Le terme « profil anonymisé » est galvaudé en marketing. La différence entre vraie anonymisation, pseudonymisation et agrégation est essentielle — juridiquement et techniquement.
3 niveaux de protection
- Données personnelles complètes : nom, e-mail, etc. Soumises à la LPD intégralement.
- Pseudonymisation : nom remplacé par identifiant. Réversible avec une clé. Reste soumis à la LPD.
- Anonymisation vraie : impossible de remonter à la personne, même avec efforts importants. Hors champ LPD.
- Données agrégées : « 42 % des utilisateurs ont entre 25 et 35 ans ». Pas de données personnelles.
Exemple Videte
Sur Videte, les annonceurs voient : « Votre cible compte 12'400 utilisateurs Berne 30-50 propriétaires » (agrégé). Ils ne voient jamais : noms, e-mails, profils individuels. Leur ciblage opère sur des dimensions, pas sur des personnes identifiables. Architecture qui sépare techniquement les données personnelles des données de ciblage.
Ce qui n'est pas anonymisé
- Cookie ID + IP = souvent réidentifiable
- « Anonymized email hash » = toujours réidentifiable avec une clé
- « Demographic targeting » — si les segments sont assez petits = peut redevenir personnel
Implications LPD
Anonymisation vraie = LPD ne s'applique pas. Pseudonymisation = LPD s'applique. La frontière est technique. Pour PME : privilégiez plateformes qui agrègent vraiment, pas seulement pseudonymisent.