IMY Suède : Anonymisation RGPD et le standard nordique
L'Integritetsskyddsmyndigheten (IMY) de Suède applique le RGPD. Elle fixe aussi des normes techniques. Son guide d'anonymisation de 2023 est le document DPA le plus détaillé sur ce sujet dans l'UE. Douze autres autorités de protection des données de l'UE le citent comme référence. IMY a rendu 28 décisions d'exécution en 2024, pour un total de 8,5 millions d'euros.
Le cadre d'anonymisation de l'IMY
Le guide de l'IMY pose une règle centrale : l'anonymisation est un test technique. Les politiques et les contrats seuls ne rendent pas les données anonymes. L'IMY utilise quatre tests pour juger si des données sont véritablement anonymes.
k-anonymat : Chaque personne doit ressembler à au moins k-1 autres sur tous les champs clés. L'IMY recommande k≥5 pour les données de recherche.
l-diversité : Au sein de chaque groupe, les champs sensibles doivent contenir au moins l valeurs distinctes. Cela bloque les attaques par inférence, même si le k-anonymat est respecté.
Confidentialité différentielle : Du bruit est ajouté aux résultats des requêtes. La présence ou l'absence d'une seule personne ne peut pas être détectée dans la sortie.
Pseudonymisation vs anonymisation : La pseudonymisation remplace les identifiants par des codes mais conserve une clé de récupération. Elle reste régie par le RGPD. Seules les données qui réussissent ces quatre tests sont véritablement anonymes.
Consultez notre guide d'anonymisation pour l'entraînement ML conforme au RGPD pour l'application de ces tests aux projets IA.
Le taux d'exercice des droits suédois
79 % des adultes suédois exercent leurs droits RGPD chaque année. C'est le taux le plus élevé de l'UE. Dans la plupart des États membres, les demandes de droits découlent de plaintes. En Suède, elles font partie du quotidien numérique normal.
Les entreprises ayant des utilisateurs suédois doivent traiter de nombreuses demandes d'accès. Chacune doit recevoir une réponse dans un délai d'un mois. Les retards entraînent un suivi de l'IMY. Des données personnelles à jour dans tous les systèmes sont indispensables.
Personnummer : Le défi de l'identifiant suédois
Le personnummer suédois figure dans presque chaque document officiel suédois. Le format est de 10 ou 12 chiffres (AAMMJJ-XXXX). L'examen de l'IMY a montré que 45 % des outils NLP génériques ne détectent pas correctement le personnummer.
Variantes de format : Le numéro peut apparaître avec ou sans tiret. Il peut comporter 10 ou 12 chiffres. Les outils conçus pour un seul format ratent l'autre.
Vérification de Luhn : Sans vérification de Luhn, les outils signalent comme faux positifs toutes les chaînes de 10 chiffres. Ils ratent aussi les numéros dans des formats inhabituels.
Samordningsnummer : Ce numéro de coordination est utilisé pour les résidents étrangers en Suède. Il suit le même modèle que le personnummer mais ajoute 60 aux chiffres du jour de naissance (61–91 au lieu de 01–31). Les outils qui ne détectent que le personnummer standard ratent le samordningsnummer. C'est une lacune importante pour les entreprises avec du personnel ou des clients non suédois.
La position de l'IMY sur l'entraînement IA
L'IMY a publié en 2024 des orientations sur les données personnelles dans l'entraînement IA. Trois points importent pour les entreprises actives en Suède.
Premièrement, « l'entraînement IA » n'est pas en soi une finalité RGPD valide. Il doit être lié à un objectif final clair et précis.
Deuxièmement, les données pseudonymisées utilisées pour l'entraînement IA restent régies par le RGPD. Seules les données qui réussissent les tests de l'IMY peuvent être utilisées sans base juridique spécifique.
Troisièmement, les entreprises qui affinent des modèles IA sur des données suédoises doivent prouver une véritable anonymisation. Ou elles doivent documenter une base juridique claire.
Consultez notre guide d'anonymisation pour la loi européenne sur l'IA pour voir comment les régulateurs européens traitent l'entraînement IA dans l'ensemble du bloc.
Le coût de la conformité suédoise
La conformité RGPD d'entreprise en Suède coûte en moyenne 85 000 euros par an. La gestion des droits d'accès et les audits d'anonymisation font monter ce coût. L'automatisation de la détection des données personnelles selon les normes de l'IMY le réduit. Les vérifications manuelles ne peuvent pas suivre le rythme de l'exercice des droits en Suède.
Le cadre de l'IMY est cité dans toute l'UE. Le respecter place les entreprises dans une bonne position pour un contrôle européen plus large.