Résumé
La pseudonymisation est introduite explicitement dans le RGPD. Elle limite le risque d’identification directe tout en permettant la réidentification par l’utilisation d’informations séparées et protégées. Toutefois, les données pseudonymisées restent des données personnelles soumises à la réglementation européenne.
Définition
«pseudonymisation», le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable
Article 4(5) du RGPD
Intérêt
La pseudonymisation des données à caractère personnel permet de :
✅ Réduire les risques pour les personnes concernées
✅ Participer à la sécurisation des données
Problématique
Une donnée à caractère personnel ayant fait l’objet d’une pseudonymisation reste considérée comme une information concernant une personne physique identifiable. L’un des grands défis du traitement des données personnelles est de concilier la sécurité des informations et leur utilité pour la conduite des activités (recherche, statistiques, archivage, etc.). En cas de violation de données, il existe un risque un renversement non autorisé de la procédure de pseudonymisation ou autrement dit de réidentification par croisement ou fuite d’informations complémentaires.
Recommandations
✅ Mettre en œuvre la pseudonymisation dès la conception des projets
✅ Sécuriser strictement l’accès aux données permettant la réidentification
✅ Former les équipes sur la distinction entre anonymisation et pseudonymisation.
✅ Documenter et auditer régulièrement les processus techniques
✅ Prendre en compte les lignes directrices de l’EDPB
Législation
- RGPD : considérants 26, 28 et 29 ; articles 4(5), 6, 25, 32, 40, 89
Jurisprudence
- 11.02.2025, CNIL, rappel à l’ordre de Qwant sur le transfert de données pseudonymisées à Microsoft
- 06.02.2025, CJUE, C-413/23, conclusions de l’avocat général
- Il convient de déterminer si le destinataire des données pseudonomysées disposait de moyens raisonnables d’identifier lesdits réclamants, il pourrait être considéré comme traitant des données à caractère personnel.
- L’obligation d’information incombe au responsable de traitement en amont du transfert des données en cause et indépendamment de leur caractère personnel ou non entre les mains du destinataire des données pseudonomysées.
Actualités
- 16.01.2025, EDPB Guidelines 01/2025 on Pseudonymisation & when and how to apply it
- 13.01.2022, CNIL, Recherche scientifique (hors santé) : enjeux et avantages de l’anonymisation et de la pseudonymisation
Contact:Besoin de l’aide d’un avocat pour un problème de pseudonomysation? Contactez Me Marine de la Clergerie (contact@mdc-avocat.fr, www.mdc-avocat, Consultation, LinkedIn), Avocat au Barreau de Toulouse, spécialiste en Droit du numérique et des communications, avec la qualification spécifique Droit des données à caractère personnel
