Javascript is required
logo-dastralogo-dastra

Pseudonymisation : définition et bonnes pratiques

Pseudonymisation : définition et bonnes pratiques
Marine Boquien
Marine Boquien
12 novembre 2024·11 minutes de lecture

Qu'est-ce que la pseudonymisation des données ?

La pseudonymisation est une technique de protection des données personnelles qui consiste à remplacer les informations directement identifiantes par un identifiant artificiel, appelé pseudonyme.

Selon l’article 4(5) du Règlement général sur la protection des données (RGPD), la pseudonymisation désigne « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires ».

Ces informations supplémentaires, comme une clé de correspondance ou une table reliant les pseudonymes aux identités réelles, doivent être conservées séparément et protégées par des mesures techniques et organisationnelles appropriées.

Contrairement à l’anonymisation, la pseudonymisation ne supprime donc pas le caractère personnel des données : elle réduit le risque d’identification tout en permettant, dans certaines conditions, une réassociation contrôlée.

Quel est l'objectif de la pseudonymisation ?

La pseudonymisation poursuit un double objectif : améliorer la protection des données et diminuer les risques en matière de confidentialité, tout en permettant aux entreprises de traiter ces informations à des fins légitimes telles que l'analyse ou le partage.

Les données pseudonymisées restent-elles des données personnelles ?

Oui. La pseudonymisation ne transforme pas une donnée personnelle en donnée anonyme.

Une donnée pseudonymisée reste soumise au RGPD dès lors qu’une personne peut être réidentifiée, directement ou indirectement, grâce à des informations supplémentaires détenues par l’organisme responsable du traitement ou par un tiers.

Cette distinction est essentielle :

  • une donnée anonymisée ne permet plus d’identifier une personne, même en combinant différentes sources raisonnablement accessibles ;
  • une donnée pseudonymisée conserve un lien indirect avec une personne identifiable grâce à une information complémentaire.

La pseudonymisation constitue donc une mesure de sécurité recommandée par le RGPD, notamment dans le cadre de l’approche de protection des données dès la conception (« privacy by design »), mais elle ne constitue pas une sortie du champ d’application du règlement.

Pour une organisation, cela signifie que les données pseudonymisées doivent continuer à respecter les obligations relatives au RGPD : base légale, information des personnes, limitation des finalités, durée de conservation, sécurité et documentation de conformité.

Visionnez le webinaire : EDPS c. SRB : la pseudonymisation redéfinie, ce qui change

Dans quels cas la pseudonymisation est-elle recommandée ?

La pseudonymisation permet de sécuriser les données tout en conservant leur utilité complète. Elle contribue également à respecter le principe de protection des données dès la conception.

Elle est particulièrement indiquée dans le cadre de traitements de données à des fins de recherche scientifique, lorsque des informations précises au niveau individuel sont requises, mais que les données directement identifiantes ne sont pas indispensables à la réalisation de cette recherche.

Quelle est la différence entre pseudonymisation et anonymisation des données ?

Anonymisation VS pseudonymisation, ce sont deux mesures similaires visant à protéger la confidentialité des données, mais elles diffèrent par leur niveau de protection.

  • L'anonymisation supprime toutes les informations identifiantes d'un ensemble de données, rendant impossible l'identification directe ou indirecte d'une personne.
  • En revanche, la pseudonymisation remplace ces informations par des pseudonymes, qui peuvent être réattribués à l'individu à l'aide d'une clé de pseudonymisation.

Quels sont les techniques de pseudonymisation ?

Différentes techniques de pseudonymisation peuvent être employées. Certaines se basent sur des méthodes simples comme la création de pseudonymes via un compteur ou un générateur de nombres aléatoires, tandis que d'autres utilisent des techniques cryptographiques, telles que le chiffrement par clé secrète ou les fonctions de hachage.

Compteur

Cette méthode consiste à remplacer un attribut ou un ensemble d’attributs identifiants par un nombre généré par un compteur. Une valeur initiale est définie, puis elle est incrémentée pour chaque nouvel enregistrement. Il est crucial que les valeurs générées par le compteur soient uniques, afin d’éviter toute ambiguïté ou qu’un même pseudonyme soit attribué à deux enregistrements distincts. L'avantage du compteur réside dans sa simplicité, ce qui en fait une option idéale pour des ensembles de données de petite taille et sans complexité. Cependant, pour des bases de données plus volumineuses et sophistiquées, cette approche peut poser des difficultés en termes de mise en œuvre et de scalabilité, car il est nécessaire de stocker une table de correspondance complète reliant les attributs aux pseudonymes.

