Outils PII en anglais uniquement : un risque RGPD
Mis à jour pour 2026
La réalité de l'application
Le RGPD évalue les résultats, pas les efforts. Une entreprise peut utiliser un outil de détection des PII de bonne foi. Mais si cet outil manque les identifiants français, allemands ou polonais, l'entreprise a quand même enfreint l'article 32. La règle exige des « mesures techniques appropriées ». Un outil qui ne trouve pas les identifiants dans vos données ne satisfait pas cette exigence. Les bonnes intentions ne changent rien.
La défense « nous avons utilisé un outil » ne tient pas. Les autorités de contrôle examinent les outils spécifiques utilisés. Lorsqu'un outil uniquement anglais a traité des données multilingues, l'article 32 devient la question centrale.
Il s'agit d'un schéma d'application réel. Il a été observé dans des affaires RGPD à travers l'UE.
Ce que constatent les autorités de contrôle
Les données RGPD de 2024 montrent que les violations de l'article 32 figurent parmi les principaux motifs d'amendes. Les entreprises citent les outils d'anonymisation automatisés comme preuve de mesures techniques. Les autorités de contrôle vérifient ensuite si ces outils fonctionnent réellement.
Pour les employeurs mondiaux, le risque est systémique. Prenons une plateforme RH. Elle supprime les données personnelles avant l'analyse. Elle peut supprimer correctement les adresses e-mail et numéros de téléphone en anglais. Mais elle laisse intact les numéros NIR français, les Steuer-IDs allemands et les numéros PESEL polonais. Les personnummers suédois restent aussi.
L'entreprise pense que les dossiers sont propres. L'autorité de contrôle constate que 40 % des identifiants dans l'ensemble de données « anonymisé » sont encore présents. Ce sont des identifiants nationaux que l'outil n'a jamais couverts.
Les formats d'identifiants que les outils uniquement anglais manquent
Les identifiants nationaux de l'UE diffèrent des formats américains et génériques. Les outils uniquement anglais ne parviennent pas à les détecter :
Steuer-Identifikationsnummer allemand : Format à 11 chiffres avec somme de contrôle. Les outils conçus pour les formats SSN américains (9 chiffres) ne le détectent pas.
NIR français (numéro de sécurité sociale) : Format à 15 chiffres. Il code le sexe, l'année de naissance et le département. Les modèles d'identifiants génériques ne correspondent pas.
Personnummer suédois : 10 ou 12 chiffres avec un chiffre de contrôle Luhn. Le format change pour les personnes nées avant 1990. Les modèles génériques n'en tiennent pas compte.
PESEL polonais : 11 chiffres encodant la date de naissance et le sexe. Sans validation de la somme de contrôle, les taux de faux positifs deviennent trop élevés.
Ce sont des identifiants courants. Tout employeur, prestataire de santé ou entreprise financière de l'UE traitant des données allemandes, françaises, suédoises ou polonaises les rencontrera. Ils ne sont pas rares. Consultez notre référence des entités pour la liste complète des types d'identifiants pris en charge.
Le RGPD est axé sur les résultats
L'article 32 du RGPD appelle à des « mesures techniques et organisationnelles appropriées ». La barre est placée sur les résultats. L'organisation a-t-elle utilisé un outil ? Ce n'est pas la bonne question. L'outil a-t-il protégé les données personnelles qu'il a traitées ? Voilà la bonne question.
Pour les organisations ayant des données UE multilingues, « approprié » signifie détecter les Steuer-IDs allemands dans le même passage que les adresses e-mail anglaises. Une organisation qui détecte 95 % du contenu anglais mais 0 % des identifiants nationaux allemands n'a pas satisfait à l'exigence pour ses données allemandes. La lacune échoue sur ses données allemandes.
La couverture multilingue n'est pas optionnelle. Elle fait partie de ce qu'exige l'article 32. Un point c'est tout. Notre guide de conformité RGPD couvre l'ensemble du cadre.
Comment évaluer votre outil
La bonne question à poser à votre outil est simple. Peut-il trouver des adresses e-mail dans n'importe quelle langue ? C'est moins important. Peut-il trouver les formats d'identifiants nationaux dans vos données réelles ? C'est le vrai test.
Pour les opérations UE desservant l'Allemagne, la France, la Pologne ou la Suède, cela implique une couverture de reconnaissance spécifique aux locales. Si votre outil ne peut pas afficher des taux de détection solides pour ces formats, traitez la lacune comme un risque de conformité actif. Notre page sécurité et conformité explique comment nous gérons la couverture multilingue.
anonym.legal détecte le Steuer-ID allemand, le NIR français, le Personnummer suédois, le PESEL polonais et les identifiants nationaux pour tous les États membres de l'UE. Chaque module de reconnaissance utilise une validation tenant compte de la somme de contrôle pour des résultats précis.