La clarification de l'EDPB de janvier 2025
Les Directives 01/2025 du Comité Européen de Protection des Données sur la Pseudonymisation, publiées en janvier 2025, ont introduit plusieurs clarifications ayant des implications significatives en matière de conformité pour les organisations utilisant des outils d'anonymisation des données.
La clarification la plus conséquente : les directives introduisent le concept de "domaine de pseudonymisation" — l'ensemble des parties pour lesquelles les données pseudonymisées restent liées à de véritables individus. Les données pseudonymisées sont des données personnelles au sens du RGPD pour toute partie au sein du domaine de pseudonymisation (parties qui détiennent la clé de pseudonymisation ou qui peuvent en dériver). Les directives stipulent explicitement que les données pseudonymisées ne changent pas leur statut de données personnelles — elles restent soumises à toutes les obligations du RGPD — même si elles semblent non identifiantes pour les parties extérieures au domaine.
Cette clarification affecte les organisations qui croyaient que la "tokenisation" ou la "pseudonymisation avec clés" avait retiré leurs données du champ d'application du RGPD. Selon les directives de janvier 2025, ce n'est pas le cas. L'organisation détenant la clé de pseudonymisation reste un responsable du traitement des données au sens du RGPD pour les données pseudonymisées.
L'écart de marketing des outils
De nombreux outils commercialisés comme des outils d'"anonymisation" produisent en réalité des données pseudonymisées. La distinction :
Véritable anonymisation (irréversible) : La transformation ne peut être inversée par aucune partie, en utilisant aucun moyen disponible maintenant ou à l'avenir. La véritable anonymisation retire complètement les données du champ d'application du RGPD.
Pseudonymisation (réversible) : La transformation peut être inversée en utilisant une clé, une table de correspondance, ou des informations supplémentaires détenues séparément. La pseudonymisation ne retire pas les données du champ d'application du RGPD — elles restent des données personnelles pour les parties qui détiennent ou peuvent dériver la clé.
Les systèmes basés sur des tokens (remplaçant les PII par des tokens cohérents et maintenant une table de correspondance), les systèmes basés sur le chiffrement (remplaçant les PII par des valeurs chiffrées et maintenant une clé de déchiffrement), et le chiffrement préservant le format produisent tous des données pseudonymisées. Les données restent des données personnelles selon les directives de janvier 2025 de l'EDPB.
Le hachage (application d'une fonction de hachage unidirectionnelle aux valeurs PII) est plus proche de l'anonymisation — si la fonction de hachage est cryptographiquement sécurisée et qu'aucune recherche de préimage n'est réalisable — mais les directives de l'EDPB notent que le hachage de données à faible entropie (courtes chaînes comme des noms ou des identifiants courants) est vulnérable aux attaques par tables arc-en-ciel et peut ne pas constituer une véritable anonymisation.
Stratégie de conformité selon les nouvelles directives
Les DPO doivent réévaluer leur stratégie de classification des données à la lumière des directives de janvier 2025 de l'EDPB :
Pour les données classées comme "anonymisées" (hors du champ d'application du RGPD) : réévaluer si la transformation est véritablement irréversible. Si une partie peut l'inverser — y compris le responsable du traitement lui-même — elle est pseudonymisée et le RGPD s'applique toujours.
Pour les données qui doivent rester hors du champ d'application du RGPD (pour l'analyse, l'archivage ou la recherche) : utiliser des méthodes d'anonymisation irréversibles — rédaction (suppression permanente), masquage avec des valeurs non récupérables, ou hachage cryptographique de données à haute entropie. Documenter la méthode et la base de la détermination d'anonymisation.
Pour les données qui bénéficient d'une réversibilité contrôlée (recherche avec exigences de recontact, pistes de vérification, obligations de découverte) : classer explicitement comme des données personnelles pseudonymisées, maintenir toutes les obligations du RGPD, documenter les arrangements de garde de la clé de pseudonymisation conformément aux exigences de séparation des clés de l'EDPB.
Le cadre explicite des cinq méthodes — Remplacer, Rédiger, Masquer, Hacher, Chiffrer — correspond directement à cette classification : Remplacer, Masquer et Chiffrer produisent des données pseudonymisées (le RGPD s'applique toujours). Rédiger et Hacher (de données à haute entropie) approchent de la véritable anonymisation (sous réserve d'analyse de complétude et d'entropie).
Sources :