Avec l’entrée en vigueur le 25 mai 2018 du RGPD (Règlement Général sur la Protection des Données), tous les moyens visant à la protection des données personnelles sont au cœur des débats dans de nombreuses organisations. Les termes de « Pseudonymisation » et « Anonymisation » sont récurrents, ils peuvent prêter à confusion quant à leurs significations et leurs applications. Sofiane Fedaoui, RSSI/CISO chez Vialink, nous décrypte ces termes afin que leur application vous en soit simplifiée.
Qu’est-ce donc que la pseudonymisation?
Le RGPD, dans son « Article 4 : Définitions – point 5 », définit la pseudonymisation comme étant « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ».
L’application du RGPD aux données pseudonymisées a été rappelée au considérant N°26 du Règlement : « … Les données à caractère personnel qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable. ».
La pseudonymisation améliore donc la confidentialité des données en remplaçant des champs d’identification dans un enregistrement par un ou plusieurs identifiants artificiels mais n’empêche pas l’application de la réglementation en matière de données personnelles. Le chiffrement peut être un exemple de pseudonymisation. Par conséquent, les données chiffrées demeurent des données à caractère personnel.
À titre d’exemple
Texte clair : « Le RGPD »
Pseudonymisation (Chiffrement AES-256) : 45ba2fc25ec8a80bde0e14f3cda02f3a
Et alors que signifie l’Anonymisation ?
Le RGPD ne définit pas directement l’anonymisation mais précise ce que c’est dans le considérant N°26 du Règlement : « …. . Il n’y a dès lors pas lieu d’appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable. Le présent règlement ne s’applique, par conséquent, pas au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche. »
La réglementation en matière de données personnelles ne s’applique donc pas aux données anonymisées.
À titre d’exemple
Texte clair : « Le RGPD »
Anonymisation : XXXXXXXX
Anonymisation ou pseudonymisation, que choisir ?
Comme il a été vu plus haut, ce qui distingue juridiquement ces deux méthodes de traitement des données, anonymes ou pseudonymes, est leur classification en tant que données personnelles. Les données pseudonymes permettent toujours une forme de ré-identification (même indirecte et à distance), tandis que les données anonymes ne peuvent pas être ré-identifiées.
Les deux techniques, pseudonymisation et l’anonymisation, sont toutes deux encouragées par le RGPD. Au fur et à mesure, elles devraient se généraliser et être très utilisées par les responsables des traitements ou leurs sous-traitants.
