Pseudonymisation vs anonymisation RGPD

Le Conseil d’État a confirmé en février 2026 une sanction de 1,8 million d’euros contre trois sociétés du secteur de la santé : leur tort était d’avoir confondu pseudonymisation et anonymisation. Le remplacement de noms par des codes ne suffisait pas à sortir les données du champ du RGPD. Cette confusion reste l’une des erreurs les plus fréquentes — et les plus coûteuses — que je rencontre dans ma pratique de conseil en conformité.

Deux concepts, deux régimes juridiques distincts

La distinction entre pseudonymisation et anonymisation est fondamentale en droit des données personnelles. Elle détermine si vos données restent soumises au RGPD ou si elles en sortent définitivement.

L’anonymisation est un traitement irréversible qui rend impossible, de manière définitive, l’identification directe ou indirecte d’une personne physique. Le considérant 26 du RGPD est explicite : les données anonymisées ne sont plus des données personnelles. Le RGPD ne s’applique plus. Vous pouvez les exploiter librement — pour de l’analyse statistique, de l’entraînement de modèles d’IA, de l’open data.

La pseudonymisation, définie à l’Art. 4(5) du RGPD, consiste à traiter les données de telle sorte qu’elles ne puissent plus être attribuées à une personne sans informations supplémentaires. En pratique, on remplace les identifiants directs (nom, prénom, numéro de sécurité sociale) par des alias ou des codes. Mais la table de correspondance existe toujours. La ré-identification reste possible. Les données restent donc des données personnelles soumises à l’intégralité du RGPD.

En résumé : l’anonymisation est une porte de sortie du RGPD ; la pseudonymisation est une mesure de sécurité à l’intérieur du RGPD.

Les trois critères d’évaluation de l’anonymisation

La CNIL et l’ancien Groupe Article 29 (Avis 05/2014) ont défini trois critères cumulatifs pour évaluer si une anonymisation est réellement efficace :

L’individualisation — Est-il encore possible d’isoler un individu dans le jeu de données ? Si une combinaison d’attributs (âge, code postal, profession) permet de singulariser une personne, l’anonymisation est insuffisante.

La corrélation — Peut-on relier entre eux deux enregistrements concernant la même personne, que ce soit dans le même jeu de données ou dans des jeux de données différents ? Les attaques par croisement de bases sont une menace réelle.

L’inférence — Peut-on déduire de nouvelles informations sur une personne à partir des données restantes ? Par exemple, si tous les habitants d’un immeuble ont le même diagnostic médical, la maladie de chacun est inférable.

Si l’un seul de ces critères n’est pas satisfait, les données ne sont pas anonymisées au sens du RGPD. Elles restent des données personnelles pseudonymisées — et le RGPD continue de s’appliquer intégralement.

Les Guidelines EDPB 01/2025 sur la pseudonymisation

L’EDPB a adopté en janvier 2025 ses premières lignes directrices dédiées à la pseudonymisation (Guidelines 01/2025). Ce texte est essentiel car il clarifie plusieurs points jusque-là flous dans la pratique.

Le concept de « domaine de pseudonymisation »

L’EDPB introduit la notion de « domaine de pseudonymisation » (pseudonymisation domain) : le contexte dans lequel la pseudonymisation est censée empêcher l’attribution des données à une personne identifiée. En dehors de ce domaine — par exemple si un tiers accède à la table de correspondance — la protection tombe.

Concrètement, cela signifie que la pseudonymisation n’a de valeur que si l’information supplémentaire permettant la ré-identification est conservée séparément et protégée par des mesures techniques et organisationnelles appropriées, comme le prévoit l’Art. 32 du RGPD en matière de sécurité des traitements.

Techniques reconnues

Les Guidelines identifient plusieurs techniques de pseudonymisation :

• Les tables de correspondance (lookup tables) — Un identifiant est remplacé par un pseudonyme via une table de correspondance stockée séparément. Simple mais vulnérable si la table est compromise.
• Le chiffrement — Les identifiants sont chiffrés avec une clé secrète. Sans la clé, les données ne sont pas directement attribuables. Mais la clé existe, donc la réversibilité est inhérente.
• Les codes d’authentification de message (MAC/HMAC) — Permettent de vérifier l’intégrité des données sans révéler l’identité. Utilisés notamment dans les protocoles de recherche clinique.
• Le hachage avec sel (salted hashing) — L’identifiant est transformé par une fonction de hachage combinée à un sel aléatoire. Plus robuste qu’un simple hachage, mais le sel constitue l’information supplémentaire.

Ayant travaillé 6 ans au sein des services du Premier Ministre (SGDN/DCSSI), je confirme que le choix de la technique dépend directement du niveau de risque associé aux données et de la finalité du traitement. Un essai clinique n’appelle pas les mêmes mesures qu’une analyse marketing.

Ce que la pseudonymisation n’est pas

L’une des erreurs les plus dangereuses consiste à considérer que des données pseudonymisées ne sont « plus vraiment personnelles ». C’est juridiquement faux et pratiquement risqué.

La pseudonymisation ne dispense pas de :

• Tenir un registre des traitements incluant les données pseudonymisées
• Réaliser une analyse d’impact si le traitement présente un risque élevé
• Désigner un DPO si les conditions de l’Art. 37 sont remplies
• Respecter les bases légales du traitement (Art. 6)
• Garantir l’exercice des droits des personnes, y compris le droit d’accès et le droit à l’effacement

En revanche, la pseudonymisation est reconnue par le RGPD comme une mesure de sécurité appropriée (Art. 32(1)(a)) et comme un facteur atténuant en cas de violation de données. Elle peut aussi faciliter le recours à l’intérêt légitime comme base légale, en réduisant l’impact sur les droits des personnes concernées lors du test de mise en balance.

