Lorsqu'une entreprise transmet des données à un prestataire de services de sécurité (audit, conseil en prévention, formation externe), elle engage la responsabilité du sous-traitant au sens de l'Art. 28 du RGPD. Pour réduire ce risque, anonym.plus retire les identifiants de l'export avant sa transmission, supprimant ou limitant l'obligation de contrat de sous-traitance selon le niveau d'anonymisation atteint.
Quand cela s’applique
Un responsable sécurité prépare un export de données d'incidents pour un cabinet de conseil mandaté pour une mission de benchmark sectoriel. Avant d'envoyer le fichier, il le traite avec anonym.plus : noms des personnes impliquées, coordonnées et références nominatives disparaissent. Le cabinet reçoit uniquement les données de fréquence, de gravité et de typologies d'événements.
Comment anonym.plus s’en charge
- Exportez les données d'incidents depuis votre SIRH ou outil de gestion.
- Importez l'export (CSV, PDF ou DOCX) dans anonym.plus.
- L'outil détecte noms, adresses e-mail, téléphones et numéros d'identification.
- Retirez ou remplacez chaque identifiant avant transmission.
- Vérifiez les colonnes de texte libre (description de l'événement).
- Transmettez l'export expurgé au prestataire selon le protocole convenu.
Ce que vous devez fournir
- L'export de données en CSV, PDF ou DOCX.
- Un mode de traitement : suppression ou remplacement par étiquette.
- Facultatif : liste des colonnes à conserver intactes (typologies, codes site).
Types de données personnelles détectés
| Catégorie | Type d’entité anonym.plus | Exemple |
|---|---|---|
| Personne impliquée | PERSON | Maxime Cordier → [EMPLOYE_1] |
| Adresse e-mail | EMAIL_ADDRESS | m.cordier@entreprise.fr → [EMAIL] |
| Téléphone | PHONE_NUMBER | +33 6 45 67 89 01 → [TEL] |
| Lieu précis | LOCATION | Bâtiment administratif, 2e étage, Strasbourg → [SITE] |
| Prestataire destinataire | ORGANIZATION | SafeConsult Europe SARL → [PRESTATAIRE] |
| Adresse IP interne | IP_ADDRESS | 192.168.10.45 → [IP_INTERNE] |
Conformité atteinte
- Une transmission de données personnelles à un prestataire déclenche l'Art. 28 du RGPD (contrat de sous-traitance obligatoire). L'anonymisation préalable supprime cette obligation si le seuil du Considérant 26 est atteint.
- Retire les identifiants conformément au principe de minimisation (Art. 5-1-c RGPD).
- Traitement local — aucun tiers ne reçoit les données nominatives.
- Chiffrement AES-256-GCM des fichiers pendant le traitement.
Anonymisez export de données d'incidents pour prestataire hors ligne — voir les offres & commencer gratuitement →
Limites & précautions
Si l'export contient des données quasi-identifiantes (poste unique, date et lieu très précis dans une petite structure), la suppression du nom seul ne suffit pas. Évaluez le risque résiduel avec le DPO avant toute transmission externe.
Questions fréquentes
L'anonymisation supprime-t-elle entièrement l'obligation de DPA avec le prestataire ?
Si l'anonymisation satisfait le test du Considérant 26 (aucun lecteur raisonnable ne peut ré-identifier), le fichier sort du champ du RGPD et aucun DPA n'est requis pour ce fichier. Mais le responsable du traitement doit documenter cette évaluation.
Comment évaluer si l'export est suffisamment anonymisé ?
Appliquez le test de l'intrus motivé : un tiers disposant de sources accessibles au public peut-il retrouver une identité ? Si oui, l'anonymisation est insuffisante. Généralisez ou supprimez davantage de colonnes.
anonym.plus peut-il traiter des exports CSV volumineux ?
Oui. Le traitement local par lot d'anonym.plus prend en charge des fichiers CSV de grande taille sans limite de lignes imposée par le logiciel.