anonym.legal

By · Last updated 2026-03-15

Retour au blogTechnologie juridique

Le piège de l'anonymisation permanente...

34,8 % des entrées de ChatGPT contiennent des données sensibles (Cyberhaven).

March 15, 202610 min de lecture
reversible encryptionspoliation risklegal discovery complianceGDPR pseudonymizationAES-256-GCM

Mis à jour pour 2026

Une solution, deux nouveaux risques

De nombreuses entreprises bloquent les fuites liées à l'IA en supprimant les noms et identifiants avant que le texte n'atteigne un fournisseur IA. Le hachage unidirectionnel, la rédaction stricte ou la suppression totale semblent sûrs. L'IA reçoit un texte propre. Les détails sensibles restent en interne.

La logique tient du côté sécurité. L'étude Cyberhaven Q4 2025 a révélé que 34,8 % des contenus envoyés à ChatGPT contiennent des données sensibles. Le rapport Ponemon 2024 a chiffré le coût moyen d'une violation IA à 2,1 millions de dollars. Le risque est réel et le coût est élevé.

Mais la suppression totale échange un risque contre un autre : la spoliation de preuves.

Pour les entreprises soumises à des procédures judiciaires ou des audits, détruire la capacité à restaurer des enregistrements bruts peut constituer une spoliation en vertu des règles fédérales et étatiques.

L'échelle du partage IA

Des recherches d'eSecurity Planet et Cyberhaven ont révélé que 77 % du personnel partage des données sensibles avec des outils IA chaque semaine. Cela couvre le droit, la santé, la finance et la technologie.

Les contenus partagés incluent souvent :

  • Courriers clients et notes de dossier
  • Projets de contrats et conditions
  • Plans internes et documents d'affaires
  • Modèles financiers et projections
  • Mémos juridiques et notes de dossier
  • Dossiers patients et notes cliniques
  • Fichiers RH et communications du personnel

Quand la suppression totale est le contrôle IA, tout document qui y passe peut perdre sa valeur juridique. Si ces documents apparaissent dans un litige — très probable sur toute période pluriannuelle pour les entreprises en secteurs réglementés — l'entreprise a potentiellement perdu des preuves.

Consultez notre aperçu de la conformité légale sur la façon dont anonym.legal remplit ses obligations de divulgation. Le guide du système de jetons explique le fonctionnement technique.

RGPD : la réversibilité est requise

L'article 4(5) du RGPD définit la pseudonymisation comme le traitement de données personnelles de telle façon qu'elles « ne peuvent plus être attribuées à une personne concernée spécifique sans recourir à des informations supplémentaires, sous réserve que ces informations soient conservées séparément. »

Le point clé : la clé permettant la réattribution doit être conservée. Les enregistrements pouvant être reliés via des clés stockées comptent comme pseudonymisés sous le RGPD.

Les enregistrements qui ne peuvent pas être reliés du tout ne sont pas pseudonymisés. Ils sont anonymisés. La différence est importante :

  • Les enregistrements masqués par jetons conservent certaines obligations RGPD mais peuvent être restaurés à des fins légales.
  • Les enregistrements totalement effacés peuvent sortir du champ du RGPD mais ne peuvent pas être restaurés du tout.

Les Lignes directrices 05/2022 du Comité européen de la protection des données confirment que la réversibilité est un élément central de la définition. Les entreprises utilisant la suppression unidirectionnelle ne font pas de pseudonymisation RGPD. Elles suppriment la capacité à récupérer des enregistrements.

En savoir plus dans notre hub de conformité et l'aperçu de la protection.

Règles fédérales : le test de spoliation

Selon les Federal Rules of Civil Procedure, les parties doivent conserver les enregistrements susceptibles d'être pertinents pour une action juridique attendue. Cette obligation commence dès qu'un litige est raisonnablement prévisible — pas au moment de son dépôt.

La Règle 37(e) permet aux tribunaux d'imposer des sanctions quand une partie ne préserve pas les enregistrements stockés. Les sanctions peuvent inclure :

  • Des instructions d'inférence défavorable
  • L'exclusion de preuves
  • Des sanctions mettant fin à l'affaire dans les cas graves

Voici comment cela se déroule. Une entreprise utilise des flux IA qui suppriment totalement le contenu sensible dans le cours normal des affaires. Ces enregistrements deviennent ensuite pertinents dans un litige. L'entreprise les a modifiés de sorte que le texte brut ne peut pas être restauré. Si cela s'est produit après l'attachement du devoir de conserver, l'exposition à la spoliation suit.

Ce n'est pas un cas marginal. Les entreprises dans des domaines réglementés avec une exposition juridique récurrente font face à des litiges prévisibles sur de larges types de documents. Déployer la suppression totale sur tous les flux — sans exceptions pour les enregistrements à risque — crée un grand risque de spoliation.

