anonym.legal

By · Last updated 2026-02-27

Retour au blogTechnique

Réversible vs. Permanent : Pourquoi le choix de votre...

Le RGPD distingue l'anonymisation de la pseudonymisation. Les tribunaux exigent des documents originaux. La recherche nécessite une ré-identification.

February 27, 20267 min de lecture
redactionencryptionpseudonymizationGDPRe-discovery

Le choix central

Quand vous protégez des données privées, une question essentielle se pose : pouvez-vous récupérer l'original ?

La rédaction permanente supprime le contenu définitivement. Il n'existe aucun moyen de le récupérer.

Le chiffrement réversible remplace les noms et identifiants par des jetons. Vous pouvez restaurer l'original avec la bonne clé.

Cet écart détermine vos options juridiques et de conformité. Choisir la mauvaise méthode peut vous empêcher de respecter une ordonnance judiciaire ou une demande réglementaire.

Les deux méthodes ont des usages valables. La clé est de savoir laquelle utiliser, et quand. La plupart des outils ne proposent que la suppression permanente — ce qui limite vos options si la situation évolue.

Notre aperçu de la conformité légale explique comment chaque approche correspond aux obligations juridiques courantes.

Le RGPD établit une distinction claire

Le RGPD distingue deux groupes : les enregistrements anonymisés et les enregistrements pseudonymisés.

Anonymisation réelle

Si un enregistrement ne peut pas être lié à une personne, le RGPD ne s'applique pas. La loi est hors champ.

Trois conditions doivent être remplies :

  • La réidentification doit être impossible.
  • Aucun fichier supplémentaire ne doit permettre la réidentification.
  • Le processus doit être véritablement irréversible.

C'est le principal avantage. Les enregistrements anonymisés sont hors du champ du RGPD.

Pseudonymisation selon l'Article 4(5)

La pseudonymisation remplace les identifiants par des jetons. L'original peut être restauré à l'aide d'une clé stockée.

Points essentiels :

  • Les enregistrements restent des données personnelles au sens du RGPD.
  • Cela constitue une mesure de sécurité au sens de l'Article 32.
  • Cela réduit le risque en cas de violation.
  • Cela autorise le traitement à des fins de recherche en vertu de l'Article 89.
MéthodeStatut RGPDRestaurableUsage principal
AnonymisationNon personnelNonFichiers publics
PseudonymisationPersonnelOuiUsage interne

Quand la suppression permanente crée des risques

Divulgation légale

Les tribunaux peuvent ordonner la production des documents originaux.

  • Les privilèges peuvent être contestés.
  • Les juges peuvent examiner les fichiers à huis clos.
  • La partie adverse peut contester ce qui a été supprimé.
  • Les appels peuvent nécessiter le texte original complet.

Si vous avez effacé définitivement le contenu, vous ne pouvez pas vous conformer.

Un cabinet d'avocats a supprimé les noms de clients de tous les dossiers. Le tribunal a remis en cause un privilège. Le cabinet n'a pas pu produire les originaux. Des sanctions ont suivi.

Audits réglementaires

Les auditeurs peuvent demander à voir les enregistrements complets.

  • Les audits financiers ont besoin des détails de transaction.
  • Les audits de santé exigent les dossiers patients.
  • Les audits RGPD peuvent couvrir toutes les étapes de traitement.

Dire « nous l'avons supprimé définitivement » est rarement une réponse acceptable.

Recherche nécessitant une réidentification

Les études longues doivent relier des enregistrements dans le temps.

  • La recherche médicale suit les résultats des patients sur des années.
  • Les travaux académiques nécessitent des phases de suivi.
  • Les revues qualité ont besoin de données de tendance.

La suppression permanente bloque tout cela.

Besoins opérationnels

Les équipes ont souvent besoin de récupérer les enregistrements originaux.

  • Les clients demandent leurs documents originaux.
  • Les revues internes ont besoin de la vue complète.
  • Les décisions importantes nécessitent tout le contexte.
  • Les pistes d'audit peuvent exiger le texte source brut.

Quand utiliser chaque méthode

Utiliser la suppression permanente quand :

CasExemple
Publication publiqueProjets open data
Aucune réidentification nécessaireStatistiques publiées
Requis par la loiCertaines notifications de violation
Limites de stockageFichiers que vous ne devez pas conserver

Utiliser le chiffrement réversible quand :

CasExemple
Divulgation légaleProduction en e-discovery
Rapports internesAnalyses, tableaux de bord
RechercheÉtudes longitudinales
Service clientGestion documentaire
Preuve d'auditEnregistrements de conformité

Fonctionnement du chiffrement réversible

anonym.legal utilise AES-256-GCM pour chiffrer et restaurer le contenu.

Étape de chiffrement

Original : "John Smith, SSN 123-45-6789"
    ↓
[Détecter les données personnelles]
    ↓
Entités : PERSON("John Smith"), SSN("123-45-6789")
    ↓
[Générer la clé]
    ↓
[Chiffrer chaque élément]
    ↓
Sortie : "[PERSON_abc123], SSN [SSN_def456]"

Étape de déchiffrement

Entrée : "[PERSON_abc123], SSN [SSN_def456]"
    ↓
[Charger la clé]
    ↓
[Déchiffrer les jetons]
    ↓
Sortie : "John Smith, SSN 123-45-6789"

Sécurité de la clé

La clé est :

  • Générée sur votre appareil. Elle utilise une source aléatoire sécurisée.
  • Jamais transmise aux serveurs anonym.legal.
  • Stockée dans votre propre coffre de clés.
  • Protégée par votre propre authentification.

Sans la clé, le déchiffrement est impossible.

Exemple : divulgation légale

Un cabinet doit produire des documents dans un litige.

Sans chiffrement réversible

  1. Supprimer définitivement le contenu privilégié.
  2. Envoyer les fichiers à la partie adverse.
  3. Le tribunal conteste le privilège.
  4. Le cabinet ne peut pas produire les originaux.
  5. Des sanctions suivent.

Avec anonym.legal

  1. Chiffrer le contenu privilégié (réversible).
  2. Envoyer la version chiffrée.
  3. Le tribunal conteste le privilège.
  4. Déchiffrer et soumettre à l'examen du tribunal à huis clos.
  5. Le tribunal statue sur le privilège.
  6. Envoyer la bonne version.

Vous gardez le contrôle à chaque étape. Vous pouvez répondre à toute ordonnance judiciaire. Notre page de cas d'usage juridique décrit le flux complet. Consultez la page zero-knowledge pour savoir comment les clés restent de votre côté.

Sources

Articles connexes

Technique

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

Technique

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

Technique

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

Prêt à protéger vos données ?

Commencez à anonymiser les PII avec plus de 285 types d'entités dans 48 langues.

Commencer l'essai gratuitVoir les fonctionnalités

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.