anonym.legal

By · Last updated 2026-04-13

Retour au blogTechnique

Confidentialité Air-Gapped : Comment Anonymiser des...

Les environnements FedRAMP et ITAR ont une chose en commun : le cloud n'est pas une option. La pseudonymisation réversible selon l'Art.

April 13, 20269 min de lecture
air-gapped anonymizationSCIF document processingITAR complianceFedRAMP offline toolsoffline PII detection

La règle de l'air gap

Certains réseaux n'ont pas d'internet. Pas par politique — par conception.

Un SCIF (Sensitive Compartmented Information Facility) est une pièce blindée Faraday. Aucun signal sans fil n'entre ni ne sort. L'ITAR (International Traffic in Arms Regulations) interdit l'envoi de contenus techniques couverts à des parties non autorisées. Les prestataires cloud ne sont pas agréés ITAR. Pour ces organisations, « SaaS cloud » n'est pas un risque à gérer — c'est une impossibilité.

Pour ces environnements, les outils cloud ne fonctionnent pas. Point final.

Un outil nécessitant une connexion réseau active ne peut pas être déployé ici. Un outil vérifiant la licence sur un serveur distant est exclu d'emblée. Un outil envoyant des fichiers à une API cloud pour la détection ne peut pas fonctionner dans un SCIF. Ce ne sont pas des cas limites. Ce sont des contraintes quotidiennes pour les équipes de défense.

Le cas ITAR

Une data scientist dans une entreprise de défense traite des dossiers du personnel sous ITAR. Elle doit supprimer les noms et identifiants avant de partager les fichiers. Son réseau est en air gap.

Il n'existe pas de solution cloud. La seule voie est un outil qui tourne sur l'appareil local. Il doit stocker ses modèles localement. Il doit produire une sortie anonymisée sans aucun appel externe.

L'application Desktop basée sur Tauri 2.0 fait exactement cela. Après installation, aucun appel réseau n'a lieu pendant le traitement. Les modèles spaCy NER et les patterns regex tournent tous sur le CPU local. La sortie reste sur l'appareil jusqu'à ce que l'utilisateur l'exporte.

Pourquoi la réversibilité est importante

Les opérations classifiées ont souvent besoin d'une pseudonymisation réversible. Les équipes remplacent les vrais noms par des codes. Les données restent exploitables. Les identités réelles sont protégées.

Le RGPD Article 4(5) définit la pseudonymisation comme une mesure de protection des données. Elle réduit le risque. Les données pseudonymisées ont moins d'obligations légales — si le jeton de recherche est conservé séparément du jeu de données.

La recherche IAPP (2024) a montré que seulement 23 % des outils supportent une véritable réversibilité. La plupart font du remplacement permanent ou du masquage simple. Une fois une entrée écrasée, elle est perdue.

Certaines équipes gouvernementales répartissent le travail par compartiment. Une équipe reçoit les fichiers pseudonymisés et effectue l'analyse. Une seconde équipe détient le jeton et réidentifie les entrées uniquement en cas d'obligation légale. Cette conception cloisonnée est la seule approche sécurisée pour les workflows classifiés multi-équipes.

Le modèle zero-knowledge va un pas plus loin. Le jeton est créé sur l'appareil client. Il n'est jamais transmis. Même sous assignation, le fournisseur ne peut pas le produire. Il ne l'a jamais eu. Cela répond aux exigences de garde du jeton dans de nombreux environnements classifiés.

Séparation des jetons selon l'EDPB

Les lignes directrices EDPB 05/2022 exigent que le jeton de pseudonymisation soit conservé séparément. Il ne doit pas se trouver chez la même partie qui détient les données pseudonymisées. Ou il doit être protégé par des contrôles empêchant cette partie de lire simultanément données et jeton.

Trois propriétés réunies satisfont cette règle :

  • Jeton créé sur l'appareil client — jamais transmis
  • Tout traitement local — rien ne quitte le site en air gap
  • Sortie et jeton exportés séparément — deux fichiers, deux chemins

Cette conception répond à la règle EDPB et à la contrainte d'air gap simultanément.

Pour une vue complète, notre présentation sécurité montre comment le traitement local supprime la chaîne tierce. Notre guide de conformité couvre les règles de transfert RGPD. Consultez notre FAQ pour l'aide au déploiement.

L'application Desktop anonym.legal effectue toute la détection PII sur l'appareil local. Aucun internet n'est requis après installation. Elle supporte Windows, macOS et Linux. Les modèles NLP intégrés couvrent 24 langues.

Mis à jour pour 2026

Sources

Articles connexes

Technique

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

Technique

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

Technique

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

Prêt à protéger vos données ?

Commencez à anonymiser les PII avec plus de 285 types d'entités dans 48 langues.

Commencer l'essai gratuitVoir les fonctionnalités

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.