Onyrisanitize
Tous les articles
Fondamentaux6 min de lecture

Anonymisation, pseudonymisation, tokenisation : les différences

Anonymisation, pseudonymisation, tokenisation : trois notions souvent confondues. Définitions claires, statut RGPD et conséquences concrètes pour l'IA.

Par Pierre de ONYRI

En bref : la pseudonymisation remplace un identifiant mais conserve une clé de ré-identification (la donnée reste « personnelle » au sens du RGPD) ; l'anonymisation rend la ré-identification raisonnablement impossible (la donnée sort du champ du RGPD) ; la tokenisation est une technique de remplacement réversible qui, selon où vit la table de correspondance, sert l'un ou l'autre. Pour un prompt IA, l'objectif est clair : le service externe ne reçoit que des jetons, et la clé ne lui parvient jamais.

Pseudonymisation : réversible, donc encore « personnelle »

La pseudonymisation (article 4 du RGPD) remplace les identifiants directs par des pseudonymes, mais une clé permet de revenir à la personne. Tant que cette clé existe, la donnée reste une donnée personnelle : elle bénéficie d'un régime allégé mais reste soumise au RGPD.

Anonymisation : irréversible, hors champ RGPD

L'anonymisation vise une ré-identification raisonnablement impossible, en tenant compte de tous les moyens susceptibles d'être utilisés. Si elle est effective, la donnée n'est plus « personnelle » et sort du champ du RGPD. C'est un standard exigeant : un simple masquage de surface ne suffit pas si des recoupements permettent de remonter à la personne.

Tokenisation : la technique, pas le statut

La tokenisation remplace une valeur par un jeton et conserve une correspondance pour restaurer ensuite. C'est une technique, pas une catégorie juridique : son statut dépend de qui détient la table de correspondance. La clé est : où vit cette table ?

Ce que ça change pour vos prompts

  • Envoyer un texte pseudonymisé AVEC la clé : la donnée reste personnelle côté destinataire.
  • Envoyer un texte tokenisé SANS la clé : le destinataire ne reçoit pas de quoi ré-identifier.
  • Garder la clé côté client : vous restaurez la réponse sans jamais l'exposer.

ONYRI Sanitize applique exactement ce principe : le mapping jeton ↔ valeur reste en mémoire dans le navigateur et ne transite jamais vers le backend. Le service IA ne voit que des jetons ; vous seul restaurez la réponse.

Questions fréquentes

Une donnée pseudonymisée est-elle protégée par le RGPD ?
Oui. Tant qu'une clé de ré-identification existe, la donnée reste personnelle et soumise au RGPD, même si le régime est allégé par rapport à une donnée en clair.
La tokenisation suffit-elle à « anonymiser » ?
Pas en soi : tout dépend de la table de correspondance. Si elle n'est jamais transmise au destinataire, celui-ci ne reçoit pas de quoi ré-identifier — ce qui sert directement la minimisation.
Pourquoi viser l'anonymisation plutôt que la pseudonymisation pour un prompt ?
Parce que le destinataire (le service IA) ne doit recevoir aucun moyen de ré-identifier. En gardant la clé côté client, vous lui transmettez l'équivalent d'une donnée anonymisée de son point de vue.

Sources et références

Gardez vos données sensibles dans votre navigateur

ONYRI Sanitize détecte et masque vos données sensibles avant l'envoi à l'IA, puis restaure la réponse — du nom à la clé API.

Anonymiser mon prompt

À lire aussi