La pseudonymisation est un traitement des données personnelles qui les rend inidentifiables sans une information supplémentaire (comme une clé ou une table de correspondance), contrairement à l'anonymisation qui est irréversible. En 2026, elle reste soumise au RGPD (art.4(5)) et à la Loi 25, car les données peuvent être ré-identifiées.
📖 Définition
La pseudonymisation est un procédé visé à l'article 4(5) du RGPD par lequel les données à caractère personnel sont traitées de manière à ce qu'elles ne puissent plus être attribuées à une personne concernée sans l'utilisation d'informations supplémentaires, tenues séparément et soumises à des mesures techniques et organisationnelles strictes. Contrairement à l'anonymisation, la pseudonymisation est réversible et les données restent personnelles, donc soumises au RGPD et à la Loi 25 du Québec. Elle constitue une mesure de protection obligatoire dès lors qu'elle est appropriée au risque.
💬 En termes simples
C'est comme un vestiaire de patinoire : on vous remet un jeton numéroté au lieu de noter votre nom. Le numéro seul ne révèle rien, mais avec le registre du préposé, on peut retrouver à qui appartient le manteau.
🎯 Exemple concret
Une PME québécoise de livraison remplace les noms et courriels de ses clients par des identifiants aléatoires (ex. : CLI-8a3f9b) dans son système de facturation. La correspondance entre ces identifiants et les vraies coordonnées est conservée dans une base de données distincte, chiffrée et accessible uniquement aux employés autorisés, conformément à la Loi 25 et au RGPD.
💡 Le saviez-vous ?
En 2026, la pseudonymisation est une mesure technique obligatoire selon l'article 32 du RGPD dès qu'elle réduit les risques pour les personnes concernées. Pourtant, elle ne fait pas sortir les données du champ du RGPD ni de la Loi 25 — contrairement à l'anonymisation, qui, si elle est irréversible, dispense de ces obligations.
❓ Questions fréquentes
Pseudonymisation vs anonymisation : laquelle choisir ?
Choisissez la pseudonymisation si vous devez conserver la possibilité de ré-identifier les données (ex. : pour des analyses internes ou un service client). Optez pour l'anonymisation si les données ne doivent plus jamais être liées à une personne (ex. : données publiques ou statistiques). La pseudonymisation reste soumise au RGPD et à la Loi 25, l'anonymisation non — à condition qu'elle soit irréversible et robuste.
La pseudonymisation est-elle imposée par le RGPD ?
Oui, l'article 32 du RGPD exige des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque. La pseudonymisation est explicitement citée comme l'une de ces mesures. Bien qu'elle ne soit pas obligatoire dans tous les cas, elle devient nécessaire dès qu'elle permet de réduire significativement les risques liés au traitement de données personnelles, notamment en cas de fuite.
Comment pseudonymiser un fichier client Excel ?
Pour pseudonymiser un fichier Excel, remplacez les noms, courriels et autres identifiants directs par des ID opaques (ex. : UUID ou codes aléatoires). Conservez la table de correspondance (qui lie chaque ID à la vraie identité) dans un autre fichier, protégé par un mot de passe fort et stocké séparément (ex. : coffre numérique chiffré). Idéalement, chiffrez les deux fichiers et limitez l'accès aux seules personnes autorisées, en tenant un journal d'accès.
Hash SHA-256 = pseudonymisation ou anonymisation ?
Un simple hachage SHA-256 constitue de la pseudonymisation, pas de l'anonymisation, car les valeurs originales (ex. : courriels courants) peuvent être devinées via des attaques par dictionnaire ou tables arc-en-ciel. Pour renforcer la protection, on ajoute un « sel » secret (HMAC-SHA256) et on garde ce secret hors du système. Même alors, tant que la clé existe, la donnée reste pseudonymisée — elle ne devient anonyme que si la clé est définitivement détruite.
Qui peut accéder à la table de correspondance ?
Seules les personnes strictement nécessaires (principe du moindre privilège) doivent y avoir accès, comme un administrateur sécurité ou un responsable conformité. L'accès doit être journalisé, protégé par authentification forte (ex. : MFA), et la table doit être chiffrée au repos (at-rest) et en transit (in-transit). En vertu de la Loi 25 et du RGPD, toute tentative d'accès non autorisée doit déclencher une alerte et être documentée.
Quelles techniques de pseudonymisation utilise-t-on en 2026 ?
En 2026, les techniques courantes incluent la tokenisation (remplacement par jetons aléatoires), le chiffrement préservant le format (FF1/FF3-1 selon NIST), les hachages sécurisés avec sel (HMAC), les identifiants UUID v4 aléatoires, et le masquage partiel (ex. : afficher seulement les derniers chiffres d'un NAS). Le choix dépend du contexte : FF1/FF3-1 est idéal pour les bases transactionnelles, tandis que la tokenisation convient bien aux systèmes de paiement ou CRM.
Reçois chaque semaine le meilleur de l'actualité IA, directement dans ta boîte.
Pas de pourriel, désinscription en 1 clic.
✉️
Restez informé
Recevez nos sélections d'outils et articles directement dans votre boîte courriel.
🔐 Connexion rapide
Entrez votre courriel pour recevoir un code à 6 chiffres.
Pas besoin de mot de passe ni d'inscription. Entrez votre courriel, recevez un code par courriel, et c'est tout !
✓
Paramètres de confidentialité
Nous utilisons des témoins (cookies) pour assurer le bon fonctionnement du site, analyser le trafic et personnaliser le contenu. Vous pouvez gérer vos préférences ci-dessous.
Politique de confidentialité
