La Distinction de 20 Millions d'Euros
L'Article 83 du GDPR fixe les amendes maximales à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé, pour les violations les plus graves. La distinction entre anonymisation et pseudonymisation détermine si le GDPR s'applique à un ensemble de données et si l'exposition maximale à l'amende s'applique.
Le Considérant 26 du GDPR définit le seuil d'anonymisation : "Les principes de protection des données ne devraient donc pas s'appliquer à des informations anonymes, à savoir des informations qui ne se rapportent pas à une personne physique identifiée ou identifiable ou à des données personnelles rendues anonymes de telle manière que la personne concernée ne soit pas ou ne soit plus identifiable." La phrase clé : "pas ou plus identifiable" — par tout moyen raisonnablement susceptible d'être utilisé, par le responsable du traitement, tout sous-traitant ou tout tiers.
L'Article 4(5) du GDPR définit la pseudonymisation : "le traitement de données personnelles de telle manière que les données personnelles ne puissent plus être attribuées à un sujet de données spécifique sans l'utilisation d'informations supplémentaires, à condition que ces informations supplémentaires soient conservées séparément." Les données pseudonymisées ne sont explicitement pas anonymes — elles "ne peuvent plus être attribuées... sans l'utilisation d'informations supplémentaires." Les données pseudonymisées restent des données personnelles au sens du GDPR.
L'implication pratique : une organisation qui croit que son ensemble de données analytiques est "anonymisé" (hors du GDPR) alors qu'il est en réalité "pseudonymisé" (dans le cadre du GDPR) a des entrées incorrectes dans l'Article 30 ROPA, des procédures de droits des personnes concernées insuffisantes, des périodes de conservation inappropriées, des garanties de transfert de données manquantes pour tout traitement analytique transfrontalier, et aucun mécanisme pour répondre aux demandes de droit à l'effacement. Chacune de ces lacunes constitue une violation indépendante du GDPR.
Le Signal d'Application du CEF
Le Cadre d'Application Coordonné de l'EDPB pour 2025 a spécifiquement identifié "les techniques d'anonymisation inefficaces utilisées comme alternative à la suppression" comme un échec de conformité récurrent. Cette constatation signale que les APD évaluent la qualité de l'anonymisation, et non seulement la présence ou l'absence d'une étape d'anonymisation.
Le Cas d'Utilisation de la Société Néerlandaise d'Analyse de Données illustre l'approche correcte : une entreprise offrant des ensembles de données clients "anonymisés" à des chercheurs tiers utilise la méthode Redact (suppression permanente de PII sans mappage de jetons). L'ensemble de données résultant n'a aucun chemin vers la ré-identification — pas de clé, pas de tableau de jetons, pas de préimage de hachage — répondant au seuil du Considérant 26 du GDPR. Le DPO documente cette détermination dans l'EIA : méthode utilisée, types d'identifiants couverts, base d'irréversibilité, évaluation du risque résiduel de ré-identification. L'ensemble de données est hors du champ d'application du GDPR. Les obligations du GDPR (y compris les droits des personnes concernées, les limites de conservation et les garanties de transfert) ne s'appliquent pas aux copies de recherche tierces.
Sélection de Méthode par Objectif de Conformité
Hors du champ d'application du GDPR (véritable anonymisation) : Utilisez Redact (suppression permanente) ou Hash (de valeurs à haute entropie, non devinables). Documentez la base d'anonymisation. Aucune obligation du GDPR ne s'applique à la sortie.
Dans le champ d'application du GDPR avec risque réduit (pseudonymisation) : Utilisez Replace, Mask ou Encrypt. Toutes les obligations du GDPR continuent de s'appliquer. La pseudonymisation réduit le risque de préjudice dû à un accès non autorisé mais ne supprime pas le champ d'application du GDPR.
Réversibilité contrôlée (recherche, audit, découverte) : Utilisez Encrypt avec des clés détenues par le client. Le GDPR s'applique. Les arrangements de garde des clés doivent respecter les exigences de séparation des clés des Lignes directrices de l'EDPB 05/2022. Documentez le domaine de pseudonymisation.
Sources :