Différences entre Anonymisation et Pseudonymisation

La pseudonymisation et l'anonymisation sont deux techniques utilisées pour protéger la vie privée des personnes physiques et la protection des données à caractère personnel. Elles permettent de réduire voire d’annihiler la possibilité d'identifier une personne physique à partir de ses données à caractère personnel.

Cependant, ces deux techniques diffèrent dans leur approche et leurs conséquences, notamment en termes de réidentification.

I - L’anonymisation

L'anonymisation, en revanche, rend les données irréversiblement non-identifiables. Une fois les données anonymisées, il est impossible de retrouver l'identité de l'individu à partir de ces données, même en croisant avec d'autres informations.

L’anonymisation implique une :

- Ré-identification impossible : Les données anonymisées ne peuvent plus être réassociées à une personne physique, même par la combinaison avec d’autres jeux de données. Aucun mécanisme de réidentification n'existe.

- Protection absolue : Les données anonymisées ne sont plus considérées comme des données personnelles, car il n'est plus possible de retrouver une personne physique à partir de celles-ci.

II - La pseudonymisation

La pseudonymisation consiste à remplacer des informations identifiantes (comme un nom, une adresse, un numéro de téléphone, etc.) par un identifiant ou un pseudonyme qui ne permet pas, par son seul usage, de remonter directement à la personne physique en cause. Toutefois, ces données pseudonymisées peuvent être réidentifiées si une clé (ou un autre moyen) permet de les associer aux informations d'origine.

La pseudonymisation implique une :

- Ré-identification possible : Il existe des mécanismes qui permettent de retrouver l'identité réelle de la personne physique. Par exemple, l’usage d’une table de correspondance qui permet de relier les données pseudonymisées aux données authentiques.

- Protection relative : Bien que la pseudonymisation améliore la protection de la vie privée, elle ne rend pas les données complètement anonymes, car elles permettent la ré-identification.

III - Implications pour le Droit de la protection des données à caractère personnel

La pseudonymisation reste une donnée personnelle, car elle permet encore, en principe, la réidentification d'une personne. Dès lors, le Règlement général sur la protection des données (RGPD) et la Loi Informatique et Libertés (LIL) demeurent applicables.

L'anonymisation, en revanche, supprime la qualification de donnée personnelle, car les données anonymisées ne peuvent plus être utilisées pour identifier directement ou indirectement une personne physique.

En tout état de cause ces deux techniques concourent à la mise en œuvre de la protection des données à caractère personnel. Chacune de ces techniques a ses usages et ses limites en fonction du contexte et des objectifs poursuivis.