Le règlement général sur la protection des données (RGPD) définit pour la première fois le terme "pseudonymisation" dans le droit européen et le cite comme mesure de protection concrète. Malgré la définition légale, il y a eu dans le passé des incertitudes quant à la mise en œuvre dans la pratique. C'est pourquoi le Comité européen de la protection des données (CEPD) a publié le 16 janvier de nouvelles lignes directrices sur la pseudonymisation, qui devraient apporter plus de clarté.
Pseudonymisation selon l'article 4, paragraphe 5 du RGPD
Selon l'article 4, paragraphe 5 du RGPD, la pseudonymisation signifie "le traitement de données à caractère personnel de telle manière que ces données ne puissent plus être attribuées à une personne concernée spécifique sans avoir recours à des informations supplémentaires".
Il s'agit d'une mesure qui peut réduire les risques pour les personnes concernées et aider les responsables du traitement et les sous-traitants à respecter leurs obligations en matière de protection des données.
Les lignes directrices de l'EDSA visent désormais à aider les responsables de traitement à remplir leurs obligations en matière de protection des données par le biais de la conception technique, des paramètres par défaut respectueux de la vie privée et de la sécurité.
Objectifs et avantages de la pseudonymisation
La pseudonymisation réduit les risques liés à la protection des données, tels que l'accès non autorisé ou le détournement de finalité, tout en soutenant les analyses sans permettre l'identification directe des personnes concernées.
Elle sert à minimiser les risques de confidentialité, à respecter le principe de finalité et à accroître la transparence et la sécurité.
Les données pseudonymisées restent toutefois des données à caractère personnel si des informations supplémentaires permettent de les associer. cet égard, l'AESPD écrit dans ses lignes directrices : "Les données pseudonymisées qui peuvent être attribuées à une personne physique grâce à l'utilisation d'informations supplémentaires doivent être considérées comme des informations concernant une personne physique identifiable et sont donc à caractère personnel". Il ajoute que cela s'applique également lorsque les données pseudonymisées et les informations supplémentaires ne sont pas détenues par la même personne.
Dans le même temps, l'AESPD souligne que le RGPD ne prévoit pas d'obligation générale de pseudonymisation. Au contraire, il appartient au responsable du traitement de décider des moyens à mettre en œuvre pour remplir ses obligations, en tenant compte du principe de responsabilité.
Conseil de lecture : Anonymisation des données à caractère personnel - un guide pratique
Mesures pour une pseudonymisation efficace
Selon l'EDSA, trois mesures doivent être prises pour réaliser une pseudonymisation efficace :
- Modification des données, par exemple en supprimant des identifiants : pour cela, les données doivent être modifiées ou transformées.
- Contrôle d'accès : les informations supplémentaires qui permettent d'attribuer les données à caractère personnel à une personne concernée spécifique doivent être conservées séparément. Cela peut se faire au moyen d'une clé de pseudonymisation. Cela doit être fait séparément des personnes qui doivent être empêchées de faire une telle association.
- Des mesures techniques et organisationnelles doivent être prises pour garantir que les données à caractère personnel ne puissent pas être attribuées à une personne physique identifiée ou identifiable. Il convient notamment d'empêcher toute utilisation non autorisée des données. Pour ce faire, il est recommandé de mettre en place une zone de pseudonymisation qui définit les conditions générales du traitement des données.
La pseudonymisation est un outil flexible qui favorise la protection des données et permet aux responsables du traitement des données de se conformer aux exigences légales et de minimiser les risques tout en préservant la capacité d'analyse des données. Son efficacité dépend toutefois en grande partie d'une mise en œuvre minutieuse et d'une analyse du contexte de traitement.
Dans ses nouvelles lignes directrices, l'EDSA fournit des conseils détaillés sur la mise en œuvre, en s'appuyant sur des exemples concrets tirés de la pratique. Les lignes directrices sont soumises à une consultation publique jusqu'au 28 février, afin de permettre aux parties prenantes de formuler des observations et de tenir compte de l'intégration des évolutions récentes de la jurisprudence.
Source : Lignes directrices du Comité européen de la protection des données sur la pseudonymisation
Découvrez comment Ailance peut vous aider à anonymiser et à pseudonymiser automatiquement les données personnelles. Nous nous ferons un plaisir de vous conseiller ! N'hésitez pas à prendre contact avec nous :
Tél: +33 1 856 59880
Courrier électronique : paris@2b-advice.com
French 
German 
English 
Italian