Qu’est-ce que la pseudonymisation dans le RGPD ?

La notion de pseudonymisation provient à l’origine du domaine de la recherche scientifique et a donné lieu à une première définition dans le cadre des normes ISO.

Par la suite, le RGPD se saisit de la notion et propose sa propre définition du terme. Plus généralement, la pseudonymisation s’inscrit dans la liste des différentes techniques ayant pour but de protéger les données personnelles : il s’agit en simplifiant de détacher un jeu de données de la personne à laquelle il correspond.

La pseudonymisation de la donnée est donc un outil précieux pour la conformité RGPD des sites internet et des entreprises. La notion intervient au niveau de la phase de conservation mais aussi de traitement de la donnée.

En pratique, différentes solutions techniques permettent la pseudonymisation des données. Le RGPD, comme toujours, ne détermine pas les solutions technologiques à employer : c’est donc aux entreprises d’analyser la situation concrète dans laquelle ils évoluent et de faire les choix les plus adaptés.

Pseudonymisation : définition RGPD

Le RGPD donne une définition du terme de pseudonymisation dans son article 4 consacré justement aux définitions :

La pseudonymisation est donc “le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires”

Il s’agit donc en pratique de remplacer le nom ou l’identité de l’individu par un “pseudonyme”, la plupart du temps une suite de lettres et de chiffres (code). L’information supplémentaire mentionnée par le texte est selon les cas une clé de chiffrement ou une formule adéquate pour déchiffrer le code initial.

Le plus souvent, c’est le responsable du traitement ou le DPO RGPD qui détient l’information de chiffrement et de déchiffrement.

A noter : le RGPD précise que l’opération n’est une pseudonymisation que si l’information supplémentaire en question est stockée séparément et suffisamment protégée pour que l’on ne puisse pas remonter à la personne physique de départ.

Quelles techniques pour effectuer une pseudonymisation

La pseudonymisation peut être effectuée selon plusieurs techniques. Comme on l’a déjà dit, le RGPD ne donne pas d’indications précises sur les technologies à adopter, tout simplement parce que le rythme législatif est (beaucoup) plus long que le celui des évolutions techniques. C’est ensuite à l’entreprise de justifier qu’elle a bien choisi les bonnes méthodes selon le principe de l’accountability.

Sans entrer dans les détails, voyons quelques méthodes de pseudonymisation des données.

Une première méthode relativement simple consiste à chiffrer les données en utilisant une clé unique secrète. C’est cette clé qui représente “l’information supplémentaire” dont on a besoin pour accéder à la donnée en clair. Ici, on le voit, la personne qui détient la clé et qui en général est le DPO peut toujours accéder à la donnée. Celle-ci garde donc son statut de donnée personnelle.

Il est également possible d’utiliser une fonction de hachage, qui permet de retrouver le bon résultat à partir d’un attribut ou d’un ensemble d’attribut. La fonction de hachage peut également être utilisée avec un “salage” qui permet d’augmenter la sécurité du procédé.

Enfin, une dernière technique est appelée chiffrement déterministe. Elle reprend la méthode évoquée ci-dessous du hachage par clé, mais avec une étape supplémentaire. La clé est en effet supprimée après l’opération. Autrement dit, il devient difficile pour un attaquant de déchiffrer les informations puisque la clé n’est plus disponible.

Toutes ces méthodes ont en commun de protéger la donnée en rendant impossible de remonter à la personne physique qu’elle concerne. Toutefois, il ne faut pas confondre la pseudonymisation avec l’anonymisation, qui va encore plus loin.

Pseudonymisation ou anonymisation ?

A la différence de la pseudonymisation, l’anonymisation a pour but de supprimer le lien entre les données et leur “propriétaire” de façon irréversible. Il ne sera donc plus possible de retrouver la personne physique concernée, y compris pour l’entreprise qui détient la donnée. Le degré de protection et de cybersécurité de la donnée est donc plus important avec l’anonymisation.

L’anonymisation des données repose en général sur deux grandes techniques :

D’une part, la randomisation vise à “brouiller les pistes” en supprimant la relation entre les différents jeux de données. Autrement dit, si mon tableau de départ associe des préférences de navigation à une personne donnée, la randomisation cherche à supprimer le lien entre les deux. Il peut s’agir de substituer certains éléments, de les “mélanger” ou encore d’en supprimer certaines tout simplement.

La généralisation est l’autre façon de procéder à l’anonymisation de la donnée. Cette méthode change l’échelle à laquelle on s’intéresse à la donnée et donc en réduit la précision. L’idée est de maintenir un fort niveau d’opérabilité en permettant aux analystes de travailler sur des ordres de grandeur ou des moyennes pertinentes, tout en diminuant la précision d’une information donnée.

A noter que cette dernière technique ne garantit pas l’anonymisation parfaite et doit être couplée à d’autres méthodes, comme la randomisation, pour fonctionner totalement.

La pseudonymisation comme l’anonymisation visent à protéger les données personnelles des utilisateurs une fois celles-ci récoltées. Il est essentiel de construire les solutions et les applications métier en adoptant dès le départ une approche de conformité au RGPD. Cette approche qui met le RGPD au coeur et au départ de chaque projet de l’entreprise est nommée privacy by design et permet de renforcer le niveau de protection des données, par rapport à une approche rectificative qui vient améliorer après coup le niveau de sécurité.