La pseudonymisation est l’une des mesures de sécurité explicitement recommandées par le RGPD (article 32). Elle permet de réduire les risques liés au traitement de données personnelles sans supprimer la possibilité de relier les données à leur titulaire lorsque cela est nécessaire.
Depuis l’arrêt EDPS c. SRB du 4 septembre 2025 (aff. C-413/23 P), la CJUE a redéfini les conditions dans lesquelles des données pseudonymisées constituent — ou non — des données personnelles. Ce guide détaille la définition légale, les techniques opérationnelles et les évolutions juridiques récentes.
Qu’est-ce que la pseudonymisation ?
Comment le RGPD définit-il la pseudonymisation ?
L’article 4, paragraphe 5, du RGPD définit la pseudonymisation comme :
« le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles […] »
Trois éléments sont donc cumulativement requis : le remplacement ou la transformation des identifiants directs, la séparation physique ou logique de la table de correspondance, et des mesures de sécurité empêchant tout accès non autorisé à cette table.
Le RGPD mentionne la pseudonymisation à plusieurs reprises. L’article 25 (protection des données dès la conception) la cite comme mesure appropriée. L’article 32 (sécurité) en fait une mesure technique recommandée. L’article 89 l’exige comme garantie pour les traitements à des fins de recherche scientifique, statistique ou archivistique.
En janvier 2025, le CEPD (Comité européen de la protection des données) a adopté ses lignes directrices 01/2025 sur la pseudonymisation. Ces lignes directrices précisent les exigences techniques et organisationnelles, avec une annexe de 10 cas pratiques, dont trois relatifs à l’utilisation de données médicales.
Différence avec l’anonymisation
La distinction est fondamentale. L’anonymisation rend l’identification irréversible : les données sortent du champ du RGPD (considérant 26). La pseudonymisation maintient un lien réversible sous conditions : les données restent des données personnelles au sens du règlement.
En pratique, la CNIL distingue les deux techniques par un critère simple : si un acteur quelconque dans la chaîne de traitement peut, par des moyens raisonnables, rétablir le lien avec la personne, il s’agit de pseudonymisation. Si personne ne le peut, il s’agit d’anonymisation.
Cette distinction a des conséquences directes. L’organisation qui pseudonymise ses données doit toujours respecter l’intégralité du RGPD : base juridique, registre des traitements, droits des personnes concernées. L’anonymisation véritable libère de ces obligations, mais elle est techniquement difficile à garantir.
Techniques et mise en oeuvre
Quelles sont les principales techniques de pseudonymisation ?
Le CEPD, dans ses lignes directrices 01/2025, identifie plusieurs techniques adaptées à différents contextes.
Le remplacement par alias (tokenisation) consiste à substituer chaque identifiant par un jeton aléatoire, stocké dans une table de correspondance sécurisée. Cette méthode préserve la structure des données et permet des analyses relationnelles. Elle est couramment utilisée dans le secteur bancaire pour protéger les numéros de carte.
Le chiffrement à clé secrète transforme les données à l’aide d’un algorithme cryptographique (AES-256, par exemple). L’avantage est la réversibilité contrôlée par la clé. L’inconvénient est que la compromission de la clé expose l’ensemble du jeu de données.
Le hachage avec sel (salted hashing) applique une fonction de hachage (SHA-256, par exemple) combinée à une valeur aléatoire unique. Le résultat est déterministe pour une même entrée et un même sel, mais irréversible sans connaissance du sel. Cette technique est appropriée pour les cas où la comparaison suffit sans nécessité de reconstitution.
La généralisation réduit la précision des données (remplacer un âge exact par une tranche d’âge, un code postal complet par les deux premiers chiffres). Elle relève davantage de l’anonymisation partielle mais peut compléter une stratégie de pseudonymisation.
Comment mettre en place un processus de pseudonymisation ?
La mise en oeuvre opérationnelle suit quatre étapes. D’abord, l’inventaire des données : identifier les attributs directement identifiants (nom, email, numéro de sécurité sociale) et les quasi-identifiants (date de naissance, code postal, profession) qui, combinés, permettent la ré-identification.
Ensuite, le choix de la technique en fonction de la finalité du traitement. Pour de l’analyse statistique, la tokenisation avec rupture du lien peut suffire. Pour un traitement nécessitant une ré-identification ultérieure (suivi médical), le chiffrement avec gestion de clés est préférable.
Troisièmement, la séparation de la table de correspondance. L’article 4(5) du RGPD exige que les informations supplémentaires soient « conservées séparément ». Cela implique un stockage distinct, avec contrôle d’accès restreint, journalisation des accès et, idéalement, chiffrement de la table elle-même.
Enfin, la documentation dans le registre des traitements. Le responsable de traitement doit consigner la technique utilisée, les mesures de séparation, les personnes habilitées à accéder à la table de correspondance, et la procédure de ré-identification en cas de besoin légitime.
Des outils spécialisés facilitent ces opérations. PostgreSQL Anonymizer est une extension open source pour les bases PostgreSQL. ARX Data Anonymization Tool propose une interface graphique et prend en charge plusieurs algorithmes de transformation.
