Le Comité européen de protection des données (CEPD) vient clarifier la définition de la pseudonymisation de l’article 4 du RGPD, mais aussi la manière dont cette technique s’applique. Il lance également une consultation publique sur les lignes directrices.
La pseudonymisation est un codage qui consiste à remplacer les données personnelles identifiantes (prénom, nom…) d’un jeu de données par des données indirectement identifiantes (numéro, pseudo…). La pseudonymisation offre l’avantage, par rapport à l’anonymisation, d’une mise en œuvre facile notamment avec des outils de hachage, de chiffrement ou autres. Pour autant, la personne reste indirectement identifiable. “Même si toutes les informations supplémentaires conservées par le responsable du traitement des données pseudonymisées ont été effacées, les données pseudonymisées ne peuvent être considérées comme anonymes que si les conditions d’anonymat sont remplies“, précise le CEPD.
La pseudonymisation doit être complétée par d’autres mesures
Les lignes directrices apportent deux précisions juridiques importantes :
-1. Les données pseudonymisées restent toujours des informations relatives à une personne physique identifiable. Elles constituent donc toujours des données personnelles.
-2. La pseudonymisation peut réduire les risques et faciliter l’utilisation de l’intérêt légitime comme base légale (article 6.1.f du RGPD – le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant), à la condition que toutes les autres exigences du RGPD soient respectées, à savoir une conservation séparée et des mesures techniques et organisationnelles pour garantir la non-attribution à une personne. La pseudonymisation seule est donc insuffisante pour atteindre une protection des données par défaut ou dès l’origine.
Les lignes directrices analysent les mesures techniques et les garanties pour assurer la confidentialité et empêcher l’identification non autorisée des individus. Les données doivent par exemple, être modifiées pour que les identifiants directs soient remplacés, les informations nécessaires pour relier les identités doivent être stockées de manière sécurisée et séparément ou l’accès à ces informations doit être surveiller par des mécanismes de contrôle stricts et des mesures techniques et organisationnelles.
Ces lignes directrices sont soumises à une consultation publique jusqu’au 28 février 2025. Les acteurs peuvent réagir et transmettre leur observations à l’aide du formulaire disponible sur le site du CEPD.