En bref
La pseudonymisation (art. 4(5) RGPD) maintient les données dans le champ des données personnelles. Le responsable de traitement doit séparer la table de correspondance et documenter rigoureusement le processus.
Définition juridique de la pseudonymisation au sens du RGPD
Art. 4, § 5, règlement (UE) 2016/679
« La pseudonymisation est le traitement de données personnelles de telle façon que celles-ci ne puissent plus être attribuées à une personne précise sans recourir à des informations supplémentaires conservées séparément et protégées par des mesures techniques et organisationnelles appropriées. »
Considérant 26, règlement (UE) 2016/679
« Les données pseudonymisées, pouvant être attribuées à une personne physique par le recours à des informations supplémentaires, constituent des données à caractère personnel relevant du champ d'application du règlement. Le critère pertinent est celui des moyens raisonnablement susceptibles d'être utilisés pour identifier la personne. »
Les techniques de pseudonymisation reconnues en pratique
Privilégier le hachage avec salage individuel
Utilisez un sel unique par enregistrement plutôt qu'un sel global. Cette approche neutralise les attaques par tables arc-en-ciel et empêche la corrélation entre enregistrements partageant une même valeur d'origine, renforçant significativement le niveau de protection.
Besoin d'un dossier juridique ?
Générez votre dossier complet en 3 minutes — mise en demeure personnalisée, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Pseudonymisation et anonymisation : une distinction juridique capitale
CJUE, 19 oct. 2016, Breyer c/ Bundesrepublik Deutschland, C-582/14
« La Cour a jugé qu'une adresse IP dynamique constitue une donnée personnelle lorsque le responsable de traitement dispose de moyens légaux raisonnablement utilisables pour identifier la personne concernée. Ce critère du moyen raisonnablement susceptible d'être utilisé s'applique par analogie à toute donnée pseudonymisée. »
Source : Cour de justice de l'Union européenne — Curia
Qualifier à tort des données pseudonymisées d'anonymes
Présenter des données pseudonymisées comme anonymes dans la documentation de conformité constitue une erreur grave. Seule une impossibilité irréversible de réidentification, vérifiable objectivement selon les critères du considérant 26, permet la qualification d'anonymat.
Obligations du responsable de traitement lors de la mise en œuvre
Art. 25, règlement (UE) 2016/679
« Le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, pour appliquer les principes de protection des données de façon effective. »
Art. 32, § 1, point a), règlement (UE) 2016/679
« Le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris la pseudonymisation et le chiffrement des données à caractère personnel. »
La pseudonymisation dans les régimes dérogatoires du RGPD
Art. 89, § 1, règlement (UE) 2016/679
« Les traitements à des fins de recherche scientifique, historique, statistique ou d'archivage dans l'intérêt public sont soumis à des garanties appropriées pour les droits de la personne concernée. Ces garanties peuvent comprendre la pseudonymisation, pour autant que les finalités puissent être atteintes de cette manière. »
Mesure supplémentaire pour les transferts hors UE
En cas de transfert vers un pays tiers sans décision d'adéquation, combinez la pseudonymisation avec des clauses contractuelles types. Veillez à ce que l'importateur ne dispose pas des informations supplémentaires permettant la réidentification, sans quoi la mesure perd toute efficacité.
Contrôle de la CNIL et régime des sanctions
Écart entre pseudonymisation déclarée et réalité opérationnelle
L'écart entre la pseudonymisation annoncée dans le registre des traitements et sa mise en œuvre technique réelle constitue l'un des manquements les plus fréquemment relevés lors des contrôles CNIL. L'autorité procède à des vérifications techniques, incluant des tests de réidentification.
Auditer régulièrement le dispositif de pseudonymisation
Mettez en place un audit interne annuel de votre dispositif de pseudonymisation, incluant un test de résistance à la réidentification, une revue des droits d'accès à la table de correspondance et une mise à jour des algorithmes cryptographiques conformément à l'état de l'art.
Questions fréquentes
La pseudonymisation supprime-t-elle toute obligation liée au RGPD ?
Non. Les données pseudonymisées demeurent des données à caractère personnel au sens de l'article 4, paragraphe 5, du RGPD. L'intégralité des obligations du règlement continue de s'appliquer : nécessité d'une base juridique, respect des droits des personnes concernées, tenue du registre des traitements et notification des violations de données.
Quelle est la différence juridique entre pseudonymisation et anonymisation ?
L'anonymisation rend irréversible toute identification de la personne concernée, faisant sortir les données du champ d'application du RGPD. La pseudonymisation maintient la possibilité de réidentification par le détenteur des informations supplémentaires. Les données pseudonymisées restent intégralement soumises au règlement européen.
Un sous-traitant peut-il détenir la table de correspondance des données pseudonymisées ?
Oui, à condition qu'un contrat de sous-traitance conforme à l'article 28 du RGPD soit conclu. Ce contrat doit prévoir des mesures de sécurité renforcées, une limitation stricte des accès, une interdiction de traitement à des fins propres et des obligations de restitution ou de suppression en fin de contrat.
Quelles sanctions encourt un responsable de traitement en cas de pseudonymisation insuffisante ?
Une pseudonymisation défaillante constitue un manquement à l'article 32 du RGPD, sanctionné d'amendes pouvant atteindre dix millions d'euros ou deux pour cent du chiffre d'affaires annuel mondial. Si l'article 25 est également violé, le plafond s'élève à vingt millions d'euros ou quatre pour cent du chiffre d'affaires.
Engager une procédure près de chez vous
Tribunaux judiciaires et commissaires de justice dans les principales juridictions
- Procédure à Rennes
- Procédure à Reims
- Procédure à Saint Etienne
- Procédure à Le Havre
- Procédure à Toulon
Votre ville n'est pas listée ? Voir toutes les juridictions (100+ villes) →
Vous êtes dans cette situation ?
Générez votre dossier complet en 3 minutes — mise en demeure, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Générer mon dossier juridiqueÀ partir de 14,90 € · paiement sécurisé · satisfait ou remboursé 14 jours