RGPD : entre anonymisation et pseudonymisation

À quelques semaines de l'entrée en vigueur définitive du désormais célèbre RGPD, le monde des juristes s'installe dans le nouveau jargon du texte en même temps que dans ses nouveaux concepts, un peu comme la directive 95/46/CE avait amené les juristes – et la Cnil – à abandonner les termes de "données nominatives des personnes physiques" pour ceux de "données à caractère personnel", à partir de 2004.

Parmi les nouveautés du RGPD, arrêtons-nous aujourd'hui succinctement sur le nouveau terme – et concept – de pseudonymisation.

La définition officielle

Le RGPD, dans son article 4, point 5, définit la pseudonymisation comme
"le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable".

Une lecture un peu rapide de cette définition pourrait conduire à croire qu'il s'agit d'un simple toilettage du concept d'anonymisation. Il n'en est rien.

Pour faire court sur la distinction entre anonymisation et pseudonymisation :

  • Il y a anonymisation lorsque les données ne permettent plus l'identification de la personne de manière irréversible.
  • Alors que la pseudonymisation doit pouvoir permettre de rétablir une identification, puisque les "informations supplémentaires" permettant l'identification ne sont pas supprimées mais "conservées séparément et soumises à des mesures techniques et organisationnelles".

La meilleure vérification de cette subtile distinction est le considérant n°26 du Règlement qui précise que "Les données à caractère personnel qui ont fait l'objet d'une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable".
D'où il suit que de telles informations restent des données à caractère personnel et que la législation s'applique pleinement, alors qu'elle ne s'applique plus sur des données anonymisées.

En synthèse

Il n'est pas inutile de citer ce court extrait de l'avis 05/2014 du G29 sur les techniques d'anonymisation qui clarifie bien les choses :
"La pseudonymisation n’est pas une méthode d’anonymisation. Elle réduit simplement la corrélation d’un ensemble de données avec l’identité originale d’une personne concernée et constitue par conséquent une mesure de sécurité utile".

En savoir plus

Outre le fait de consulter le RGPD lui-même, notamment le considérant 26 et l'article 4 point 5, notamment sur EUR-Lex,

nous pouvons conseiller la lecture de l'article de Me Charlotte Galichet : "Données personnelles : anonymisation ou pseudonymisation ?", qui se penche aussi sur les techniques d'anonymisation et de pseudonymisation, sur le site du Village de la Justice :
https://www.village-justice.com/articles/donnees-personnelles-anonymisation-pseudonymisation,26194.html 

et inviter à consulter l'avis 05/2014 sur les techniques d'anonymisation du G29 en date du 10 avril 2014 sur le site du Groupe de l'article 29 (pdf, 855 Ko, 42 pages) :
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp216_fr.pdf

Didier FROCHOT