Jurisprudence récente : le Conseil d’État confirme la distinction

La décision du Conseil d’État de février 2026 concernant trois sociétés de santé est un rappel sévère. Les entreprises avaient remplacé les noms des patients par des codes alphanumériques dans leurs bases de données, estimant que cette mesure suffisait à anonymiser les informations. La CNIL a considéré qu’il s’agissait d’une simple pseudonymisation, les données restant réidentifiables via les tables de correspondance conservées par les sociétés.

Le Conseil d’État a confirmé les sanctions (1,8 million d’euros au total) en retenant que le remplacement de noms par des codes ne constitue pas une anonymisation lorsque le risque d’identification n’est pas « insignifiant » et que la ré-identification ne demande pas un « effort démesuré en termes de temps, de coût et de main d’œuvre ».

Cette décision s’inscrit dans une tendance européenne constante. La CJUE avait déjà établi dans l’arrêt Breyer (C-582/14) que même une adresse IP dynamique peut constituer une donnée personnelle si le fournisseur d’accès dispose des moyens légaux permettant de remonter à l’identité de l’utilisateur.

Guide pratique : comment choisir entre pseudonymisation et anonymisation

Le choix dépend de votre objectif :

Choisissez la pseudonymisation si vous devez conserver la possibilité de ré-identifier les personnes — par exemple pour un suivi médical longitudinal, un programme de fidélité client, ou la gestion de données RH. La pseudonymisation réduit le risque en cas de fuite sans supprimer la fonctionnalité du traitement.

Choisissez l’anonymisation si vous n’avez plus besoin du lien avec les personnes — par exemple pour des statistiques agrégées, de l’open data, ou l’entraînement de modèles d’IA sur des jeux de données historiques. L’anonymisation libère les données du RGPD, mais elle est irréversible et réduit souvent la granularité des informations.

Dans les deux cas, documentez votre choix dans votre registre des traitements et, si nécessaire, dans votre analyse d’impact. C’est ce type de travail de documentation et de cartographie que Legiscope automatise.

Les erreurs à éviter :

• Qualifier d’« anonymes » des données simplement pseudonymisées (risque de sanction)
• Utiliser un simple hachage sans sel comme technique d’anonymisation (réversible par attaque par dictionnaire)
• Négliger le risque de croisement avec d’autres bases de données accessibles publiquement
• Oublier que l’anonymisation est elle-même un traitement de données personnelles qui nécessite une base légale

Ce qu’il faut retenir

• La pseudonymisation est une mesure de sécurité réversible : les données restent personnelles et soumises au RGPD. L’anonymisation est irréversible : les données sortent du champ du RGPD.
• L’EDPB a adopté en janvier 2025 ses Guidelines 01/2025 dédiées à la pseudonymisation, introduisant le concept de « domaine de pseudonymisation » et détaillant les techniques reconnues.
• Trois critères (individualisation, corrélation, inférence) permettent d’évaluer si une anonymisation est réellement efficace. Les trois doivent être satisfaits simultanément.
• Le Conseil d’État a confirmé en 2026 une sanction de 1,8 M€ contre des sociétés ayant confondu pseudonymisation et anonymisation dans le secteur de la santé.
• Le choix entre les deux techniques dépend de la finalité du traitement : conservez-vous le besoin de ré-identifier les personnes ? Si oui, pseudonymisez. Sinon, anonymisez — mais vérifiez rigoureusement l’irréversibilité.

FAQ

La pseudonymisation suffit-elle à protéger les données en cas de fuite ?

La pseudonymisation réduit significativement le risque en cas de violation de données, car un attaquant n’obtient pas directement des informations identifiantes. L’Art. 34(3)(a) du RGPD prévoit même que la notification aux personnes concernées peut être évitée si les données étaient protégées par des mesures techniques rendant les données incompréhensibles. Cependant, la pseudonymisation ne garantit pas une protection absolue : si la table de correspondance est aussi compromise, l’ensemble des données redevient identifiable.

Le hachage est-il une anonymisation ou une pseudonymisation ?

Le hachage simple (même avec un algorithme robuste comme SHA-256) est une pseudonymisation, pas une anonymisation. La raison est qu’un hachage est déterministe : le même identifiant produit toujours le même hash, ce qui permet une attaque par dictionnaire. Même le hachage avec sel reste une pseudonymisation au sens du RGPD, car le sel constitue l’information supplémentaire permettant la ré-identification. Seul un hachage combiné à d’autres techniques (k-anonymat, bruit différentiel) peut, dans certains cas, atteindre le seuil d’anonymisation.

Faut-il une base légale pour pseudonymiser ou anonymiser des données ?

Oui pour les deux. L’anonymisation est elle-même un traitement de données personnelles au sens de l’Art. 4(2) du RGPD, car elle s’effectue sur des données encore personnelles au moment du traitement. Il faut donc disposer d’une base légale valide (Art. 6(1)) pour procéder à l’anonymisation. De même, la pseudonymisation constitue un traitement qui doit être couvert par une base légale — généralement la même que celle du traitement principal dont elle est une mesure de sécurité.

Les données pseudonymisées peuvent-elles être transférées hors UE ?

Oui, mais dans les mêmes conditions que toute donnée personnelle. Les données pseudonymisées restant des données personnelles, leur transfert hors UE nécessite un mécanisme de transfert valide au titre du Chapitre V du RGPD (décision d’adéquation, clauses contractuelles types, BCR, etc.). La pseudonymisation peut cependant être prise en compte comme mesure supplémentaire dans l’évaluation de l’impact du transfert, conformément aux recommandations 01/2020 de l’EDPB.