Pseudonymisation via un compteur :

Générateur de nombres aléatoires

Cette technique consiste à générer des valeurs ayant toutes la même probabilité d’être choisies dans l’ensemble des possibilités. Elle permet de créer des pseudonymes aléatoires, c’est-à-dire des valeurs imprévisibles et indépendantes des données personnelles d'origine. Contrairement à la méthode du compteur, où les valeurs sont attribuées de manière séquentielle, ici chaque identifiant reçoit une valeur aléatoire, ce qui empêche de déduire un ordre dans les données.

Cependant, il est important de veiller à éviter les collisions (l’attribution du même pseudonyme à plusieurs enregistrements). Cela peut être évité en spécifiant l’espace mathématique pour les nombres aléatoires ou en mettant en place un tirage sans remise, notamment lorsque différents sites traitent des sous-échantillons.

Pseudonymisation via un générateur de nombres aléatoires

Chiffrement à clé secrète

Cette méthode consiste à chiffrer les données identifiantes afin de les rendre illisibles. Le détenteur de la clé secrète peut réidentifier les individus en déchiffrant les données, puisque celles-ci, bien que chiffrées, restent présentes dans le fichier. Il est donc crucial de stocker la clé en toute sécurité et de la rendre accessible uniquement aux personnes autorisées. De plus, il est essentiel d’utiliser une méthode de chiffrement conforme aux standards actuels.

Bien que les méthodes de chiffrement déterministes, qui produisent toujours le même pseudonyme pour une même donnée d’entrée, soient les plus courantes, les méthodes de chiffrement probabilistes peuvent aussi être utilisées. Ces dernières introduisent une part d’aléatoire dans le résultat, ce qui brise les corrélations entre les enregistrements associés à un même individu.

Pseudonymisation via chiffrement à clé secrète

Fonction de hachage

Une fonction de hachage produit un résultat de taille fixe, quel que soit le volume de données en entrée (qui peut être un attribut unique ou un ensemble d'attributs), et elle n’est pas conçue pour être inversée. Contrairement au chiffrement, il n’est donc pas possible de récupérer facilement les données en clair.

Cependant, les fonctions de hachage sont publiques, ce qui signifie que tout le monde utilise les mêmes algorithmes, et elles sont généralement optimisées pour un calcul rapide. Cela les rend vulnérables aux attaques par force brute, où l'on tente toutes les entrées possibles pour créer des tables de correspondance. Des tables pré-calculées, connues sous le nom de "rainbow tables", peuvent également être utilisées pour faciliter la reconstitution massive des valeurs de hachage.

Pour atténuer le risque de reconstitution des valeurs d'entrée, il est crucial d'utiliser une fonction de hachage avec « salage » (ajout d'une valeur aléatoire et secrète, appelée « sel », à l’attribut haché) ou d’intégrer une clé secrète. Idéalement, on devrait recourir à une fonction de hachage de la sous-famille des « fonctions de dérivation de clé », qui sont spécialement conçues pour intégrer une clé secrète de manière optimale.

Pseudonymisation par utilisation d’une fonction de hachage

Substitution, généralisation et floutage

Certaines techniques, connues sous les noms de substitution, généralisation ou floutage, sont couramment utilisées dans le cadre de recherches scientifiques. Elles consistent à remplacer les données directement identifiantes par d'autres données sélectionnées de manière aléatoire ou semi-aléatoire. Les chercheurs en sciences humaines et sociales utilisent souvent ces méthodes pour attribuer des identités fictives « similaires » d’un point de vue socio-culturel aux participants de leurs études (choix des prénoms, profession, employeur, lieu de résidence, etc.).

Les techniques d'identification automatique des données personnelles dans des documents textuels (comme les comptes rendus médicaux ou les décisions de justice) peuvent également proposer une forme de substitution. Cela présente l'avantage de rendre moins perceptibles les erreurs de détection qui peuvent survenir avec des méthodes automatisées.

