Le problème des quasi-PII
L'article 4 du GDPR définit les données personnelles comme "toute information se rapportant à une personne physique identifiée ou identifiable." Le mot clé est "identifiable" — pas seulement actuellement identifié, mais capable d'être identifié par un traitement supplémentaire. Une valeur qui n'est pas directement identifiante mais qui peut être liée à une personne réelle par des systèmes internes est une donnée personnelle au sens du GDPR.
Les identifiants internes des employés sont l'exemple le plus courant. "EMP-EU-123456" n'identifie directement personne. Mais la base de données RH contient un tableau : EMP-EU-123456 → Maria Schmidt, Ingénieur senior, Munich. Tout document contenant EMP-EU-123456 peut être lié à Maria Schmidt par quiconque ayant accès à la base de données RH. Selon le GDPR, EMP-EU-123456 est une donnée personnelle — c'est une information se rapportant à une personne physique identifiable.
La même analyse s'applique aux numéros de compte client (liens vers des enregistrements CRM), aux codes de projet (liens vers l'identité du client dans les bases de données de contrats), aux numéros de référence internes pour les affaires juridiques (liens vers les participants à l'affaire dans le DMS), et aux numéros de dossier médical dans des systèmes externes (liens vers les dossiers des patients dans le DSE de l'hôpital).
Les organisations qui anonymisent les PII évidents (noms, adresses e-mail, numéros d'identité nationaux) mais laissent les identifiants internes intacts n'ont pas atteint une anonymisation conforme au GDPR. Elles ont réalisé une désanonymisation en deux étapes plutôt qu'une — nécessitant qu'un attaquant (ou un employé trop curieux) consulte la base de données RH plutôt que de lire le document directement.
L'écart de couverture dans la pratique
Le rapport annuel GDPR 2025 de DLA Piper a révélé que 34 % de toutes les amendes GDPR concernent des mesures techniques inadéquates en vertu de l'article 32 — l'exigence de mettre en œuvre des mesures techniques appropriées. Une anonymisation inadéquate, y compris le fait de ne pas détecter et supprimer les identifiants internes quasi-identifiants, est une catégorie documentée de violations de l'article 32.
Le CEPD a traité plus de 900 cas de mécanisme de cohérence en 2024, reflétant le volume croissant de coordination des mesures d'exécution entre les États membres de l'UE. L'exécution transfrontalière (où l'autorité de contrôle principale dans un pays coordonne avec d'autres) signifie qu'une violation de l'article 32 dans un ensemble de données partagé au-delà des frontières de l'UE peut déclencher une exécution coordonnée.
La solution de modèle sans code
Pour l'équipe de conformité d'une entreprise de logistique mondiale anonymisant les dossiers des employés pour un audit RH externe :
Les identifiants des employés suivent le format EMP-[RÉGION]-[0-9]{6} — EMP-EU-123456, EMP-APAC-789012, EMP-AMER-345678. L'équipe de conformité fournit 3 exemples à l'assistant de modèle AI. L'IA retourne : modèle détecté EMP-[A-Z]{2,4}-d{6}; correspond à tous les exemples fournis; nom d'entité suggéré : EMPLOYEE-ID; test contre des cas limites incluant différents codes régionaux.
L'équipe teste contre 10 échantillons supplémentaires, y compris EMP-DACH-000001 et EMP-APAC-999999. Le modèle valide correctement. L'entité personnalisée est enregistrée dans le préréglage de conformité GDPR partagé avec tous les membres de l'équipe. Tous les 47 documents dans le package d'audit RH sont traités en un seul lot. Tous les identifiants des employés sont remplacés par des pseudonymes basés sur le rôle. Le cabinet d'audit reçoit des documents qui ne peuvent pas être liés à des employés individuels par le biais de toute base de données interne.
Sources :