anonym.legal

By · Last updated 2026-03-03

Retour au blogTechnique

Anonymisation PII hors ligne : Pourquoi la défense et...

41 % des politiques de sécurité des entreprises interdisent le traitement des documents classifiés dans le cloud.

March 3, 20268 min de lecture
offlineair-gapdesktopITARGDPRgovernmentdefenselocal processing

Quand le réseau n'a pas de sortie

Une data scientist travaille dans une entreprise de défense. Elle dispose de 3 000 dossiers personnels. Elle doit supprimer les noms, les numéros de sécurité sociale et les niveaux d'habilitation. Elle pourra ensuite partager les données avec un partenaire de recherche dans le cadre d'un accord CUI.

Son réseau n'a pas d'accès internet. Par conception.

Elle teste chaque outil en ligne qu'elle trouve. Chacun envoie des données à un serveur externe. Chaque plateforme cloud nécessite un compte et une connexion active. Même les outils « on-premises » appellent souvent un serveur de licence distant.

C'est le problème du déploiement air-gapped. Il touche bien plus d'équipes que la plupart ne l'imaginent.

Qui a besoin de la suppression PII hors ligne

Les entreprises de défense et les agences gouvernementales sont les plus concernées. Le programme FedRAMP de la DISA exige que les données restent dans des périmètres réseau approuvés. L'ITAR limite les données techniques aux systèmes sous contrôle américain. Les réseaux comme JWICS et SIPRNet sont physiquement isolés par conception.

Mais le besoin hors ligne va bien au-delà des sites classifiés :

Hôpitaux avec réseaux segmentés. Les systèmes d'imagerie PACS, les plateformes EHR et les bases de données de recherche se trouvent souvent sur des réseaux sans internet.

Salles de trading et chambres de compensation. Les systèmes de trading propriétaires et les systèmes connectés à SWIFT utilisent une isolation réseau stricte.

Systèmes de contrôle industriel. Les réseaux SCADA et les infrastructures critiques fonctionnent avec des air gaps comme mesure de sécurité centrale. Le durcissement post-Stuxnet en a fait la norme.

Règles européennes sur les données. Les Landesdatenschutzgesetze allemands et les lois similaires de l'UE exigent un traitement local des données gouvernementales et de santé sensibles. L'amende RGPD de 530 M€ contre TikTok est arrivée en mai 2025. Elle concernait des transferts de données vers la Chine. Cette amende a poussé plus d'équipes vers des outils locaux. Consultez notre aperçu de conformité pour les règles de transfert RGPD applicables.

Pourquoi les outils cloud échouent dans les réseaux air-gapped

La plupart des outils de suppression de données suivent un modèle SaaS :

Appareil → HTTPS → API Fournisseur → Modèles NLP → Réponse → Appareil

Ce modèle nécessite un accès internet sur l'appareil de traitement. Il nécessite de faire confiance aux serveurs du fournisseur. Les données traversent des réseaux externes.

Sur un réseau air-gapped, l'étape un est une impossibilité physique. Dans les environnements régulés, les étapes deux à quatre peuvent chacune enfreindre les règles de conformité.

Presidio auto-hébergé est le recours habituel. Mais il nécessite des compétences Docker et une configuration Python. Il nécessite aussi des téléchargements de modèles spaCy, qui exigent un accès internet. Et il nécessite un support IT continu. La plupart des équipes ne disposent pas de tout cela.

L'écart entre la facilité du cloud et la complexité de l'auto-hébergement est exactement ce que comblent les outils de bureau locaux.

Comment fonctionne la suppression PII locale

Un bon outil hors ligne embarque tout ce dont il a besoin :

Modèles NLP intégrés. Les modèles spaCy (40–80 Mo chacun) et les modèles transformer pour la détection d'entités nommées font partie de l'installateur. Aucun téléchargement n'est nécessaire au moment de l'exécution.

Pipeline de détection local. Regex, NLP et ML s'exécutent tous sur le CPU local — ou le GPU si disponible. Le moteur basé sur Presidio dans anonym.legal ne fait aucun appel réseau pendant un traitement.

Coffre local chiffré. Les configurations, préréglages et clés sont stockés localement. Le coffre utilise le chiffrement AES-256-GCM et la dérivation de clé Argon2id. Pas de synchronisation cloud. Pas de sauvegarde distante. Le coffre reste sur l'appareil.

Fichiers I/O locaux. Les fichiers d'entrée viennent du stockage local. Les fichiers de sortie retournent au stockage local. Aucune donnée ne traverse une interface réseau.

Surface d'attaque réduite. L'application Desktop utilise Tauri 2.0 (basé sur Rust). Tauri a une surface d'attaque bien plus petite qu'Electron (basé sur Chromium). Son binaire est environ dix fois plus petit. Il appelle aussi moins d'API système par défaut.

Trois scénarios de conformité réels

Documents ITAR — 500 fichiers

Une entreprise de défense doit partager des documents techniques avec un partenaire étranger sous une exception de licence. Les fichiers contiennent des noms de personnes américaines et des données personnelles. Les deux doivent être supprimés en premier.

Besoins clés : traitement uniquement sur des postes de travail habilités. Aucune donnée envoyée hors du réseau habilité. Une piste d'audit montrant le travail effectué. Support batch pour 500+ fichiers.

L'application Desktop traite tous les fichiers DOCX 500+ localement en mode batch. Aucun appel réseau n'est effectué pendant le traitement. Le journal d'audit reste dans le coffre local. Le résultat répond aux exigences de l'exception de licence ITAR.

