4. Anonymisation vs pseudonymisation



L’anonymisation des données

L’anonymisation est un traitement qui consiste à utiliser un ensemble de techniques de manière à rendre impossible, en pratique, toute identification de la personne par quelque moyen que ce soit et ce de manière irréversible.
Une fois anonymisées, les données ne peuvent plus être reliées à une personne. Les impacts potentiels de leur diffusion ou de leur réutilisation sur la vie privée des personnes concernées sont ainsi grandement limités.
Lorsque l’anonymisation est effective, le RGPD ne s’applique plus aux données ainsi anonymisées. 

Trois critères permettent d’évaluer l’efficacité d’une solution d’anonymisation :
=> L’individualisation : est-il toujours possible d’isoler un individu ?
=>
 La corrélation : est-il possible de relier entre eux des ensembles de données distincts concernant un même individu ?
=>
L’inférence : peut-on déduire de l’information sur un individu.

Ainsi :

  • un ensemble de données pour lequel il n’est possible ni d’individualiser ni de corréler ni d’inférer est a priori anonyme;
  • un ensemble de données pour lequel au moins un des trois critères n’est pas respecté ne pourra être considéré comme anonyme qu’à la suite d’une analyse détaillée des risques de ré-identification.

Différences entre anonymisation et pseudonymisation

La pseudonymisation est un traitement de données personnelles réalisé de manière à ce qu'on ne puisse plus attribuer les données relatives à une personne physique sans avoir recours à des informations supplémentaires. En pratique la pseudonymisation consiste à remplacer les données directement identifiantes d’un jeu de données (nom, prénom, etc.) par des données indirectement identifiantes (alias, numéro dans un classement, etc.).
La pseudonymisation permet ainsi de traiter les données d'individus sans pouvoir identifier ceux-ci de façon directe. En pratique, il est toutefois bien souvent possible de retrouver l'identité de ceux-ci grâce à des données tierces. C'est pourquoi des données pseudonymisées demeurent des données personnelles. L'opération de pseudonymisation est réversible, contrairement à l'anonymisation.

Source : https://www.cnil.fr/fr/le-g29-publie-un-avis-sur-les-techniques-danonymisation

Dates
Créé le 3 février 2020