Le piège classique
L'article 11 est l'article le plus mal compris du RGPD. Beaucoup de responsables croient qu'il les autorise a refuser les demandes d'acces ou d'effacement en pretextant qu'ils ne savent pas qui est la personne. C'est l'inverse : la CNPD et la CNIL sanctionnent les organisations qui invoquent l'article 11 pour refuser des droits qu'elles auraient pu satisfaire avec les données deja en leur possession. L'EDPB a rappele dans ses lignes directrices 01/2022 sur les droits d'acces que la non-identification doit être démontrée, pas presumee.
Le test de l'article 11 en pratique
Pour invoquer valablement l'article 11(2), le responsable doit réunir cumulativement trois conditions. Voici la grille d'auto-evaluation utilisee en audit :
- Finalité légitime de non-identification : la finalité du traitement ne requiert pas ou plus l'identification (ex : statistiques agregees, logs techniques anonymises, cookies analytics sans login).
- Absence d'identifiants directs ou indirects exploitables : pas de nom, email, telephone, ID client, mais aussi pas d'IP + user-agent + horodatage croisables qui reidentifieraient la personne.
- Pas d'obligation d'enrichir les données : le responsable n'a pas a créer une capacite d'identification juste pour repondre a une demande d'acces.
- Information de la personne : si la non-identification est démontrée, il faut le dire a la personne concernee (si possible), pas se taire.
- Reouverture des droits si la personne fournit des elements complementaires : si la personne apporte son cookie ID, son numéro de session, son hash, alors les articles 15 a 20 redeviennent applicables.
Le piège inverse : la fausse pseudonymisation
Beaucoup d'organisations confondent pseudonymisation (données toujours personnelles, art. 4(5)) et anonymisation (données hors RGPD). Si vous detenez la table de correspondance ou si un croisement raisonnable permet la reidentification, vous etes en pseudonymisation et l'article 11 ne s'applique pas. Le G29 (WP216) puis l'EDPB exigent un test robuste : singularisation, correlation, inference.
Comment Luxgap automatise ce risque
Notre outil Luxgap Identifiability Mapper evalue traitement par traitement votre capacite reelle d'identification et genere la preuve article 11. Il s'intégré a vos bases (PostgreSQL, MySQL, SQL Server, MongoDB), votre data warehouse (Snowflake, BigQuery), vos logs applicatifs et vos cookies (GTM, Matomo) pour cartographier les identifiants directs et indirects.
- Re-identification Risk Engine : score de risque par jeu de données selon les critères EDPB (singularisation, correlation, inference)
- Article 11 Défense Pack : genere automatiquement le dossier de preuve (capture des champs, test de croisement, journal horodate) opposable a la CNPD
- Just-In-Time Subject Response : modèle de reponse a la personne concernee informant de la non-identification, conforme article 11(2)
- Pseudonymisation vs Anonymisation Classifier : qualifié chaque traitement et alerte si une fausse anonymisation est detectee
- Registre des traitements identification-aware : tag automatique des traitements eligibles a l'article 11
Disponible en SaaS (Starter jusqu'a 20 traitements, Pro jusqu'a 100, Enterprise illimite avec connecteurs data warehouse), ou inclus dans le mandat DPO externe Luxgap. Demander une demo avec audit gratuit de 3 traitements sous 48h.
