Anonymiser vs Pseudonymiser : 20 M€ en Jeu
L'article 83 du RGPD fixe les amendes maximales à 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel. Une seule question juridique détermine ce risque : la réglementation s'applique-t-elle à votre jeu de données ?
L'anonymisation supprime le champ d'application. La pseudonymisation, non. Cet écart est considérable.
Les Deux Définitions en Clair
Le considérant 26 fixe le seuil de l'anonymisation. Une personne doit être « non identifiée ou non identifiable ». Le test est large. Il couvre tous les moyens « raisonnablement susceptibles d'être utilisés ». Cela inclut le responsable du traitement, tout sous-traitant et tout tiers.
L'article 4(5) définit la pseudonymisation. Les données sont pseudonymisées lorsqu'une clé peut les réidentifier. Supprimez la clé, les données demeurent. Ces informations supplémentaires doivent être conservées séparément. Ce n'est pas de l'anonymisation.
Les données pseudonymisées restent des données personnelles. La réglementation s'applique pleinement. Il n'existe aucune exemption du champ d'application. Point final.
Ce que Coûte une Mauvaise Classification
Traiter un jeu de données pseudonymisées comme anonymes crée cinq problèmes simultanément :
- Entrées ROPA incorrectes au titre de l'article 30
- Aucune procédure de droits des personnes pour l'accès, l'effacement ou la portabilité
- Aucun calendrier de conservation — aucun déclencheur de suppression n'existe
- Aucune garantie de transfert pour les activités transfrontalières
- Aucune voie d'effacement pour les demandes de droit à l'effacement
Chaque lacune constitue une infraction distincte. Les cinq peuvent coexister dans un seul pipeline.
Le Signal d'Application 2025
En 2025, le CEPD a mené une action d'application coordonnée. Le rapport a identifié un manquement récurrent : « des techniques d'anonymisation inefficaces utilisées comme alternative à la suppression. » Les autorités de protection contrôlent désormais la qualité de l'anonymisation — pas seulement l'existence d'une étape.
Un jeu de données tokenisé avec une table de correspondance est pseudonymisé. Il n'est pas anonyme. Il possède une clé. La clé peut le réidentifier. Le qualifier d'anonyme est exactement le manquement ciblé par le rapport 2025.
Choisir la Bonne Méthode
Anonymisation réelle — hors champ d'application. Utilisez la suppression définitive. Les données personnelles sont effacées sans lien de retour. Vous pouvez également hacher des valeurs à haute entropie sans chemin de préimage. Documentez la base. Aucune obligation légale ne s'attache au résultat.
Pseudonymisation — dans le champ d'application. Utilisez le remplacement, le masquage ou le chiffrement. La réglementation s'applique pleinement. La pseudonymisation réduit le préjudice en cas de violation. Elle ne réduit pas les obligations légales.
Réversibilité contrôlée — recherche ou audit. Utilisez le chiffrement avec des clés détenues par le client. La gestion des clés doit respecter les lignes directrices 05/2022 du CEPD sur la séparation des clés. Notez le domaine dans l'AIPD.
Un Cas Concret
Une entreprise vend des données clients « anonymisées » à des chercheurs. Elle applique la méthode de suppression définitive. Les données personnelles sont effacées. Aucune table de tokens. Aucun préimage de hachage. La réidentification n'a aucun chemin possible.
Le DPO consigne cela dans l'AIPD. Méthode utilisée. Types d'identifiants concernés. Pourquoi cela ne peut pas être annulé. Niveau de risque résiduel. Le résultat est hors champ d'application. Les droits des personnes, les délais de conservation et les règles de transfert ne s'appliquent pas aux copies de recherche.
La méthode correspond à l'affirmation. C'est le processus correct. Il résiste à un audit.
Pourquoi Documenter la Base est Essentiel
Une entreprise ne peut pas simplement affirmer l'anonymisation. L'affirmation doit être étayée par un document. L'AIPD doit démontrer quatre points. Quels identifiants ont été couverts. Quelle méthode a été utilisée. Pourquoi la réidentification n'a aucun chemin. Quel est le niveau de risque résiduel.
Sans ce document, un audit traite le jeu de données comme relevant du champ d'application. L'ensemble des obligations s'applique. L'entrée ROPA doit exister. Les garanties de transfert doivent exister. La voie d'effacement doit exister. Aucune obligation ne disparaît sans preuve.
Pour l'interaction des droits à l'effacement avec les données anonymisées, voir Droit à l'effacement du RGPD et orientations CEPD 2025. Pour les règles de transfert lors du partage transfrontalier, voir Conformité des transferts et l'amende TikTok.