Réversible vs. unidirectionnel : différence clé

La différence entre le masquage réversible et unidirectionnel est dans la conception.

Unidirectionnel : sans retour possible

Le hachage SHA-256 d'un nom produit un hash fixe. Le nom ne peut pas en être dérivé. La rédaction stricte supprime le texte de sorte que le contenu brut est perdu.

Réversible : la récupération est possible

La substitution par jetons avec conservation de clé et le chiffrement AES-256-GCM transforment tous les deux les enregistrements de façons qui peuvent être annulées. Un nom remplacé par un jeton peut être restauré via une table de correspondance. Le contenu AES-256-GCM peut être déchiffré avec la bonne clé. Le texte brut reste accessible.

Pour la protection IA, les deux méthodes fonctionnent de la même façon. L'IA traite des jetons et ne voit jamais les vrais enregistrements.

Pour le devoir légal, seul le masquage par jetons réversible fonctionne. Les méthodes unidirectionnelles coupent la récupération et créent le risque de spoliation noté ci-dessus.

Lisez comment notre système de jetons gère cela de bout en bout. Pour plus de contexte : glossaire et FAQ.

La conception doublement conforme

Une conception qui répond à la fois aux besoins de sécurité IA et aux obligations légales de divulgation utilise le masquage par jetons AES-256-GCM réversible :

  1. Les enregistrements sont traités avant d'atteindre tout outil IA.
  2. Les éléments sensibles — noms, ID, PHI, contenu privilégié — sont échangés contre des jetons structurés.
  3. La table de jetons est conservée dans un magasin séparé avec des contrôles d'accès adaptés au type de données.
  4. Le traitement IA s'exécute sur la copie avec jetons. L'IA ne voit jamais les vrais enregistrements.
  5. Les résultats sont restaurés à l'aide de la table de jetons pour un usage commercial normal.
  6. La table de jetons est placée sous injonction de conservation quand les obligations de divulgation s'attachent.

Dans cette conception, aucun contenu brut n'est jamais perdu. Le fournisseur IA ne le voit jamais sous forme utilisable. La table de jetons permet la récupération quand la loi l'exige. Le risque de spoliation disparaît — aucun enregistrement n'est détruit. Ils sont seulement masqués d'une façon qui peut être annulée.

L'article 4(5) du RGPD est respecté : la clé (table de jetons) est conservée séparément avec les bonnes protections techniques et procédurales. Le devoir de conservation des Règles fédérales est respecté : les enregistrements bruts peuvent être restaurés lors d'une injonction de conservation.

Explorez notre approche de détection d'entités, l'aperçu de la protection et les plans et tarifs.

Le choix binaire

Les entreprises font face à un choix clair :

  • Supprimer les données définitivement — résoudre le problème de fuite IA mais créer un risque légal.
  • Utiliser le masquage par jetons réversible — satisfaire à la fois les besoins de protection et de conformité.

Le coût moyen de violation IA de 2,1 millions de dollars guide la décision sécurité. Mais les sanctions pour spoliation ne sont pas non plus bon marché. Dans les affaires à forts enjeux financiers, les coûts peuvent atteindre le même ordre de grandeur. Les deux risques méritent d'être pris en compte.

Une politique IA solide couvre les deux aspects. Elle bloque les enregistrements sensibles de quitter l'entreprise sous forme utilisable. Et elle garde ces mêmes enregistrements accessibles quand un tribunal ou un régulateur les demande. Le masquage par jetons réversible est la seule méthode qui fait les deux à la fois.

Plus de contexte : déclaration du fondateur et études de cas.

Sources

  • Cyberhaven Q4 2025 : Exposition aux données dans les outils IA — lien
  • IBM / Ponemon Institute : Rapport sur le coût des violations de données 2024 — lien
  • Lignes directrices CEPD 05/2022 sur la pseudonymisation — lien
  • Federal Rules of Civil Procedure Rule 37(e) — lien
  • E-Discovery LLC : Relevance Redactions and Legal Standards — lien

Articles connexes

Technologie juridique

Mixed Format E-Discovery: Compliance Gap

E-discovery productions and GDPR DSARs span PDFs, Word docs, Excel, and JSON exports. Using different tools for each format creates consistency gaps that.

Technologie juridique

The PDF Redaction Trap: Data Exposed

The DOJ Epstein files, the Manafort case, and NSA leaks all share the same failure: cosmetic redaction that leaves underlying text extractable.

Technologie juridique

Legal PII: Privilege Detection

Case reference numbers, bar admission numbers, court docket numbers, and client matter IDs are legally sensitive identifiers that standard PII tools miss.

Prêt à protéger vos données ?

Commencez à anonymiser les PII avec plus de 285 types d'entités dans 48 langues.

Commencer l'essai gratuitVoir les fonctionnalités

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.