La distinction est juridiquement determinante. Selon le GDPR (considerant 26), les donnees anonymisees ne sont plus des donnees personnelles et echappent entierement au champ d'application du reglement. Pas de consentement, pas de droits des personnes concernees, pas de restrictions de traitement. Les donnees pseudonymisees restent des donnees personnelles car la re-identification est possible, ce qui signifie que les obligations GDPR et LPD continuent de s'appliquer integralement. Choisir la mauvaise technique a des consequences directes sur la conformite.
Les techniques d'anonymisation incluent la generalisation (remplacement de valeurs specifiques par des plages, p. ex. l'age exact devient une tranche d'age), la suppression (elimination complete des donnees), la perturbation (modification des valeurs en preservant les proprietes statistiques) et les approches k-anonymat (garantir que chaque enregistrement est indiscernable d'au moins k-1 autres). L'objectif est de s'assurer qu'aucune combinaison de points de donnees restants ne peut identifier un individu, meme en croisant avec des jeux de donnees externes. Pour les documents juridiques, cela signifie supprimer non seulement les noms mais aussi les identifiants contextuels : faits specifiques au dossier, details de transaction uniques ou combinaisons de dates et lieux pouvant identifier les parties.
La pseudonymisation remplace les identifiants par des codes (p. ex. "Jean Dupont" devient "Patient-001") tout en maintenant une cle separee reliant les codes aux identites reelles. Cela soutient les cas d'usage ou la re-identification peut etre necessaire (essais cliniques, etudes de suivi, audit interne) mais ajoute un risque de re-identification, particulierement si la cle de correspondance est compromise ou si les donnees pseudonymisees contiennent suffisamment de details contextuels pour permettre des attaques par inference.
DocIQ Shield effectue une anonymisation, pas une pseudonymisation. Shield remplace les donnees personnelles par des designations standardisees (A.____, B.____) suivant les conventions du Tribunal federal suisse pour les arrets BGE publies. Aucune cle de re-identification n'est creee ou stockee. Le processus est irreversible par conception. Une fois un document anonymise, les donnees personnelles originales ne peuvent pas etre recuperees a partir du resultat. Combine au traitement zero-persistence, cela signifie que Shield ne conserve jamais ni l'original ni la correspondance entre identifiants originaux et anonymises.