Sécurité

Anonymisation

Processus technique visant à rendre impossible l'identification d'une personne, sortant ainsi les données du champ d'application du RGPD.

Définition complète

L'anonymisation est un traitement consistant à modifier des données personnelles de manière irréversible afin que la personne concernée ne puisse plus être identifiée, et ce, quel que soit le moyen utilisé (même par recoupement avec d'autres fichiers). Contrairement à la pseudonymisation, l'anonymisation est définitive : il ne doit plus exister de « clé » permettant de remonter à l'identité de l'individu. Sur le plan juridique, une donnée véritablement anonymisée n'est plus considérée comme une « donnée à caractère personnel » au sens de l'article 4(1) du RGPD. Par conséquent, le règlement ne s'applique plus aux données ainsi traitées. Cela signifie que l'entreprise peut conserver ces données sans limite de durée et les exploiter librement pour des analyses statistiques ou commerciales sans avoir à solliciter le consentement des personnes. Pour être reconnue comme telle par la CNIL et les autorités européennes, l'anonymisation doit répondre à trois critères stricts : l'individualisation (impossibilité d'isoler un individu), la corrélation (impossibilité de relier deux enregistrements concernant la même personne) et l'inférence (impossibilité de déduire une information avec certitude).

Exemple concret en PME

Une PME spécialisée dans la vente de logiciels souhaite analyser le comportement d'achat de ses clients sur trois ans pour optimiser ses offres. Au lieu d'utiliser le fichier client réel, elle supprime les noms, emails et adresses précises, et remplace les dates de naissance par des tranches d'âge (ex: 35-45 ans). Une fois ces modifications irréversibles appliquées, la PME peut analyser ces tendances statistiques sans être soumise aux contraintes de conservation du RGPD.

L'erreur fréquente à éviter

L'erreur majeure est de confondre anonymisation et pseudonymisation. Supprimer simplement le nom d'un client tout en gardant un identifiant unique (ID client) est une pseudonymisation. La donnée reste personnelle car elle permet toujours de distinguer un individu. Si vous traitez ces données comme anonymes alors qu'elles sont pseudonymisées, vous vous exposez à des sanctions pour non-respect des durées de conservation et du droit d'accès.

Vérifiez votre conformité RGPD

Scan gratuit de votre site : cookies, mentions légales, sanctions encourues.

Scanner mon site