La réalité de l'application
Le Comité européen de la protection des données et les autorités de contrôle nationales évaluent la conformité au GDPR sur la base des résultats, et non des efforts. Une organisation qui a utilisé un outil de détection PII de bonne foi, mais dont l'outil a systématiquement manqué les identifiants nationaux français, allemands et polonais, a tout de même échoué à mettre en œuvre des "mesures techniques appropriées" en vertu de l'article 32 du GDPR.
La défense "nous avons utilisé un outil" ne satisfait pas la norme lorsque l'outil ne peut manifestement pas détecter les types de données personnelles présentes dans les données de l'organisation.
Ce n'est pas un risque hypothétique. Les autorités de contrôle enquêtant sur les violations de données et les échecs de demandes d'accès des personnes concernées examinent systématiquement les mesures techniques utilisées pour l'anonymisation des données. Lorsque l'examen révèle qu'un outil était centré sur l'anglais et a traité des données multilingues, l'exigence des "mesures appropriées" devient la question centrale de l'application.
Ce que les autorités de contrôle découvrent
Les données d'application du GDPR de 2024 montrent que les violations de l'article 32 (mesures techniques et organisationnelles) représentent l'un des motifs les plus courants de sanctions. Les organisations citent des outils d'anonymisation automatisés comme faisant partie de leur documentation sur les mesures techniques — et les autorités de contrôle examinent si ces outils fonctionnent réellement pour les types de données traitées.
Pour les employeurs multinationales traitant des dossiers d'employés dans les États membres de l'UE, l'exposition est systématique. Une plateforme de logiciels RH qui anonymise les données des employés avant le traitement analytique peut correctement supprimer les PII en anglais tout en laissant intacts les numéros de sécurité sociale français (NIR), les identifiants fiscaux allemands (Steuer-ID), les personnummers suédois et les numéros PESEL polonais.
L'organisation croit avoir mis en œuvre des mesures techniques. L'autorité de contrôle constate que 40 % des données personnelles dans le jeu de données "anonymisées" sont encore identifiables par des identifiants nationaux que le reconnaisseur de l'outil n'a pas couverts.
Les formats d'identificateurs spécifiques que les outils uniquement en anglais manquent
Les différences structurelles entre les identifiants nationaux de l'UE et les formats américains/généraux signifient que les outils centrés sur l'anglais échouent à les détecter de manière fiable :
Numéro d'identification fiscale allemand (Steuer-Identifikationsnummer) : format à 11 chiffres avec algorithme de contrôle. Non détecté par des outils qui ne reconnaissent que les formats SSN américains (9 chiffres).
NIR français (numéro de sécurité sociale) : format à 15 chiffres codant le sexe, l'année de naissance, le département et la clé de contrôle. Non détecté par des modèles de numéro de téléphone ou de numéro d'identité génériques.
Numéro de personne suédois (Personnummer) : format à 10 ou 12 chiffres avec chiffre de contrôle Luhn. Le format change pour les individus nés avant 1990, nécessitant une connaissance du format que les modèles génériques n'ont pas.
PESEL polonais : format à 11 chiffres codant la date de naissance et le sexe. Sans validation de contrôle, le taux de faux positifs pour la détection de PESEL est prohibitivement élevé.
Les organisations traitant ces données ne sont pas inhabituelles : tout employeur de l'UE, entreprise de services financiers, fournisseur de soins de santé ou agence gouvernementale traitant des données de personnes allemandes, françaises, suédoises ou polonaises rencontre ces identifiants de manière routinière.
La norme de conformité est basée sur les résultats
L'exigence du GDPR pour des "mesures techniques et organisationnelles appropriées" (article 32) est basée sur les résultats, et non sur les efforts. La norme n'est pas "l'organisation a utilisé un outil de détection PII." La norme est "l'outil utilisé a atteint une protection appropriée pour les données personnelles traitées."
Pour les organisations traitant des données multilingues de l'UE, "approprié" signifie que les identifiants fiscaux clients allemands sont détectés et supprimés dans la même opération qui supprime les adresses électroniques en anglais et les numéros de téléphone américains. Une organisation qui atteint 95 % de suppression de PII pour les données en anglais et 0 % de suppression de PII pour les identifiants nationaux allemands n'a pas mis en œuvre des mesures techniques appropriées pour ses données allemandes.
L'investissement en conformité dans la capacité multilingue n'est pas optionnel pour les organisations ayant une exposition aux données multilingues de l'UE. C'est un élément des mesures techniques requises par le GDPR.
Pour les organisations multinationales évaluant si leur outil actuel répond à la norme : le test n'est pas "l'outil peut-il détecter des adresses électroniques dans n'importe quelle langue ?" C'est "l'outil peut-il détecter les formats d'identifiants nationaux présents dans nos données réelles ?" Pour les opérations de l'UE avec des employés, des clients ou des patients d'Allemagne, de France, de Pologne, de Suède ou de tout autre État membre de l'UE, ce test nécessite une couverture de reconnaisseur spécifique à la juridiction.
Sources :