Agence fédérale allemande — Données de plaintes

Une agence fédérale allemande doit supprimer les données personnelles des dossiers de plaintes citoyennes. Elle envoie ensuite les dossiers à un institut de recherche. Les directives du BfDI interdisent le traitement sur des systèmes non gouvernementaux.

L'application Desktop fonctionne sur des postes de travail Windows 11 de l'agence. Tout le traitement est local. L'équipe de sécurité IT le confirme avec une surveillance du trafic — zéro connexion externe pendant le traitement.

Recherche hospitalière — De-identification des EHR

Une équipe de recherche hospitalière doit anonymiser des dossiers patients pour un essai clinique. HIPAA Safe Harbor exige la suppression de 18 types d'identifiants. Le réseau clinique n'a pas d'accès internet.

L'application Desktop traite en batch les exports EHR au format CSV et JSON. Le responsable de la confidentialité vérifie le résultat par rapport aux règles Safe Harbor avant que les données n'aillent aux partenaires de recherche.

Ce qu'il faut rechercher dans un outil hors ligne

CapacitéPourquoi c'est important
Entièrement hors ligne après installationPas de dépendance internet pendant le traitement
Modèles NLP intégrésPas d'étape de téléchargement nécessaire
Traitement batchGérer de grands volumes sans travail manuel
Coffre local chiffréStockage sécurisé des configurations et clés
Journal d'auditEnregistrements pour les revues de conformité
Support Windows, macOS, LinuxCouvre les types de postes de travail classifiés
Option sans télémétrieEmpêche les données de partir via la télémétrie
Support des formats de fichiersDOCX, PDF, TXT, CSV, JSON, Excel

Les règles sur les données poussent les équipes vers les outils locaux

L'amende de 530 M€ contre TikTok a déclenché une vague plus large d'amendes. Les équipes de l'UE qui utilisaient des outils cloud posent maintenant une nouvelle question. Le traitement sur les serveurs d'un fournisseur satisfait-il au Chapitre V du RGPD et aux lois nationales sur les données ?

La réponse la plus claire à « où vont vos données ? » est : nulle part — elles ne quittent jamais l'appareil. Le traitement local supprime entièrement la question de transfert RGPD.

Pour les équipes allemandes, la lecture stricte des articles 44–46 du RGPD fait du traitement local un choix judicieux. Cela s'applique même sans restrictions réseau strictes. Notre aperçu sécurité explique comment le traitement local coupe la chaîne de données tierce.

Notes pratiques de déploiement

Installation sur des systèmes air-gapped. L'installateur — Windows .exe ou .msi, macOS .dmg, Linux .AppImage ou .deb — se transfère sur le réseau air-gapped via USB ou transfert de fichiers sécurisé. Internet n'est pas nécessaire après l'installation.

Support linguistique. 24 modèles spécifiques à chaque langue sont livrés avec l'application. L'ensemble complet est disponible hors ligne sans téléchargement supplémentaire.

Besoins matériels. Le pipeline NLP fonctionne sur des postes de travail modernes sans GPU. Le traitement batch de 1 000 documents prend généralement 5 à 15 minutes. La vitesse dépend de la taille des documents et de la vitesse du CPU.

Configuration de licence hors ligne. Pour les réseaux où un serveur de licence est inaccessible, une configuration de licence hors ligne est disponible.

Quand l'air-gapping n'est pas le bon choix

Les systèmes air-gapped résolvent des problèmes spécifiques. Ils ajoutent aussi une vraie charge.

Friction de mise à jour. Maintenir les modèles et les logiciels à jour nécessite des étapes manuelles. Les équipes qui prennent du retard peuvent rater de nouveaux schémas PII.

Overhead de liaison. Les systèmes air-gapped ne peuvent pas se connecter aux outils SIEM cloud ou aux tableaux de bord d'audit distants. Des solutions data-diode personnalisées sont nécessaires. Cela augmente les coûts.

Compromis de précision. Les outils cloud mettent à jour les données d'entraînement en continu. Les modèles hors ligne sont un instantané. Ils peuvent prendre du retard sur les nouveaux schémas linguistiques au fil du temps.

Pas nécessaire pour chaque modèle de menace. Les équipes sans mandats gouvernementaux, de santé ou juridiques pour l'isolation des données peuvent trouver les outils cloud plus pratiques. Un chiffrement fort, des audits SOC 2 Type II et des accords de traitement des données couvrent la plupart des cas. L'air-gapping ne vaut que si le modèle de menace inclut vraiment le vol de données par réseau par un adversaire compétent.

Pour la plupart des PME et des équipes d'entreprise standard, un chiffrement fort en transit et au repos donne une protection suffisante. Des contrôles contractuels solides couvrent la plupart des cas — sans la charge du full air-gapping. Voir notre FAQ pour plus d'informations sur le choix du bon modèle de déploiement.

L'application Desktop d'anonym.legal (Windows, macOS, Linux) traite les PII entièrement en local avec des modèles NLP intégrés. Aucune connexion internet n'est requise après l'installation. Le traitement batch prend en charge 1 à 5 000 fichiers par traitement selon le niveau du plan.

Sources

Articles connexes

Technique

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

Technique

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

Technique

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

Prêt à protéger vos données ?

Commencez à anonymiser les PII avec plus de 285 types d'entités dans 48 langues.

Commencer l'essai gratuitVoir les fonctionnalités

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.