Cadre juridique et évolutions récentes
L’arrêt CJUE EDPS c. SRB (septembre 2025)
Le 4 septembre 2025, la CJUE a rendu un arrêt déterminant dans l’affaire C-413/23 P. Le Comité de résolution unique (SRB) avait pseudonymisé 1 104 formulaires avant de les transmettre à Deloitte. Chaque formulaire portait un code alphanumérique, et seul le SRB conservait la table de correspondance.
La Cour a posé deux principes. Premier principe : les opinions personnelles exprimées dans un formulaire constituent des données personnelles, confirmant la définition large de l’article 4. Second principe : des données pseudonymisées transmises à un tiers ne constituent pas des données personnelles pour ce tiers si celui-ci ne dispose pas de « moyens raisonnablement susceptibles d’être utilisés » pour ré-identifier les personnes.
En pratique, cela signifie que la pseudonymisation peut, dans certaines configurations, faire sortir les données du champ du RGPD pour le destinataire. Mais le responsable de traitement initial (ici le SRB) reste soumis à toutes les obligations, y compris l’information des personnes concernées sur le transfert.
Cette approche « relative » a été analysée en détail par le cabinet Bird & Bird comme ouvrant « une nouvelle ère pour les accords de traitement de données ».
Le Digital Omnibus et l’avenir de la pseudonymisation
En novembre 2025, la Commission européenne a présenté le Digital Omnibus Package, qui proposait de modifier l’article 4 du RGPD pour intégrer l’approche relative : une donnée ne serait personnelle que si l’entité qui la détient dispose de « moyens raisonnablement susceptibles d’être utilisés » pour identifier la personne.
Cette proposition reflétait directement la jurisprudence SRB. Elle prévoyait également de donner à la Commission le pouvoir d’adopter des actes d’exécution précisant quand des données pseudonymisées constituent des données personnelles.
Toutefois, un compromis divulgué du Conseil de l’UE, daté du 20 février 2026, a éliminé cette modification de la définition. La proposition a suscité des critiques, notamment de l’association noyb, qui estimait qu’elle risquait d’« affaiblir les principes fondamentaux du RGPD ».
Le CEPD a également organisé, le 12 décembre 2025, un événement avec 115 parties prenantes (industrie, universités, ONG) pour recueillir des retours sur ses lignes directrices sur la pseudonymisation. Le rapport publié le 18 février 2026 souligne la demande forte d’« outils pratiques » et de clarifications sectorielles, notamment pour la recherche en santé et les données publicitaires.
En 2025, la CNIL a prononcé 83 sanctions pour un total de 486,8 millions d’euros, rappelant l’enjeu financier de la conformité. Pour les organisations, l’incertitude législative renforce l’importance d’adopter dès maintenant des pratiques de pseudonymisation robustes. Legiscope permet de documenter les techniques de pseudonymisation dans le registre et de suivre les évolutions réglementaires applicables.
Avertissement juridique : cet article est fourni à titre informatif et ne constitue pas un conseil juridique. Consultez un avocat spécialisé pour toute question relative à votre situation.
FAQ
Qu’est-ce que la pseudonymisation selon le RGPD ?
La pseudonymisation (Art. 4(5) RGPD) consiste à remplacer les identifiants directs (nom, email) par des pseudonymes (codes, hash, identifiants aléatoires) de façon à ce que les données ne puissent plus être attribuées à une personne sans recours à des informations supplémentaires conservées séparément.
La pseudonymisation réduit-elle les obligations RGPD ?
Partiellement. Les données pseudonymisées restent des données personnelles et restent soumises au RGPD. Cependant, la pseudonymisation peut réduire les exigences de DPIA, facilite le partage de données pour la recherche, et est explicitement mentionnée comme mesure de protection appropriée aux articles 25 et 32 RGPD.
Quelle est la différence entre pseudonymisation et chiffrement ?
Le chiffrement protège les données contre les accès non autorisés (confidentialité) mais les données déchiffrées restent identifiantes. La pseudonymisation modifie les identifiants eux-mêmes pour limiter la réidentification directe. Les deux techniques sont complémentaires et recommandées ensemble pour les données sensibles.
Quand doit-on pseudonymiser des données ?
La pseudonymisation est recommandée pour : bases de données de tests et développement (pas de données de production en clair), partage de données à des tiers pour analyse ou recherche, journaux d’audit conservés longtemps, et tout traitement à haut risque où la minimisation des dommages en cas de fuite est prioritaire.
Conclusion
La pseudonymisation est une obligation pratique autant qu’un avantage stratégique. Elle réduit l’impact d’une éventuelle violation de données, facilite la conformité à l’article 32 du RGPD et, depuis l’arrêt SRB de 2025, peut dans certaines configurations faire sortir les données transmises à un tiers du champ d’application du règlement.
La mise en oeuvre exige toutefois rigueur et méthode : choix de la technique adaptée, séparation effective de la table de correspondance, documentation dans le registre, et veille sur les évolutions jurisprudentielles et législatives. Les lignes directrices 01/2025 du CEPD et le rapport de l’événement parties prenantes de décembre 2025 constituent les références actuelles les plus complètes pour structurer une démarche de pseudonymisation conforme.
Dernière vérification : mars 2026
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial
