Les termes « pseudonymiser » et « pseudonymisation » sont communément appelés dans le monde de la confidentialité des données, mais leurs origines et leur signification précise ne sont pas largement comprises parmi les avocats américains. En effet, la plupart des dictionnaires américains ne reconnaissent aucun des deux termes comme faisant partie de la langue anglaise.1 Bien que les termes dérivent du mot racine « pseudonyme » – qui est défini comme un « nom que quelqu’un utilise à la place de son vrai nom » – leurs significations sont légèrement plus complexes.2
La CCPA a été la première loi des États-Unis (fédérale ou étatique) à utiliser l’un ou l’autre terme.3 Les définitions du CCPA pour les termes empruntent au RGPD européen promulgué deux ans avant le CCPA. En effet, à l’exception de quelques ajustements mineurs pour conformer la définition à la terminologie spécifique à l’ACCP (par exemple, « consommateur » au lieu de « personne concernée »), les définitions sont pratiquement identiques:
Source | RGPD | CCPA | Modification du RGPD au CCPA |
Terme | Pseudonymisation | Pseudonymisation / Pseudonymisation | |
Définition | le traitement des données à caractère personnel de manière à ce que les données à caractère personnel ne puissent plus être attribuées à une personne concernée spécifique sans l’utilisation d’informations supplémentaires, à condition que ces informations supplémentaires soient conservées séparément et fassent l’objet de mesures techniques et organisationnelles pour garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable.4 | « il traite les informations personnelles de manière à ce que les informations personnelles ne soient plus attribuables à un consommateur spécifique sans l’utilisation d’informations supplémentaires, à condition que les informations supplémentaires soient conservées séparément et fassent l’objet de mesures techniques et organisationnelles pour s’assurer que les informations personnelles ne soient pas attribuées à un consommateur identifié ou identifiable. »5 | le traitement des données à caractère personnel de manière à ce que les données à caractère personnel ne puissent plus être attribuées à un consommateur concerné spécifique sans l’utilisation d’informations supplémentaires, à condition que ces informations supplémentaires soient conservées séparément et fassent l’objet de mesures techniques et organisationnelles pour garantir que les informations à caractère personnel ne soient pas attribuées à un consommateur de personne physique identifié ou identifiable. |
La confusion entourant le terme » pseudonymiser » découle en grande partie d’une ambiguïté quant à la façon dont le terme est censé s’intégrer dans le schéma plus large de l’ACCP. En plus de définir le terme, l’ACCP ne fait référence qu’à » pseudonymisé » à une seule occasion. Dans la définition de » recherche « , l’ACCP implique que les renseignements personnels recueillis par une entreprise doivent être » pseudonymisés et déidentifiés » ou » déidentifiés et dans leur ensemble. » 6 La référence conjonctive à » recherche » étant à la fois pseudonymisée » et » déidentifiée soulève la question de savoir si l’ACCP donne un effet quelconque au terme » pseudonymisé « . » Plus précisément, l’ACCP semble attribuer un seuil d’anonymisation plus élevé au terme » déidentifié. »Par conséquent, si les données doivent déjà être déidentifiées, il n’est pas clair quel traitement supplémentaire ou ensemble d’opérations est attendu en pseudonymisant également les données.
Le résultat net est que si le CCPA emprunte le terme de « pseudonymisation » à la loi européenne sur la protection des données et l’introduit dans le lexique juridique américain, il ne semble pas appliquer le terme ni lui donner un effet ou un statut juridique indépendant.