Anonymisation & pseudo anonymisation ?
Arrêtés Partage données de santé Sécurité SI
Anonymisation & pseudo anonymisation ?
Arrêtés Partage données de santé Sécurité SI

Anonymisation & pseudo anonymisation ?

Revenons rapidement sur ces définitions : anonymes ou pseudonymes ?

Données à caractère personnel

  • Les “données à caractère personnel” : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”) ; est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;

Anonymisation : l’anonymisation rend impossible l’identification d’une personne à partir d’un jeu de données et permet.

  • Les données sortent ainsi du champ du RGPD ( ex : des statistiques  condensées )

Pseudonymisation :

  • “pseudonymisation” : le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ;
  • Ces données sont soumises au RGPD ( Exemple : extraction et suppression des colonnes nom, prénom, d’une base de données – les données restent cependant identifiable en croisant avec la base de données d’origine)

Responsable du traitement :

  • L’institution ou l’organe de l’Union ou la direction générale ou toute autre entité organisationnelle qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel ; lorsque les finalités et les moyens dudit traitement sont déterminés par un acte spécifique de l’Union, le responsable du traitement ou les critères spécifiques applicables pour le désigner peuvent être prévus par le droit de l’Union ;

La Cour de justice de l’Union européenne apporte une précision importante dans un arrêt du 4 septembre 2025 :

Elle considère qu’une donnée peut être considérée comme une personne physique identifiable pour l’émetteur et anonyme pour le destinataire.

  • Ce qui signifie qu’il serait possible dans certains cas de transmettre des données personnelles (après une bonne dose de pseudonymisation) et de les transmettre pour permettre un traitement hors champ du RGPD.
  • Attention, les données restantes des « données personnelles » pour le responsable de traitement, vous devez informer du traitement des données (création d’une base de données  pseudonymisées) et des destinataires des données (transfert à xxx).