Dans le cadre de la consultation publique lancée par le Comité Européen de la Protection des Données (CEPD), l’Alliance Digitale, en partenariat avec plusieurs IAB européens (IAB Europe, Italy, Poland, Spain, VIA Netherlands, Association for Internet Progress et IAB Suède), a soumis ses observations concernant le projet de lignes directrices 1/2025 sur la pseudonymisation.
La pseudonymisation est aujourd’hui une technique centrale pour les acteurs du marketing digital. Elle permet de conjuguer performance publicitaire et respect du RGPD en réduisant les risques liés à l’exploitation des données personnelles. Toutefois, le projet de texte du CEPD suscite des inquiétudes majeures quant à son interprétation stricte, qui pourrait freiner l’innovation et alourdir les obligations des entreprises.
Trois alertes soulevées par l’Alliance Digitale
- Un seuil trop élevé pour la pseudonymisation : le projet impose des conditions excessivement strictes pour qu’une donnée soit considérée comme pseudonymisée, ce qui pourrait décourager son usage par les professionnels du numérique.
- Une définition trop large des données personnelles : le texte semble adopter une approche absolue, contraire au considérant 26 du RGPD, en qualifiant de données personnelles toute information potentiellement réidentifiable, même sans accès effectif aux moyens d’identification.
- Une lecture déviée de l’article 11 du RGPD : l’application de cet article semble élargie à des cas où le responsable de traitement ne détient pourtant pas les éléments nécessaires pour identifier les personnes concernées.
Trois recommandations stratégiques pour garantir un cadre équilibré
- Attendre la décision de la CJUE dans l’affaire SRB, qui pourrait apporter des clarifications juridiques majeures avant la publication définitive des lignes directrices.
- Harmoniser l’interprétation de la pseudonymisation avec la jurisprudence européenne et le RGPD, en la distinguant clairement de l’anonymisation totale.
- Valoriser la pseudonymisation comme une mesure de protection efficace, en l’intégrant comme facteur atténuant lors des contrôles des autorités de protection des données.
Consultez la contribution complète ci-dessous :
En savoir plus ? Découvrez :