C’est le RGPD qui parle de pseudonymisation pour la première fois dans la législation européenne. Son but ? Contrôler la manière dont des données personnelles peuvent être reliées à des personnes en ne donnant cette possibilité qu’à un nombre restreint de collaborateurs. Trop souvent, on pense qu’il s’agit simplement de remplacer un nom par un pseudonyme qui rend en fait la personne tout aussi identifiable.
Il y a trois étapes pour pseudonymiser des données : transformer les données personnelles pour les rendre non identifiables et attribuables à une personne pour qui ne doit pas le savoir, garder à part l’information qui permet de faire marche arrière et imposer des mesures techniques et organisationnelles qui empêchent cette opération de réattribution. Il ne peut être possible d’identifier la personne qui fait l’objet de la pseudonymisation de ses données personnelles sans avoir connaissance l’information supplémentaire en question, le secret de pseudonymisation.
Si le RGPD a prévu la pseudonymisation, c’est qu’elle offre des avantages : elle réduit les risques de perte de confidentialité. S’il y a une fuite de données pseudonymisées, les conséquences sont moins grandes. Mais la pseudonymisation réduit aussi les risques que les données soient utilisées à d’autres fins que ce pour quoi elles ont été collectées puisqu’elles sont en quelque sorte altérées.
Minimisation
Les données sont mieux protégées avec la pseudonymisation : elle contribue à la minimisation des données. Pourquoi garder et traiter des données qu’on peut relier à une personne si ce n’est pas nécessaire (c’est l’idée même de la minimisation). L’EDPB n’est même pas loin de recommander la pseudonymisation par défaut au sein même de l’entreprise. L’idée est donc de pseudonymiser systématiquement les données pour les personnes qui doivent les traiter au sein de l’entreprise et qui n’ont pas besoin de savoir qui est derrière. C’est encore plus vrai si les données doivent sortir de l’entreprise et être confiées à un tiers (un sous-traitant ou même un responsable de traitement). On enlève à ce dernier toute tentation d’utiliser ces données à d’autres fins. La pseudonymisation est aussi utile lorsqu’il faut archiver les données pour l’intérêt public, scientifique ou historique. Cet archivage est permis par le RGPD. Autant pseudonymiser dit l’EDPB.
Intérêt légitime
La réduction de risque suite à une pseudonymisation peut être une condition pour rendre légitime le traitement des données. On le sait : vos données peuvent être traitées sans que vous ne donniez votre consentement s’il y a un intérêt légitime de la société qui les possède à les traiter (outre d’exécuter un contrat où de donner le service pour lequel vous avez payé). C’est une sauvegarde si l’entreprise décide de traiter vos données pour des buts « compatibles » avec l’intérêt légitime, c’est-à-dire lorsqu’il veut en faire un peu plus avec vos données. Autant le limiter dans ses velléités, car la pseudonymisation aura été ciblée pour se limiter au strict intérêt légitime.
Pseudonymisation comme mesure de sécurisation
La pseudonymisation peut entre autres aussi servir de mesure de sécurité supplémentaire lorsque des données personnelles sont exportées vers un pays tiers « peu sûr » c’est-à-dire qui ne jouit pas d’une équivalence avec le RGPD. Il faut, dit l’EDPB, pseudonymiser tout ce qui pourrait intéresser les autorités de ce pays qui ne respecte pas le RGPD.
La pseudonymisation peut être différente et plus sévère quand les données sont confiées à des tiers par rapport à une pseudonymisation appliquée en interne. Si les mêmes données sont envoyées à plusieurs tiers, il vaut mieux ne pas les pseudonymiser de la même manière.
Données personnelles et droit d’accès
N’oublions pas que les données pseudonymisées sont en principe toujours des données personnelles, dit le EDPB. Seule exception est le cas où la personne/la société qui a les données pseudonymisés ne peut en aucun cas les dé-pseudonymiser. Tant qu’il ne peut pas les attribuer à une personne, les données peuvent même être interprétées comme des données anonymes.
