Définition de la technique de pseudonymisation

Le RGPD propose la pseudonymisation comme illustration de mesures

techniques et organisationnelles appropriée pour la protection des données (I). Les moyens techniques pour réussir à mettre en place cette pseudonymisation sont diverses (II).

I. Généralités

L’article 25 al.1 du RGPD dispose que :

« 1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures

techniques et organisationnelles appropriées, telles que la

pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée » (soulignement rajouté).

Cet article recommande donc directement la technique de la pseudonymisation comme technique appropriée pour la protection des données à caractère personnel dans le cadre d’un traitement.

La pseudonymisation est la technique que la France a décidé de mettre en œuvre pour diminuer le risque d’atteinte à la vie privée en ligne et répondre ainsi aux exigences des articles 20 et 21 de la Loi pour une République numérique. Selon la Commission nationale de l'informatique et des libertés (CNIL), la pseudonymisation est

« un traitement de données personnelles réalisé de manière à ce qu'on ne puisse plus attribuer les données relatives à une personne physique sans avoir recours à des informations supplémentaires. En pratique, la pseudonymisation consiste à remplacer les données directement identifiantes (nom, prénom, etc.) d’un jeu de données par des données indirectement identifiantes (alias, numéro dans un classement, etc.) »149_.

La pseudonymisation permet toujours d’identifier un individu grâce à ses données à caractère personnel. En effet, le considérant 26 du RGPD rappelle que les données à caractère personnel qui ont fait l'objet d'une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires « devraient être considérées comme des informations concernant une personne physique identifiable »150_.

Il ne faut pas confondre la technique de la pseudonymisation avec celle de

l’anonymisation. Cette dernière est « un traitement qui consiste à utiliser un ensemble

de techniques de manière à rendre impossible, en pratique, toute identification de la personne par quelque moyen que ce soit et ce de manière irréversible »151_{. C’est donc}

l’irréversibilité de l’opération qui caractérise l’anonymisation.

149 _{CNIL, « L’anonymisation des données, un traitement clé pour l’open data », 17 octobre 2019, en ligne}

: <https://www.cnil.fr/fr/lanonymisation-des-donnees-un-traitement-cle-pour-lopen-data>

150 _{Considérant 26 du Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 Avril 2016}

relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel

et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

II. Les techniques de pseudonymisation

En avril 2014, le groupe de travail sur la protection des personnes à l’égard du traitement des données à caractère personnel, nommé « groupe de l’article 29 » (le « Groupe29 ») a rendu un avis152 _{portant sur les techniques d’anonymisation et de}

pseudonymisation. L’avis reporte les techniques de pseudonymisation les plus utilisées, qui sont les suivantes : le système cryptographique à clé secrète (A), la fonction de hachage (B), la fonction de hachage par clé avec clé enregistré (C), le chiffrement déterministe (D).

A. Système cryptographique à clé secrète

Étymologiquement, la cryptologie est la science (λόγος) du secret (κρυπτός). Elle réunit la cryptographie (« écriture secrète ») et la cryptanalyse (étude des attaques contre les mécanismes de cryptographie)153_.

Dans cette technique, il s’agit pour le détenteur de la clé de réidentifier chaque personne concernée en décryptant l’ensemble des données. Les données à caractère personnel sont toujours présentes, mais seulement sous forme cryptée. Le fonctionnement est alors simple : le décryptage est possible uniquement grâce à la clé.

À côté de ce système de chiffrement, qui assure la confidentialité, il existe le hachage : cette technique garantit que le message est intègre, c’est-à-dire qu’il n’a pas été modifié.

152 _{CNIL, « Le G29 publie un avis sur les techniques d’anonymisation », 16 avril 2014, en ligne :}

https://www.cnil.fr/sites/default/files/atoms/files/wp216_fr.pdf

153 _{CNIL, « Comprendre les grands principes de la cryptologie et du chiffrement », 25 octobre 2016, en}

B. Fonction de hachage

La fonction de hachage est une fonction qui pour un ensemble de très grande taille (théoriquement infini) et de nature très diversifiée, va renvoyer des résultats aux spécifications précises154_{. Cela permet d’associer à un message, à un fichier, une}

empreinte unique calculable et vérifiable par tous155_{. Donc par exemple, appliquée aux}

cas de la pseudonymisation des décisions de justice, à un mot va correspondre une signature unique.

C. Fonction de hachage par clé, avec clé enregistrée

Cette fonction de hachage est particulière : elle utilise une clé secrète comme entrée supplémentaire. Cela rend le calcul de l’empreinte différent en fonction de la clé utilisée, ainsi pour deux clés différentes l’empreinte obtenue sur un même message sera différente.

D. Chiffrement déterministe (ou fonction de hachage par clé avec suppression de la clé)

Cette technique équivaut à sélectionner un nombre aléatoire comme pseudonyme pour chaque attribut de la base de données et à supprimer ensuite la table de correspondance. Cette solution permet de réduire le risque de corrélation entre les données à caractère personnel figurant dans l’ensemble de données et celles qui se rapportent au même individu dans un autre ensemble de données, où un pseudonyme différent est utilisé.

154 _{Wikipédia, « fonction de hachage », en ligne : <https://fr.wikipedia.org/wiki/Fonction_de_hachage>.} 155 _{Supra note 153.}