Cependant, qu'il s'agisse de recherche qualitative ou quantitative, cette pratique, bien qu'étant un premier niveau de protection, ne constitue pas une technique de pseudonymisation au sens du RGPD.

Quelle technique de pseudonymisation choisir ?

Le choix de la technique de pseudonymisation adéquate repose sur deux principaux facteurs : le niveau de protection nécessaire et l'utilité des données pseudonymisées pour la recherche envisagée. Il est donc essentiel de trouver un équilibre entre ces deux aspects en se posant les bonnes questions concernant le traitement proposé. Quelles informations sont réellement indispensables ? Est-il nécessaire de relier les données d’un même individu ? La structure des données doit-elle être préservée ? Etc.

Quel que soit le procédé de pseudonymisation choisi, les informations permettant de lier les pseudonymes aux données directement identifiantes sont particulièrement sensibles. Il est crucial de garantir la confidentialité de ces éléments (table de correspondance, « sel », clé de chiffrement, etc.) à travers des mesures techniques et organisationnelles appropriées. Ces informations doivent être accessibles uniquement par des personnes autorisées et dans des conditions définies à l’avance.

Les bonnes pratiques pour mettre en œuvre une pseudonymisation efficace

La pseudonymisation ne repose pas uniquement sur le choix d’un algorithme ou d’une méthode technique. Son efficacité dépend également de la gouvernance mise en place autour des données et des informations permettant une éventuelle réidentification.

Sécuriser la clé ou la table de correspondance

La table de correspondance, la clé de chiffrement ou le « sel » utilisé lors d’un hachage constituent les éléments les plus sensibles du dispositif.

Ils doivent notamment :

  • être stockés séparément des données pseudonymisées ;
  • être accessibles uniquement aux personnes habilitées ;
  • faire l’objet d’un contrôle des accès ;
  • être protégés par des mesures de sécurité adaptées ;
  • être régulièrement audités.

Une compromission de ces éléments peut permettre de réidentifier les personnes concernées.

Documenter la pseudonymisation dans le registre des traitements

La pseudonymisation doit être documentée dans le cadre de la gouvernance RGPD.

Le registre des activités de traitement peut notamment préciser :

  • les catégories de données concernées ;
  • la méthode de pseudonymisation utilisée ;
  • les finalités poursuivies ;
  • les personnes pouvant accéder aux informations de réidentification ;
  • les mesures de sécurité associées.

Cette documentation facilite le suivi de conformité et démontre la mise en œuvre de mesures appropriées.

Adapter la méthode au contexte d’utilisation

Le niveau de pseudonymisation attendu dépend du contexte.

Dans le domaine de la santé, elle permet par exemple d’exploiter des données médicales pour la recherche tout en limitant l’exposition des identités.

Dans les ressources humaines, elle peut faciliter l’analyse statistique des données sociales.

Dans les projets d’intelligence artificielle, elle peut contribuer à sécuriser les jeux de données utilisés pour entraîner ou tester des modèles tout en maintenant une approche conforme au RGPD.

FAQ sur la pseudonymisation

Quelle est la définition de la pseudonymisation selon le RGPD ?

La pseudonymisation est une technique consistant à traiter des données personnelles afin qu’elles ne puissent plus être attribuées à une personne précise sans utiliser d’informations supplémentaires conservées séparément.

Les données pseudonymisées sont-elles anonymes ?

Non. Les données pseudonymisées restent des données personnelles dès lors qu’une réidentification reste possible grâce à des informations complémentaires.

Quelle différence entre anonymisation et pseudonymisation ?

L’anonymisation supprime la possibilité raisonnable d’identifier une personne. La pseudonymisation remplace les identifiants directs mais conserve une possibilité de réassociation.

La pseudonymisation est-elle obligatoire avec le RGPD ?

Non. Le RGPD ne l’impose pas systématiquement mais la présente comme une mesure de sécurité pouvant contribuer au respect des principes de protection des données dès la conception.

Peut-on utiliser la pseudonymisation pour les données d’intelligence artificielle ?

Oui. La pseudonymisation peut contribuer à réduire les risques liés à l’utilisation de données personnelles dans les projets d’intelligence artificielle, notamment pour l’entraînement et l’évaluation des modèles.


Voyez Dastra en action

En quelques minutes, planifiez une démo personnalisée et découvrez comment Dastra peut s’adapter à votre organisation.

Demander une démo
Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter.