | Oui, via la clé conservée séparément | Non, le lien est détruit |
| Toujours une donnée à caractère personnel | Oui | Non |
| Le RGPD s'applique | Oui, intégralement | Non |
| Finalité typique | Réduire le risque tout en conservant l'utilité et la réidentification | Sortir la donnée du champ, souvent en vue d'une publication ouverte |
Ce que font réellement les praticiens
En pratique, la pseudonymisation est une discipline d'ingénierie et de gouvernance plutôt qu'un simple interrupteur. L'intérêt de séparer la clé est anéanti si la même équipe, le même système ou la même sauvegarde détient à la fois les jetons et la correspondance ; les contrôles autour de la clé comptent donc autant que la tokenisation elle-même.
- Remplacer les identifiants directs par des jetons, à l'aide de méthodes telles que le hachage à clé, le chiffrement ou une table de correspondance de références aléatoires.
- Conserver la clé de réidentification séparément, sous un contrôle d'accès plus strict que le jeu de données de travail, idéalement détenue par une équipe différente.
- Se prémunir contre la réidentification indirecte, où des combinaisons rares de champs restants (un code postal, plus une date de naissance, plus un intitulé de poste) permettent d'isoler une personne même sans nom.
- Documenter la technique dans le registre des traitements et l'AIPD, et traiter la donnée pseudonymisée comme une donnée à caractère personnel pour l'évaluation des violations, la conservation et les droits des personnes.
Bien menée, la pseudonymisation permet aux analyses, à la recherche et aux tests logiciels de s'exécuter sur des données réalistes tout en réduisant le rayon d'impact d'une violation, car un attaquant qui obtient les jetons sans la clé détient bien moins. Menée avec négligence, avec une clé accessible ou des identifiants indirects ignorés, elle offre l'apparence de la protection sans la substance, et l'organisation porte toujours chacune des obligations qu'elle croyait avoir esquivées.
Frequently asked questions
01La pseudonymisation fait-elle sortir mes données du champ du RGPD ?
Non. Les données pseudonymisées sont réversibles parce que la clé de réidentification existe toujours ; elles restent donc des données à caractère personnel et le RGPD s'applique intégralement. Seule l'anonymisation irréversible sort les données du champ du règlement.
02Quelle est la différence entre pseudonymisation et anonymisation ?
La pseudonymisation est réversible et maintient la donnée rattachable à une personne grâce à une clé conservée séparément ; elle reste donc une donnée à caractère personnel. L'anonymisation est irréversible et détruit ce lien de sorte que la réidentification n'est plus raisonnablement possible, ce qui sort la donnée du champ du RGPD.
03Pourquoi pseudonymiser si la donnée reste réglementée ?
Cela réduit le risque et soutient la protection des données dès la conception. Cela limite qui peut voir les identités réelles, réduit l'impact d'une violation, et compte comme une mesure favorable de sécurité et de minimisation lorsqu'une autorité de contrôle évalue votre traitement.
04Où dois-je stocker la clé de réidentification ?
Séparément du jeu de données pseudonymisé, sous des contrôles d'accès plus stricts et idéalement gérée par une équipe ou un système différent. Si les mêmes personnes ou les mêmes sauvegardes détiennent à la fois les jetons et la clé, la séparation qui donne tout son sens à la pseudonymisation a disparu.
05Les données pseudonymisées peuvent-elles encore être réidentifiées par accident ?
Oui. Même sans identifiants directs, des combinaisons rares d'attributs restants comme le code postal, la date de naissance et la profession peuvent isoler une personne. Se prémunir contre cette réidentification indirecte fait partie d'une pseudonymisation correctement menée.