Donc, si une personne exécute son droit d’accès chez un responsable de traitement qui n’a que des données pseudonymisées, et que ce responsable de traitement peut démontrer qu’il ne peut plus/pas dé-pseudonymiser les données, par exemple parce que ce n’est pas lui qui les a pseudonymisées, il doit quand même répondre à la demande d’accès surtout si la personne qui exerce son droit d’accès est capable de lui donner le pseudonyme qui lui est relié. Ou le responsable de traitement doit – s’il ne peut dé-pseudonymiser ses données – aiguiller la personne afin de recevoir le pseudonyme vers le responsable de traitement qui a fait l’opération de la pseudonymisation.
Les techniques de pseudonymisation
Mais comment pseudonymiser efficacement ? il y a une transformation en jeu avec l’application d’un secret de pseudonymisation. Ce sont des clés de chiffrement, pour un chiffrement non symétrique de préférence, ou une table de correspondance qui donne le lien entre l’identifiant et le pseudonyme.
Le chiffrement asymétrique est le meilleur, car même avec la clé qui a servi à chiffrer les données on ne peut pas faire marche arrière. La clé de chiffrement est la donnée secrète au centre de la pseudonymisation. Attention de ne pas choisir un algorithme de chiffrement trop faible qui nécessiterait de re-chiffrer les données avec les progrès technologiques. Quant à la table de correspondance, mieux vaut prendre un générateur de nombres aléatoire pour le pseudonyme.
Quel attribut pseudonymiser ?
La difficulté restera, dit l’EDPB, l’identification des attributs qui doivent être remplacés par des pseudonymes. Il faudra tenir compte si les données à pseudonymiser doivent ou ne doivent pas être reliées. On doit même envisager la destruction de certains attributs quand on sait qu’ils ne seront jamais nécessaires, mais qu’ils sont dangereux, comme les identifiants (de dossiers) médicaux. Une collection d ‘attributs inoffensifs séparément peuvent devenir dangereux mis en ensemble, car ils profilent l’individu concerné. Ce sont les quasi-identifiants comme les données biométriques, génétiques, culturelles… C’est mieux de les enlever ou de les rendre moins granulaires (sous forme de classes)
Quand pseudonymiser ?
La pseudonymisation peut aussi se faire au moment de la collecte de données ou plus tard (plus risqué). Si la même personne a toujours le même pseudonyme, on parlera de pseudonyme de personne. Mais on peut aussi ne pas vouloir garder cette permanence du pseudonyme et ajouter un caractère transactionnel : le pseudonyme est alors lié à la personne et a à une action qu’elle fait. Le pseudonyme change donc en fonction du jour par exemple. C’est plus sûr.
La pseudonymisation est une mesure de protection que les responsables de traitement peuvent appliquer pour satisfaire aux exigences de la loi sur la protection des données et, en particulier, pour démontrer la conformité aux principes de protection des données conformément à l’article 5(2) du RGPD.
Mais les responsables du traitement doivent toujours garder à l’esprit que les données pseudonymisées, qui pourraient être attribuées à une personne physique par l’utilisation d’informations supplémentaires, restent des informations liées à une personne identifiable, et donc constituent des données personnelles. Le traitement de ces données pseudonymisées doit être conforme au RGPD, y compris les principes de licéité, de transparence et de confidentialité. Les responsables du traitement doivent maintenir un niveau de sécurité approprié en mettant en œuvre des mesures techniques et organisationnelles supplémentaires. Enfin, les responsables du traitement doivent garantir la transparence et faciliter l’exercice des droits des personnes concernées définis dans le Chapitre III du RGPD. Bref, pseudonymiser des données ne vous enlève pas beaucoup d’obligations, mais vous protégez mieux les données personnelles. Qu’on se le dise.
Pour en savoir plus
Guidelines 01/2025 on Pseudonymisation on 16 January 2025, en consultation jusqu’au 14 mars 2025
(*) Charles Cuvelliez, Groupe Belfius (DSSI) et Université de Bruxelles (Ecole Polytechnique) et Francis Hayen, Groupe Belfius (Délégué à la Protection des Données)
Charles Cuvelliez et Francis Hayen