Le piège classique
L'article 11 est presente comme un cadeau au responsable du traitement : si vous n'avez pas besoin d'identifier la personne, vous n'avez pas a collecter de données supplementaires juste pour repondre aux droits RGPD. Le piège, c'est que la CNPD et la CNIL controlent severement la demonstration de cette impossibilite : trop d'entreprises invoquent l'article 11 pour refuser un droit d'acces sur des logs, des cookies ou des données pseudonymisees, sans pouvoir prouver techniquement qu'elles n'ont pas les moyens de re-identifier. L'EDPB rappelle que la pseudonymisation reversible ne tombe pas dans l'article 11, et que la charge de la preuve pese intégralement sur le responsable.
Les 4 conditions cumulatives pour invoquer valablement l'article 11
- Finalité reelle : le traitement ne nécessité pas, ou plus, l'identification (statistiques agregees, telemetrie produit, analytics anonymises).
- Impossibilite technique démontrable : vous ne detenez aucune clé de re-identification, aucune table de correspondance, aucun identifiant pivot exploitable, même par recoupement avec d'autres jeux de données raisonnablement accessibles.
- Information de la personne : vous devez informer la personne concernee de cette impossibilite, si possible (mention dans la privacy notice, reponse motivee au demandeur).
- Reouverture des droits si la personne fournit des informations complementaires : si l'utilisateur produit son identifiant de session, son cookie ID, son hash, vous devez reactiver les articles 15 a 20.
Le piège des données pseudonymisees
Beaucoup d'organisations confondent pseudonymisation et anonymisation. Un hash SHA-256 d'email, un cookie ID, un device fingerprint, un identifiant publicitaire restent des données personnelles au sens du considérant 26. L'article 11 ne s'applique pas a ces cas. Le test EDPB est strict : si vous pouvez, vous-meme ou via un tiers raisonnablement mobilisable, retrouver la personne, alors vous etes en mesure d'identifier et l'article 11 tombe.
Comment Luxgap automatise ce risque
Notre Luxgap Re-Identification Probe rend impossible le bluff de l'article 11 en mesurant, sur vos jeux de données reels, la probabilite mathematique de re-identifier une personne par recoupement. L'outil se branche en lecture seule sur vos data lakes (Snowflake, BigQuery, Azure Synapse, AWS Redshift, S3), vos exports analytics (GA4, Matomo, Mixpanel, Amplitude) et vos bases pseudonymisees pour calculer un score d'identifiabilite oppose a la doctrine EDPB 04/2007 et a l'avis WP216 sur l'anonymisation.
- Calcule pour chaque table un score k-anonymity, l-diversity et t-closeness, et signale les quasi-identifiants residuels (code postal + date de naissance + genre = re-identification a 87% selon Sweeney).
- Detecte les tables de correspondance dormantes qui contredisent une revendication d'anonymisation (clé de hash stockee dans un autre schema, vault Hashicorp, backup S3).
- Simule des attaques de re-identification par recoupement avec des jeux de données publics (registre du commerce, LinkedIn, voter rolls) pour materialiser le risque residuel.
- Genere une note de qualification article 11 motivee, opposable a la CNPD, qui distingue traitement anonyme, pseudonymise et identifiable, jeu de données par jeu de données.
- Produit un workflow automatique de reponse aux demandes droits : si l'utilisateur fournit son identifiant complementaire, l'outil reactive les articles 15 a 20 et notifié le DPO sous 24h.
- Scelle cryptographiquement chaque évaluation (horodatage qualifié eIDAS) pour preuve opposable en cas de contrôle.
Disponible en complement d'un mandat DPO Luxgap ou en brique SaaS dediee selon votre perimetre de données. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos jeux de données reels, avec un scan gratuit sous 48h pour mesurer votre score d'identifiabilite avant tout engagement.
