Anonymisation données et RGPD, pourquoi cela risque de ne pas suffire.
L’Anonymisation, un Traitement Irréversible des Données
Selon l’article 4 du RGPD, l’anonymisation consiste à utiliser des moyens techniques pour rendre impossible, en pratique, toute identification d’une personne. Il s’agit typiquement de supprimer les données directement identifiantes (nom, prénom, date de naissance…) ou d’utiliser des techniques statistiques agrégeant les données.
Lorsqu’elle est rigoureuse, l’anonymisation permet de soustraire les données au champ d’application du RGPD. En effet, les données anonymisées ne sont plus considérées comme « personnelles », dans la mesure où elles ne peuvent raisonnablement plus être rattachées à une personne.
Cependant, réussir une anonymisation parfaite est un défi complexe. Des chercheurs ont montré qu’il est souvent possible de réidentifier des individus en croisant des données anonymes avec d’autres sources. Les autorités recommandent donc de maintenir des garde-fous.
La Pseudonymisation, une Mesure de Sécurité Interne
A contrario, la pseudonymisation opère un simple masquage partiel des données. Selon l’article 4 du RGPD, il s’agit de rendre les données personnelles non-attribuables à une personne, sauf par l’utilisation d’informations supplémentaires conservées séparément.
Concrètement, la pseudonymisation substitue les noms et prénoms par des pseudonymes, et peut également chiffrer ou hacher certaines données. Mais le lien avec les individus demeure présent indirectement, ce qui maintient les données sous la protection du RGPD.
La pseudonymisation est ainsi considérée comme une mesure de sécurité interne des données. Elle réduit les impacts en cas de fuite ou d’intrusion, mais ne dispense pas du respect des obligations légales.
Un Défi Perpétuel lié aux Avancées Technologiques
L’efficacité sur le long terme de l’anonymisation et de la pseudonymisation reste un défi ouvert, étant donné les progrès incessants en matière d’analyses de données et d’intelligence artificielle.
Même des techniques statistiques réputées solides peuvent être contournées par de nouvelles approches. Par exemple, des algorithmes permettant la réidentification à partir de données médicales anonymes ont été présentés dès les années 1990. Plus récemment, la montée en puissance du deep learning accentue ce risque.
Il est donc essentiel que les entreprises fassent preuve de précaution, suivent les conseils des autorités de protections des données, et réévaluent régulièrement leurs politiques en matière de traitement des données personnelles. Le RGPD n’est pas une fin en soi, mais le début d’un processus d’amélioration continue de la conformité privacy.