Le 28 mars 2025, l’autorité de protection britannique, l’Information Commissioner’s Office (ICO) a publié un guide relatif à l’anonymisation et à la pseudonymisation des données dans les entreprises.
Le partage des données est devenu nécessaire dans toute entreprise mais présente aussi des risques. Les techniques d’anonymisation efficaces offrent une alternative respectueuse de la vie privée au partage de données personnelles.
Qu’est-ce que l’anonymisation ?
L’anonymisation est un traitement qui consiste à utiliser un ensemble de techniques visant à rendre impossible, en pratique, l’identification d’une personne par quelque moyen que ce soit.
Trois principes sont à respecter :
- L’individualisation : il ne doit pas être possible d’isoler un individu dans le jeu de données
- La corrélation : il ne doit pas être possible de relier entre eux des ensembles de données distincts concernant un même individu
- L’inférence : il ne doit pas être possible de déduire, de façon quasi-certaine, de nouvelles informations sur un individu
Il ne faut pas confondre avec la pseudonymisation où la réidentification est possible avec des informations supplémentaires. En pratique, elle consiste à remplacer les données directement identifiantes d’un jeu de données par des données indirectement identifiantes telles qu’un alias ou un numéro séquentiel.
L’anonymisation des données est-elle obligatoire ?
L’anonymisation n’est pas une obligation générale imposée par le RGPD. Il s’agit simplement d’exploiter des données personnelles dans le respect des droits et libertés des personnes concernées.
Ainsi, l’important est la protection des données personnelles. Des mesures de pseudonymisation peuvent être suffisantes à condition de garantir une protection efficace contre la réidentification des parties sans accès à des informations supplémentaires.
Comment garantir une protection efficace ?
Dans son étude de cas, l’ICO nous dévoile une manière de protéger efficacement les données sans pour autant recourir à l’anonymisation qui pourrait avoir un impact sur les résultats.
Afin de réaliser des études statistiques sur les candidats à une offre d’emploi, pour déterminer quelles sont les caractéristiques des candidats les plus susceptibles de postuler ou s’il existe des facteurs rendant les employés plus susceptible de démissionner, une entreprise a mis en place une technique de pseudonymisation.
D’abord des mesures techniques ont été instaurées. Une application logicielle interne transforme la base de données en deux sorties :
- Un ensemble de données pseudonymisées ne contenant aucune information pouvant être attribuée à une personne spécifique, en omettant les identifiants directs et en utilisant la généralisation pour transformer des âges précis en plages
- Les « informations supplémentaires », détenues par l’entreprise, qui sont utilisées pour faire des statistiques
En plus de ces mesures, sont ensuite mises en place des mesures organisationnelles telles qu’une restriction d’accès empêchant de faire le lien entre les deux sorties et des fichiers journaux permettant la traçabilité des actions des utilisateurs dans l’application.
Vous souhaitez garantir une protection des données adéquate mais ne pouvez pas anonymiser les données sans en altérer l’utilité ? N’hésitez pas à faire appel à nos services de mise en conformité RGPD.