• La Tribune
  • La Tribune Dimanche
  • La Tribune Afrique
  • Air&Cosmos
  • |
  • Événements
  • L'instant Sélection
Une du journal La Tribune

Dernière édition

Flèche menu déroulant
Newsletters
Logo La Tribune
  • Économie
  • Finance
  • Tech & IA
  • Énergie & industrie
  • Transports
  • Défense & aérospatiale
  • Climat
Logo La Tribune
  • Économie
  • Finance
  • Tech & IA
  • Énergie & industrie
  • Transports
  • Défense & aérospatiale
  • Climat

Sélectionnez votre région

Logo La Tribune

RECHERCHER

Loupe

LTD
La Tribune Dimanche
Ouvrir dans une nouvelle fenêtre
Air&Cosmos icon
Air&Cosmos
Ouvrir dans une nouvelle fenêtre

À la une
  • Finances publiques
  • Fiscalité
  • Immobilier
  • Consommation
  • Distribution
  • Politique internationale
  • Finances personnelles
  • Banque & assurances
  • Marchés financiers
  • Intelligence artificielle
  • High tech
  • Télécoms
  • Start-up
  • Énergie
  • Politique industrielle
  • Chimie & pharmacie
  • Automobile
  • Mobilités
  • Aéronautique
  • Défense
  • Spatial
  • Environnement
  • Agriculture & agroalimentaire
Idées & débats
Kiosque numériqueNewsletters
La Tribune DimancheLa Tribune AfriqueAir&Cosmos
  • La Tribune Now
  • Votre argent avec Finance Héros
  • Construire les mobilités de demain
  • Fonction Finance 2.0 avec Cegid
  • Transformations durables avec Forvis Mazars
  • Accélérer avec le Cloud par AWS
  • Fisher Investments
  • Au coeur du business
  • VisionAir avec Bpifrance
  • Adaptabilité permanente : Le pouvoir d’agir avec IBM Consulting
  • Succès d'entreprises avec Deloitte
  • L'Œil sur vos Finances
  • Les Rencontres de Roissy Meaux Aéropôle
  • France Travail accompagne le Salon des Maires
  • La CCI Paris Ile-de-France, le réflexe des entrepreneurs
  • #La Tribune Business Interviews
  • #La Tribune Business Dossiers
  • #La Tribune Business TV
  • Instant Sélection
Événements
OpinionsTribunes

OPINION. « Comment (vraiment)  pseudonymiser ses données »

Charles Cuvelliez et Francis Hayen

Publié le 18 mars 2025 à 07:07

Photo d'illustration

Photo d'illustration

DR

Le Quotidien Numérique

18 juillet 2026

Photo d'illustration de l'article
LireS'abonner

Les plus lus

  • 1

    Incendies : Positive Aviation franchit une étape décisive pour transformer un ATR en alternative au Canadair

  • 2

    Saturation du réseau électrique : 2 500 producteurs d’énergie renouvelable dans l’attente de solutions de raccordement

  • 3

    Bouygues Telecom se met en état de marche avant d’absorber SFR

  • 4

    Bourse : Nvidia et les géants des puces dévissent sur les marchés, Apple devient la première capitalisation mondiale

  • 5

    Ferroviaire : la Tunisie poursuit la modernisation de son réseau en commandant 18 nouvelles rames

  • 6

    Dépassé par la pollution perpétuelle des mines d’or, Orano cherche comment stocker les boues toxiques

Régions

  • Auvergne-Rhône-Alpes
  • Bourgogne-Franche-Comté
  • Bretagne
  • Centre-Val de Loire
  • Corse
  • Grand Est
  • Hauts-de-France
  • Île-de-France
  • Normandie
  • Nouvelle-Aquitaine
  • Occitanie
  • Pays de la Loire
  • Provence-Alpes-Côte d'Azur

La Tribune +

  • Espace abonné
  • Kiosque numérique
  • Annonces légales
  • Déposer vos annonces légales

Services

  • Supplément
  • La Tribune now

Evénements

  • ACT50
  • Aéroforum
  • AIM
  • Bordeaux Solar Summit
  • Family & Business Forum
  • Forum Europe Afrique
  • Impacts Santé
  • Les Lauréates
  • Paris Air Forum
  • Sommet Aéronautique & Spatial de Bordeaux
  • Sommet Économique de la Corse
  • Tech For Future
  • World News Media Congress
  • Tous nos événements en régions

