Le règlement général sur la protection des données (RGPD), le terme "PseudonymisationC'est la première fois que le droit européen définit et mentionne la notion de "mesure de protection concrète". Malgré la définition légale, il y a eu par le passé des incertitudes quant à la mise en œuvre dans la pratique. C'est la raison pour laquelle le Comité européen de la protection des données (CEPD) a adopté le 16 janvier de nouvelles dispositions. Lignes directrices vers Pseudonymisation qui devraient apporter plus de clarté.
Pseudonymisation selon l'article 4, paragraphe 5 du RGPD
Selon l'article 4, paragraphe 5 du RGPD, on entend par Pseudonymisation "les Traitement de données à caractère personnel de telle sorte que les données à caractère personnel ne puissent plus être attribuées à une personne concernée spécifique sans l'apport d'informations supplémentaires".
C'est une mesure qui permet de réduire les risques pour concernés Les données à caractère personnel peuvent être utilisées pour réduire le nombre de personnes concernées et aider les responsables du traitement et les sous-traitants à remplir leurs obligations en matière de protection des données.
Les lignes directrices de l'EDSA visent désormais à aider les responsables de traitement à remplir leurs obligations en matière de protection des données par le biais de la conception technique, des paramètres par défaut respectueux de la vie privée et de la sécurité.
Objectifs et avantages de la pseudonymisation
Pseudonymisation réduit les risques liés à la protection des données, tels que l'accès non autorisé ou le détournement de finalité, tout en soutenant les analyses sans permettre l'identification directe des personnes concernées.
Elle sert à minimiser les risques de confidentialité, à respecter le principe de finalité et à augmenter Transparence et la sécurité.
Les données pseudonymisées restent toutefois personnelles si des informations supplémentaires permettent de les classer. L'EDSA écrit à ce sujet dans ses Lignes directrices: "Les données pseudonymisées qui peuvent être attribuées à une personne physique par l'utilisation d'informations supplémentaires doivent être considérées comme des informations concernant une personne physique identifiable et sont donc personnelles". Cela vaut également lorsque les données pseudonymisées et les informations complémentaires ne sont pas détenues par la même personne.
Dans le même temps, l'EDSA souligne que RGPD pas d'obligation générale de Pseudonymisation ne prévoit pas. Il appartient plutôt au responsable de la Traitement responsable de décider des moyens à mettre en œuvre pour remplir ses obligations, en tenant compte du principe de responsabilité.
Conseil de lecture : Anonymisation des données à caractère personnel - un guide pratique
Mesures pour une pseudonymisation efficace
Afin de garantir une Pseudonymisation trois mesures doivent être prises, selon l'EDSA :
- Modification des données, par exemple en supprimant des identifiants : pour cela, les données doivent être modifiées ou transformées.
- Contrôle d’accès systèmeLes informations supplémentaires qui permettent d'attribuer les données à caractère personnel à une personne concernée spécifique doivent être conservées séparément. Cela peut se faire au moyen d'une clé de pseudonymisation. Cela doit être fait séparément des personnes qui doivent être empêchées de faire une telle association.
- Il y a mesures techniques et organisationnelles de prendre les mesures nécessaires pour garantir que les données à caractère personnel ne puissent pas être attribuées à une personne physique identifiée ou identifiable. Il convient notamment d'empêcher l'utilisation non autorisée des données. Pour ce faire, il est recommandé de mettre en place une zone de pseudonymisation qui définit les conditions générales du traitement des données.
Le site Pseudonymisation est un outil flexible pour promouvoir la protection des données et permet aux responsables du traitement des données de se conformer aux exigences légales et de minimiser les risques tout en préservant la capacité d'analyse des données. Toutefois, son efficacité dépend dans une large mesure d'une mise en œuvre minutieuse et d'une analyse du contexte de traitement.
L'EDSA donne dans les nouveaux Lignes directrices des recommandations d'action détaillées pour la mise en œuvre à l'aide d'exemples concrets tirés de la pratique. Le site Lignes directrices sont mis à la disposition du public jusqu'au 28 février Consultation afin de permettre aux parties prenantes de donner leur avis et de tenir compte de l'évolution récente de la jurisprudence.
Source : Lignes directrices du Comité européen de la protection des données sur la pseudonymisation
Découvrez comment Ailance peut vous aider à anonymiser et à pseudonymiser automatiquement les données personnelles. Nous nous ferons un plaisir de vous conseiller ! N'hésitez pas à prendre contact avec nous :
Tél: +33 1 856 59880
Courrier électronique : paris@2b-advice.com
German 
English 
Italian 
French