La pseudonymisation et l'anonymisation sont des techniques de sécurité qui visent à protéger la confidentialité des données à caractère personnel des personnes qui les fournissent.

La pseudonymisation consiste à remplacer les données avec des pseudonymes ou des identifiants générés par ordinateur. Elle permet aux utilisateurs et aux entreprises de collecter et d'utiliser des données à caractère personnel sans révéler l'identité réelle des personnes concernées.

L'anonymisation, en revanche, est une méthode plus avancée qui vise à rendre impossible de retracer les données à la source originale. Elle consiste à supprimer ou à masquer toutes les informations qui peuvent être utilisées pour identifier une personne, tel que le nom, l'adresse et le numéro de téléphone.

⚠️ En tant que DPO, vous devez être conscient des différences entre la pseudonymisation et l'anonymisation et comprendre comment chacune peut être utilisée pour protéger les données à caractère personnel de vos clients et utilisateurs.

Dans un arrêt récent du 8 février 2023, le Conseil d'État oriente les organisations en apportant des éléments permettant de faire la distinction entre pseudonymisation et anonymisation dans la pratique.

Les éléments permettant de faire la distinction

Les éléments permettant d'identifier les personnes concernées doivent être occultés, soit dissimulés, afin de ne pas porter atteinte à la protection de la vie privée.

Si les données personnelles ont fait l'objet d'une pseudonymisation, laquelle ne permet l'identification des personnes en cause qu'après recoupement d'informations, le Conseil d'État indique alors qu'il faut observer, au cas par cas, si la communication des données pseudonymisées est susceptible de porter atteinte à la protection de la vie privée.

Les DPO doivent donc vérifier si la communication porte atteinte à la protection de la vie privée, au regard :

• de la sensibilité des informations ; et
• aux efforts nécessaires pour identifier les personnes concernées.

Le juge appréciera, en cas de litige, ces deux éléments.

💡 Les professionnels peuvent donc opter pour la pseudonymisation des données, mais seulement si les informations ne sont pas sensibles, et s'il est tout de même difficile d'identifier les personnes concernées. Dans le cas contraire, il faut impérativement anonymiser les données.

Voulez-vous optimiser la sécurité et la confidentialité de vos données ? Découvrez comment Dastra peut vous aider en générant un référentiel des mesures de sécurité ainsi qu'en adoptant une gestion des données par les risques !