Pour gérer vos consentements,

Suivez-nous sur les réseaux sociaux

YouTube
LinkedIn
Facebook
Instagram
X

Application mobile

App Store
Google Play

  • Nous Contacter
  • Charte d'indépendance et de déontologie
  • Mentions Légales
  • CGU
  • CGU Pro
  • Gestion des cookies
  • Exercez vos droits
  • Politique de confidentialité

Droits de reproduction et de diffusion réservés @LaTribune

Partenaire digital de confiance - Certification de qualité
  • La Tribune
  • La Tribune Dimanche
  • La Tribune Afrique
  • Air&Cosmos
  • |
  • Événements
  • L'instant Sélection
Google icon
Ajouter La Tribune à vos sources préféréesAjouter La Tribune à vos sources préférées
OPINION. C'est une consultation qui a suscité beaucoup d'intérêt dans le monde des délégués à la protection des données, car elle se propose de donner des lignes directrices sur la pseudonymisation. L'EDPB qui groupe les CNIL européennes a donné sa vision sous forme de lignes directrices, adopté le 16 janvier 2025 et la consultation vient de s'achever ce 14 mars 2025. Par Charles Cuvelliez et Francis Hayen (*)

C'est le RGPD qui parle de pseudonymisation pour la première fois dans la législation européenne. Son but ? Contrôler la manière dont des données personnelles peuvent être reliées à des personnes en ne donnant cette possibilité qu'à un nombre restreint de collaborateurs. Trop souvent, on pense qu'il s'agit simplement de remplacer un nom par un pseudonyme qui rend en fait la personne tout aussi identifiable.

Il y a trois étapes pour pseudonymiser des données : transformer les données personnelles pour les rendre non identifiables et attribuables à une personne pour qui ne doit pas le savoir, garder à part l'information qui permet de faire marche arrière et imposer des mesures techniques et organisationnelles qui empêchent cette opération de réattribution. Il ne peut être possible d'identifier la personne qui fait l'objet de la pseudonymisation de ses données personnelles sans avoir connaissance l'information supplémentaire en question, le secret de pseudonymisation.

Si le RGPD a prévu la pseudonymisation, c'est qu'elle offre des avantages : elle réduit les risques de perte de confidentialité. S'il y a une fuite de données pseudonymisées, les conséquences sont moins grandes. Mais la pseudonymisation réduit aussi les risques que les données soient utilisées à d'autres fins que ce pour quoi elles ont été collectées puisqu'elles sont en quelque sorte altérées.

Minimisation

Les données sont mieux protégées avec la pseudonymisation : elle contribue à la minimisation des données. Pourquoi garder et traiter des données qu'on peut relier à une personne si ce n'est pas nécessaire (c'est l'idée même de la minimisation). L'EDPB n'est même pas loin de recommander la pseudonymisation par défaut au sein même de l'entreprise. L'idée est donc de pseudonymiser systématiquement les données pour les personnes qui doivent les traiter au sein de l'entreprise et qui n'ont pas besoin de savoir qui est derrière. C'est encore plus vrai si les données doivent sortir de l'entreprise et être confiées à un tiers (un sous-traitant ou même un responsable de traitement). On enlève à ce dernier toute tentation d'utiliser ces données à d'autres fins. La pseudonymisation est aussi utile lorsqu'il faut archiver les données pour l'intérêt public, scientifique ou historique. Cet archivage est permis par le RGPD. Autant pseudonymiser dit l'EDPB.

Intérêt légitime

La réduction de risque suite à une pseudonymisation peut être une condition pour rendre légitime le traitement des données. On le sait : vos données peuvent être traitées sans que vous ne donniez votre consentement s'il y a un intérêt légitime de la société qui les possède à les traiter (outre d'exécuter un contrat où de donner le service pour lequel vous avez payé). C'est une sauvegarde si l'entreprise décide de traiter vos données pour des buts « compatibles » avec l'intérêt légitime, c'est-à-dire lorsqu'il veut en faire un peu plus avec vos données. Autant le limiter dans ses velléités, car la pseudonymisation aura été ciblée pour se limiter au strict intérêt légitime.

