RGPD : Quelle est la distinction entre anonymisation et pseudonymisation ?

Le Règlement Général sur la Protection des Données ou RGPD a été adopté par le Parlement européen en 2016 et est entré en vigueur en 2018. Cette réglementation érige un cadre légal pour la protection des données à caractère personnel pour l’Europe. Elle renforce la protection des individus dont les données sont collectées et les droits dont ils peuvent jouir. Pour vous conformer au RGPD et préserver vos données personnelles, vous avez le choix entre deux méthodes de protection : l’anonymisation ou la pseudonymisation des données. Mis à part ces deux techniques, en termes de protection de données, il est toujours préférable d’utiliser des logiciels tels que le Mailsafe d’Altospam.

RGPD : différence entre anonymisation et pseudonymisation des données

Sachez que le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non. Ce règlement est valable dès lors que l’organisme est établi sur le territoire de l’Union européenne ou que son activité cible directement des résidents européens. Son contenu édicte l’ensemble des obligations générales de sécurité des données personnelles. Il impose ainsi à chaque responsable de traitement et sous-traitant de mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées comme l’authentification des emails. Ceci afin de garantir un niveau de sécurité adapté à tous les risques. C’est là qu’interviennent l’anonymisation et la pseudonymisation qui sont deux mesures de sécurité prévues dans le RGPD.

RGPD

L’anonymisation des données

L’anonymisation des données a pour principe de rendre impossible l’identification d’une personne à partir d’un ensemble de données de manière irréversible. Seule l’organisation qui traite ces données sera ainsi capable de les exploiter.

Suivant la norme ISO 29100, il s’agit du processus par lequel des informations personnellement identifiables (IPI) sont irréversiblement altérées de telle façon que le sujet des IPI ne puisse plus être identifié directement ou indirectement. Cette impossibilité d’identification s’applique au responsable du traitement des IPI seul ou en collaboration avec une quelconque autre partie. Cette mesure de sécurité irréversible n’est pas imposée par le RGPD, mais il la conseille fortement. Dans ce sens, les données anonymisées ne sont plus reconnues comme à caractère personnel et pourront être gardées au-delà des durées de conservations prévues par le RGPD.

La pseudonymisation des données

Contrairement à l’anonymisation, la pseudonymisation des données a pour but de limiter les possibilités d’identification de la personne concernée et non de la rendre totalement irréalisable. En outre, ce procédé est révocable. On l’appelle d’ailleurs l’anonymisation réversible. En effet, le choix de recourir à cette mesure technique s’avère moins radical que sa variante.

Dans son article 4, Le RGPD définit la pseudonymisation comme le processus par lequel des données à caractère personnel ne peuvent plus être attribuées à un individu précis sans avoir recours à des informations supplémentaires. Elle consiste alors à remplacer une donnée directement identifiante par une autre non identifiante, soit à remplacer les informations personnelles d’un ensemble de données par des pseudonymes ou des identifiants. Elle s’applique par exemple à la codification ou la pseudonymisation du nom d’un client. Or cela n’empêche pas son individualisation s’il est possible d’avoir accès à d’autres attributs comme le sexe, l’adresse ou la date de naissance. Cela peut alors constituer un atout pour limiter la pseudonymisation vu qu’il n’efface en aucune manière le caractère nominatif des informations exploitées.