Depuis que le RGPD recommande ces mesures de sécurité des données, ces concepts jusque-là obscurs sont devenus des sujets de discussion brûlants parmi les chefs d’entreprise. Si vous ne savez toujours pas quelle est la différence entre les deux, voici quelques définitions:
Pseudonymisation – une procédure de gestion des données par laquelle les champs d’informations personnellement identifiables dans un enregistrement de données de consommateur sont remplacés par un ou plusieurs identifiants artificiels, ou pseudonymes, qui peuvent être rappelés à une date ultérieure pour réidentifier l’enregistrement.
Anonymisation – processus consistant à chiffrer ou à supprimer des informations personnellement identifiables des ensembles de données afin que les personnes décrites par les données restent anonymes en permanence.
- Différence clé entre la pseudonymisation et l’anonymisation
- Le RGPD et le Masquage des données
- Article 5 – Traitement des données
- Article 25 – Protection des données dès la conception
- Considérant RGPD 26
- Article 32 – Sécurité du traitement
- Article 34 – Informer les Personnes concernées d’une violation de données
- Avantages du masquage des données
- Quelle Technique de masquage de données est la meilleure?
Différence clé entre la pseudonymisation et l’anonymisation
Les deux méthodes consistent à masquer des données personnelles en supprimant ou en cryptant les données permettant de lier les informations à une personne, telles que le nom, l’adresse ou le numéro de carte de crédit.
Cependant, la différence entre les deux est que la pseudonymisation peut être inversée. En utilisant des informations détenues séparément, telles qu’une clé de cryptage, on peut récupérer les informations identifiables lorsque cela est nécessaire pour relier les données à un individu.
Notre Générateur de Politique de confidentialité facilite la création d’une Politique de confidentialité pour votre site Web. Suivez simplement ces étapes:
- Cliquez sur le bouton « Générateur de politique de confidentialité ».
- À l’étape 1, sélectionnez l’option Site Web et cliquez sur « Étape suivante »:
- Répondez aux questions sur votre site Web et cliquez sur « Étape suivante » lorsque vous avez terminé:
- Répondez aux questions sur vos pratiques commerciales et cliquez sur « Étape suivante » lorsque vous avez terminé:
-
Entrez votre adresse e-mail où vous souhaitez que votre politique soit envoyée, sélectionnez versions de traduction et cliquez sur « Générer. »
Vous pourrez accéder et télécharger instantanément votre nouvelle politique de confidentialité.
Cependant, une fois les données anonymisées, elles ne peuvent jamais être liées à un individu. L’anonymisation est permanente.
Le RGPD et le Masquage des données
Le RGPD fait des mentions nombreuses et spécifiques du masquage des données.
Voici quelques exemples :
Article 5 – Traitement des données
À l’article 5, le RGPD stipule que les données personnelles ne doivent être conservées que le temps nécessaire à la fourniture d’un service. Après cela, il peut être conservé si les données ne permettent plus l’identification des individus.
Article 25 – Protection des données dès la conception
À l’article 25, le RGPD décrit l’obligation pour les entreprises de prendre toutes les mesures raisonnables pour protéger les données des consommateurs, par défaut et par conception. Il mentionne spécifiquement la pseudonymisation comme moyen d’y parvenir.
Considérant RGPD 26
Au considérant 26, le RGPD précise que certaines mesures de protection des données ne s’appliqueront pas aux informations anonymes qui ne peuvent plus identifier une personne physique.
Article 32 – Sécurité du traitement
La sécurité est un point clé du RGPD. L’article 32 mentionne spécifiquement la pseudonymisation comme mesure de sécurité appropriée pour protéger la vie privée des consommateurs.
Article 34 – Informer les Personnes concernées d’une violation de données
Selon l’article 34, une entreprise doit informer les utilisateurs d’une violation de données à haut risque qui les affecte, à moins que des mesures de protection organisationnelles n’aient rendu les informations inintelligibles ou non identifiables – par exemple par pseudonymisation ou anonymisation.
Avantages du masquage des données
Le masquage des données n’est pas absolument requis par le RGPD. Cependant, il est fortement recommandé. En fait, le règlement offre des incitations à la mise en œuvre de techniques de masquage des données.
Voici comment:
- Répondre aux exigences de sécurité: En utilisant des techniques telles que la pseudonymisation et l’anonymisation, vous respecterez l’exigence selon laquelle les entreprises mettent en œuvre toutes les mesures possibles pour protéger les données des consommateurs. S’il arrive que votre entreprise fasse l’objet d’une enquête pour une raison quelconque, le masquage des données fournira une protection supplémentaire si vos protocoles de sécurité des données sont remis en question.
- Communication de violations de données: Si vos données ont été anonymisées, vous ne serez pas tenu d’informer les utilisateurs (anonymisés) d’une violation de données qui affecte leurs informations. En effet, il n’y aura aucun moyen de relier les données violées à l’individu.
- Respect des droits de l’utilisateur: Une fois les données anonymisées de manière permanente, vous ne serez plus tenu de respecter les droits et exigences de l’utilisateur, tels que le droit du consommateur d’être effacé ou le droit de demander une copie intégrale des données de l’utilisateur.
- Déplacement des renseignements personnels au-delà des frontières internationales: Bien qu’on ne sache pas à quel niveau de pseudonymisation est nécessaire pour transférer des données au-delà des frontières internationales sans suivre une montagne de politiques et de formalités administratives, le masquage des données pourrait réduire le nombre de cerceaux que l’on doit franchir pour transférer des données vers un autre pays.
Voici un graphique tiré d’un livre blanc d’analyse de la confidentialité sur le sujet:
Quelle Technique de masquage de données est la meilleure?
Lorsqu’il s’agit de la question de la pseudonymisation par rapport à l’anonymisation, l’entreprise doit tenir compte de ses applications et de son utilisation des données personnelles.
Voici quelques situations dans lesquelles vous pouvez utiliser l’anonymisation au lieu de la pseudonymisation:
- Si vous n’avez plus besoin de communiquer ou de travailler avec un consommateur, mais souhaitez archiver son activité, son historique de commandes ou tout autre détail qui n’a pas pu être utilisé pour l’identifier.
- Pour effectuer des analyses de données sans rapport avec les services que vous fournissez au consommateur.
- Si vous devez mettre des données à la disposition d’un groupe de personnes en dehors de celles qui sont désignées pour remplir vos services, comme un large groupe d’employés ou de consultants.
D’autre part, la pseudonymisation des données peut être utilisée lorsque vous devrez ré-identifier les utilisateurs à l’avenir:
- Pour sécuriser les données pendant l’exécution des services, en masquant les détails d’identification aux employés ou à d’autres gestionnaires de données qui n’en ont pas besoin.
- Pour maintenir la protection des données au sein de votre base de données ou de vos enregistrements, des historiques de commandes et des clients inactifs avec lesquels vous restez en contact.
- Pour transférer des données au-delà des frontières internationales.
- Maintenir les principes de protection des données et de confidentialité dès la conception énoncés par le RGPD.
Dans l’ensemble, ces deux méthodes présentent des avantages en vertu du RGPD, mais peuvent ne pas être réalisables pour certains ensembles de données ou applications. Faites vos recherches sur toutes les implications avant d’effectuer des mesures de masquage de données.