Newsletter

Ma Tribune

L’actualité qui compte pour vous, chaque jour dans votre boîte mail.

Illustration de la newsletter Ma Tribune

Pseudonymisation comme mesure de sécurisation

La pseudonymisation peut entre autres aussi servir de mesure de sécurité supplémentaire lorsque des données personnelles sont exportées vers un pays tiers « peu sûr » c'est-à-dire qui ne jouit pas d'une équivalence avec le RGPD. Il faut, dit l'EDPB, pseudonymiser tout ce qui pourrait intéresser les autorités de ce pays qui ne respecte pas le RGPD.

La pseudonymisation peut être différente et plus sévère quand les données sont confiées à des tiers par rapport à une pseudonymisation appliquée en interne. Si les mêmes données sont envoyées à plusieurs tiers, il vaut mieux ne pas les pseudonymiser de la même manière.

Données personnelles et droit d'accès

N'oublions pas que les données pseudonymisées sont en principe toujours des données personnelles, dit le EDPB. Seule exception est le cas où la personne/la société qui a les données pseudonymisés ne peut en aucun cas les dé-pseudonymiser. Tant qu'il ne peut pas les attribuer à une personne, les données peuvent même être interprétées comme des données anonymes.

Donc, si une personne exécute son droit d'accès chez un responsable de traitement qui n'a que des données pseudonymisées, et que ce responsable de traitement peut démontrer qu'il ne peut plus/pas dé-pseudonymiser les données, par exemple parce que ce n'est pas lui qui les a pseudonymisées, il doit quand même répondre à la demande d'accès surtout si la personne qui exerce son droit d'accès est capable de lui donner le pseudonyme qui lui est relié. Ou le responsable de traitement doit - s'il ne peut dé-pseudonymiser ses données - aiguiller la personne afin de recevoir le pseudonyme vers le responsable de traitement   qui a fait l'opération de la pseudonymisation.

Les techniques de pseudonymisation

Mais comment pseudonymiser efficacement ? il y a une transformation en jeu avec l'application d'un secret de pseudonymisation. Ce sont des clés de chiffrement, pour un chiffrement non symétrique de préférence, ou une table de correspondance qui donne le lien entre l'identifiant et le pseudonyme.

Le chiffrement asymétrique est le meilleur, car même avec la clé qui a servi à chiffrer les données on ne peut pas faire marche arrière. La clé de chiffrement est la donnée secrète au centre de la pseudonymisation. Attention de ne pas choisir un algorithme de chiffrement trop faible qui nécessiterait de re-chiffrer les données avec les progrès technologiques. Quant à la table de correspondance, mieux vaut prendre un générateur de nombres aléatoire pour le pseudonyme.

Quel attribut pseudonymiser ?

La difficulté restera, dit l'EDPB, l'identification des attributs qui doivent être remplacés par des pseudonymes. Il faudra tenir compte si les données à pseudonymiser doivent ou ne doivent pas être reliées. On doit même envisager la destruction de certains attributs quand on sait qu'ils ne seront jamais nécessaires, mais qu'ils sont dangereux, comme les identifiants (de dossiers) médicaux. Une collection d 'attributs inoffensifs séparément peuvent devenir dangereux mis en ensemble, car ils profilent l'individu concerné. Ce sont les quasi-identifiants comme les données biométriques, génétiques, culturelles... C'est mieux de les enlever ou de les rendre moins granulaires (sous forme de classes)

Quand pseudonymiser ?

La pseudonymisation peut aussi se faire au moment de la collecte de données ou plus tard (plus risqué). Si la même personne a toujours le même pseudonyme, on parlera de pseudonyme de personne. Mais on peut aussi ne pas vouloir garder cette permanence du pseudonyme et ajouter un caractère transactionnel : le pseudonyme est alors lié à la personne et a à une action qu'elle fait. Le pseudonyme change donc en fonction du jour par exemple. C'est plus sûr.

La pseudonymisation est une mesure de protection que les responsables de traitement peuvent appliquer pour satisfaire aux exigences de la loi sur la protection des données et, en particulier, pour démontrer la conformité aux principes de protection des données conformément à l'article 5(2) du RGPD.

Mais les responsables du traitement doivent toujours garder à l'esprit que les données pseudonymisées, qui pourraient être attribuées à une personne physique par l'utilisation d'informations supplémentaires, restent des informations liées à une personne identifiable, et donc constituent des données personnelles. Le traitement de ces données pseudonymisées doit être conforme au RGPD, y compris les principes de licéité, de transparence et de confidentialité. Les responsables du traitement doivent maintenir un niveau de sécurité approprié en mettant en œuvre des mesures techniques et organisationnelles supplémentaires. Enfin, les responsables du traitement doivent garantir la transparence et faciliter l'exercice des droits des personnes concernées définis dans le Chapitre III du RGPD. Bref, pseudonymiser des données ne vous enlève pas beaucoup d'obligations, mais vous protégez mieux les données personnelles. Qu'on se le dise.

______

Pour en savoir plus

Guidelines 01/2025 on Pseudonymisation  on 16 January 2025, en consultation jusqu'au 14 mars 2025

--

(*) Charles Cuvelliez, Groupe Belfius  (DSSI) et Université de Bruxelles (Ecole Polytechnique) et Francis Hayen, Groupe Belfius (Délégué à la Protection des Données)

Charles Cuvelliez et Francis Hayen

Sur le même sujet

Sanjay Pulipaka

OPINION. « Souveraineté numérique : l'Europe ne peut plus se contenter de réagir aux ingérences »

Idées & Débats
Sébastien Boussois

OPINION. « Meloni, Takaichi : une nouvelle droite féminine décomplexée au pouvoir »

Pendant des décennies, l’arrivée des femmes aux plus hautes responsabilités a été accompagnée d’une promesse implicite : elles introduiraient une politique plus douce, plus consensuelle, plus horizontale et plus sensible. Comme si l’autorité, la puissance et l’affirmation de l’intérêt national étaient nécessairement des attributs masculins et qu’il fallait desormais tout autre chose pour réussir en politique.

Idées & Débats
Bertrand Piccard

OPINION. « ETS et long-courriers : l’Europe ne doit pas rater l’embarquement »

Alors que la Commission européenne s’apprête à réviser son système d’échange de quotas d’émission (SEQE), l’une des questions importantes qui se posent est de savoir si les vols internationaux doivent rester en dehors du système ou y être enfin intégrés.

Idées & Débats
Gabriel Gaspard

OPINION. « Présidentielle 2027 - dette publique : faut-il changer de paradigme ? »

Les signaux de la Cour des comptes sont tous alarmants. Le débat sur l'endettement de la France enflamme la présidentielle. La dette devient-elle hors de contrôle ? Faut-il des solutions douloureuses ou une vraie alternative à nos finances publiques ?

Idées & Débats
agir

OPINION. « Redonner aux jeunes le pouvoir d’agir : quand entreprendre remet en mouvement »

Par les 25 membres du collectif Entr&prends ton Avenir et 13 représentants de l’écosystème associatif de la jeunesse.

Idées & Débats
Julien Chaverou

OPINION. « Pour un pacte de soutien a l’ameublement français et europeen »

La France et l’Europe ont une histoire longue et remarquable dans le secteur de la décoration et de l’ameublement. Les trois dernières décennies ont changé radicalement les méthodes, les moyens et les habitudes. Aujourd’hui, comme dans la mode, il y a ce sentiment étourdissant que, soudain, tout s’écroule.

Idées & Débats
Amaury Goguel

OPINION. « Et si les grilles d’analyse des Institutions Financières Internationales alimentaient les polycrises ? »

La décision est passée presque inaperçue. Pourtant, en septembre 2025, Pékin a provoqué un véritable séisme silencieux dans la gouvernance mondiale en renonçant officiellement à son statut de « pays en développement » à l’Organisation mondiale du commerce.

Idées & Débats
Sarah Bagnon-Szkoda

OPINION. « CSRD : le reporting de durabilité entre dans son âge de raison »

La CSRD a d’abord été perçue comme une contrainte. Une norme de plus, venant s’ajouter à un environnement réglementaire déjà dense. Sa mise en œuvre a souvent été vécue comme un chantier lourd, technique, coûteux, déployé dans des délais serrés par des entreprises déjà saturées par les obligations de reporting.

Idées & Débats