Qu'est-ce que le quasi-PII ?
Le RGPD Article 4 couvre toutes les données permettant d'identifier une personne. Les données n'ont pas besoin de nommer quelqu'un directement. Il suffit que l'identification soit possible par des étapes supplémentaires.
Les identifiants internes des employés en sont un exemple clair. Prenez la valeur « EMP-EU-123456 ». Cette chaîne ne nomme personne. Mais le système RH contient une table de correspondance simple. EMP-EU-123456 pointe vers Maria Schmidt, Ingénieure Senior, Munich. Toute personne ayant accès à cette table peut la retrouver. Selon le RGPD, cet identifiant est une donnée personnelle.
La même règle s'applique à d'autres codes internes :
- Numéros de compte client liés aux enregistrements CRM
- Codes de projet liés aux noms de clients dans les systèmes contractuels
- Numéros de référence dans les dossiers juridiques
- Numéros de dossier médical liés aux dossiers patients
Supprimer les noms et les adresses e-mail ne suffit pas. Si les identifiants internes restent dans un fichier, la réidentification n'est qu'à deux étapes.
Pourquoi cette lacune entraîne des amendes
34 % de toutes les amendes RGPD concernent des mesures techniques insuffisantes au titre de l'Article 32. Ce chiffre provient du rapport annuel RGPD 2025 de DLA Piper. L'incapacité à détecter les identifiants internes quasi-identifiants entre dans cette catégorie.
L'EDPB a traité plus de 900 cas de mécanisme de cohérence en 2024. La mise en œuvre transfrontalière signifie qu'une lacune dans un jeu de données partagé peut déclencher une action coordonnée dans plusieurs États membres de l'UE.
Les outils PII standard détectent des formats universels : noms, e-mails, numéros de téléphone, identifiants nationaux. Ils ne connaissent pas votre format d'identifiant interne. Aucun outil ne le connaît tant que vous ne le lui indiquez pas. C'est la lacune.
Comment fonctionne le générateur de patterns sans code
Une entreprise mondiale de logistique doit anonymiser les dossiers des employés pour un audit externe. Les identifiants employés suivent ce format : EMP-[RÉGION]-[6 chiffres]. Trois exemples : EMP-EU-123456, EMP-APAC-789012, EMP-AMER-345678.
L'équipe conformité entre trois exemples dans l'assistant de patterns IA. L'IA retourne :
- Pattern :
EMP-[A-Z]{2,4}-\d{6} - Correspond aux trois exemples fournis
- Nom d'entité suggéré : EMPLOYEE-ID
- Étape suivante recommandée : tester avec d'autres codes de région
L'équipe teste dix autres échantillons. Le pattern fonctionne sur tous.
Ils sauvegardent l'entité personnalisée dans le preset RGPD partagé de l'équipe. Les 47 documents du dossier d'audit sont traités en un seul lot. Chaque identifiant d'employé est remplacé par un libellé basé sur le rôle. Le cabinet d'audit reçoit des fichiers qui ne peuvent plus être reliés à aucun individu.
Aucune aide technique n'est nécessaire. La configuration complète prend moins d'une heure.
Ce qui se passe ensuite
Une fois l'entité personnalisée sauvegardée dans un preset partagé, tous les membres de l'équipe utilisent la même configuration. Les nouveaux collaborateurs la reçoivent dès le premier jour. Les traitements par lot, les appels API et les téléchargements manuels appliquent tous le même pattern.
Le journal d'audit indique quel preset a été utilisé pour chaque fichier. Si une autorité de protection des données demande des preuves, vous pouvez les fournir.
Pour le workflow complet de configuration d'entités personnalisées, voir identifiants PII personnalisés pour l'anonymisation organisationnelle. Pour une configuration cohérente entre équipes, voir presets d'anonymisation pour les audits RGPD.