GDPR et données personnelles
Le Règlement général sur la protection des données (GDPR) définit les données personnelles largement en vertu de l'article 4. Toute information qui peut directement ou indirectement identifier une personne physique est considérée comme des données personnelles : noms, adresses e-mail, numéros de téléphone, données de localisation, identifiants en ligne (adresses IP, cookies), données financières (IBANs, numéros de carte de crédit), numéros d'identification nationaux et bien d'autres.
Les organisations traitant des données personnelles doivent respecter des principes stricts : légalité, limitation des objectifs, minimisation des données, exactitude, limitation de la conservation et intégrité. Le non-respect peut entraîner des amendes pouvant atteindre 4% du chiffre d'affaires annuel mondial ou 20 millions d'euros, selon le montant le plus élevé.
anonym.plus détecte plus de 340 types d'entités couvrant toutes les catégories de PII pertinentes pour le GDPR. Le moteur de détection utilise Microsoft Presidio combiné avec les modèles NER de spaCy, complétés par des détecteurs basés sur des modèles pour les données structurées comme les IBANs, les numéros de carte de crédit et les identifiants nationaux dans des dizaines de pays.
Anonymisation vs pseudonymisation
C'est la distinction la plus critique dans la protection des données du GDPR. Le règlement traite les données anonymisées et pseudonymisées de manière fondamentalement différente :
| Aspect | Anonymisation (Remplacer) | Pseudonymisation (Chiffrer) |
|---|---|---|
| Article GDPR | Recital 26 | Article 4(5) |
| Définition | Les données ne concernent plus une personne identifiable | Données personnelles traitées pour qu'elles ne puissent pas être attribuées sans informations supplémentaires |
| Champ d'application GDPR | Les données quittent complètement le champ d'application du GDPR | Les données restent dans le champ d'application du GDPR |
| Réversibilité | Irréversible — les PII sont définitivement supprimés | Réversible avec clé de chiffrement |
| Opérateur anonym.plus | Remplacer, Rédiger, Masquer, Hacher | Chiffrer |
| Meilleur pour | Publication publique, rédaction permanente | Utilisation interne, rédaction temporaire, piste d'audit |
L'implication pratique : si vous utilisez l'opérateur Remplacer, le document de sortie ne relève plus des obligations du GDPR car les données personnelles ont été irréversiblement supprimées. Si vous utilisez l'opérateur Chiffrer, le document de sortie est pseudonymisé — il relève toujours du GDPR, mais le chiffrement offre une sauvegarde supplémentaire forte reconnue par les articles 25 et 32.
Comment anonym.plus satisfait aux exigences du GDPR
anonym.plus répond à plusieurs exigences du GDPR grâce à son architecture et ses fonctionnalités :
- Minimisation des données (Art. 5(1)(c)) : Détectez et supprimez les PII inutiles avant de partager des documents. Seules les données strictement nécessaires à l'objectif sont conservées.
- Limitation des objectifs (Art. 5(1)(b)) : Anonymisez les données qui ne sont plus nécessaires à leur objectif de collecte d'origine. L'opérateur Remplacer supprime définitivement les PII qui ont rempli leur fonction.
- Protection des données dès la conception (Art. 25) : Détection et anonymisation des PII intégrées en tant que fonctionnalité centrale, pas une réflexion secondaire. L'intégralité du pipeline est conçue pour la protection des données à partir de zéro.
- Droit à l'oubli (Art. 17) : L'opérateur Remplacer supprime définitivement les PII des documents, satisfaisant les demandes de suppression au niveau du document.
- Sécurité du traitement (Art. 32) : Chiffrement AES-256-GCM pour l'opérateur Chiffrer, architecture à connaissance zéro et traitement entièrement hors ligne garantissent le plus haut niveau de sécurité des données.
- Analyse d'impact sur la protection des données (Art. 35) : Les journaux de traitement fournissent une piste d'audit locale documentant ce qui a été anonymisé, quand et avec quels paramètres — supportant les exigences de documentation AIPD.
Traitement hors ligne — aucune donnée ne quitte votre appareil
L'intégralité du pipeline de détection et d'anonymisation des PII s'exécute localement sur votre machine. C'est une décision architecturale fondamentale qui soutient directement la conformité GDPR :
- Presidio + spaCy sont fournis en tant que processus sidecar qui s'exécute entièrement sur votre appareil. Aucun appel API n'est effectué pour la détection ou l'anonymisation des PII.
- Les documents ne quittent jamais votre appareil. L'extraction de texte, la détection d'entité, l'anonymisation et l'exportation se font tous localement. Le contenu du document n'est jamais téléchargé sur aucun serveur.
- Le serveur anonym.plus gère uniquement : la gestion des comptes, les licences et la facturation des abonnements. Ces fonctions impliquent uniquement votre e-mail et votre clé de licence — jamais vos documents.
- Le serveur ne peut pas accéder à : vos documents, résultats de détection PII, sorties anonymisées, clés de chiffrement, contenu du coffre ou mot de passe du coffre. Ceci est appliqué par l'architecture, pas par la politique.
Cette architecture hors ligne élimine une catégorie entière de risque GDPR : le transfert de données. Puisque les données personnelles ne quittent jamais votre appareil pendant le traitement, il n'y a aucune préoccupation concernant les transferts de données transfrontaliers, aucun accord de responsable du traitement nécessaire pour l'étape d'anonymisation et aucun risque de violation de serveur affectant vos documents.
Architecture à connaissance zéro
anonym.plus utilise une architecture à connaissance zéro qui garantit que même le fournisseur de services ne peut pas accéder à vos données sensibles :
- Hachage du mot de passe : Votre mot de passe est haché côté client à l'aide d'Argon2id + HKDF + SHA-256 avant toute communication avec le serveur. Le serveur ne stocke que des preuves cryptographiques — il ne reçoit ni ne stocke jamais votre mot de passe en texte brut.
- Stockage côté serveur : Le serveur ne stocke que le hachage cryptographique de votre mot de passe, votre adresse e-mail et les informations de licence. Aucune donnée de document, résultats PII ou clés de chiffrement ne sont jamais transmis au serveur.
- Chiffrement du coffre : Le coffre de clés de chiffrement est chiffré avec AES-256-GCM. La clé de chiffrement du coffre est dérivée de votre mot de passe via Argon2id. Sans votre mot de passe, le contenu du coffre est cryptographiquement inaccessible.
- Sécurité de la mémoire : Le matériel clé est effacé de la mémoire lorsque le coffre se verrouille. Aucune donnée clé résiduelle ne reste dans la RAM après verrouillage ou fermeture de l'application.
- Isolation des clés : Les clés de chiffrement sont référencées par ID uniquement dans le frontend. Les valeurs des clés ne quittent jamais le processus backend Rust, empêchant l'exposition via les outils de développement du navigateur ou les vulnérabilités JavaScript.
Prêt à l'essayer vous-même ? Découvrez l'anonymisation en action →