Présentation
EnglishRÉSUMÉ
Le règlement général sur la protection des données (RGPD) définit des contraintes qui limitent, et parfois empêchent, l’exploitation des données par les responsables de traitements. Pour les cas d’exploitation proscrits, l’anonymisation est la seule méthode permettant une exploitation sans risque de sanctions car elle enlève le caractère personnel aux données. Cependant, l’anonymisation nécessite des précautions d’implémentation particulières, régies par le G29 (groupe des autorités de protections de données européens). Cet article fait le point sur les principaux cas d’exploitation de données proscrits par le RGPD, et présente les modèles d’anonymisation préconisés pour garantir une implémentation conforme.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Louis-Philippe SONDECK : Consultant en anonymisation des données, Docteur en Informatique de l’Université Pierre et Marie Curie - Consultant indépendant, Bagneux, France.
INTRODUCTION
Le nouveau règlement sur la protection des données (RGPD) apporte des changements profonds et inédits dans la gestion des données par les organisations. Il n’existe pour ainsi dire aucun texte de loi comparable, aussi bien en termes de portée, qu’en termes de sanctions. Le RGPD concerne toutes formes d’organismes (entreprises grandes ou petites, publiques ou privées, associations…), où qu’ils se trouvent dans le monde, du moment que ces organismes traitent des données à caractère personnel de résidents européens. Les sanctions en cas de non-respect peuvent aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise concernée (le plus élevé étant retenu).
Au-delà des sanctions pécuniaires, le RGPD présente d’autres enjeux considérables car il encadre très précisément les données personnelles, connues pour être le pétrole de notre ère. Il est évidemment difficile de nier la place centrale qu’occupent les données dans la création de valeur ; ceci, aussi bien pour le développement de nouveaux services, que pour l’amélioration de services existants. Le RGPD s’applique ainsi à tous traitements de données à caractère personnel (collecte, enregistrement, organisation, conservation…), et peut, dans certains cas, interdire leur mise en œuvre, et même imposer la suppression des données collectées. Par exemple, l’un des principes du RGPD est la limitation de durée de conservation, qui interdit de conserver les données au-delà d’une certaine durée ; elles devront alors être supprimées ou archivées avec un accès restreint.
Afin d’éviter les contraintes du RGPD sans pour autant se priver des bénéfices des données, la seule alternative prévue par le règlement est l’anonymisation des données. En effet, pour le RGPD, des données anonymes sont équivalentes à des données supprimées, et les principes du RGPD ne s’appliquent plus. Ceci est dû au fait que l’anonymisation transforme des données personnelles en données qui ne sont plus personnelles.
Cependant, la mise en œuvre de l’anonymisation demande de prendre des précautions particulières, dues aux risques importants qui en découlent. Malheureusement, l’anonymisation fait encore l’objet de multiples confusions et d’a priori de la part d’une grande partie des acteurs de la donnée. Parmi les confusions les plus notables, on note l’utilisation de la pseudonymisation (par exemple, le « Data Masking ») en lieu et place de l’anonymisation, ou encore des confusions entre anonymisation et chiffrement. En effet, l’histoire fait état de nombreux cas de mauvaises anonymisations, utilisant des données pseudonymisées en lieu et place de données anonymes, qui ont conduit à des atteintes graves à la vie privée des personnes concernées. On peut ainsi citer le cas des données pseudonymisées de taxis Newyorkais qui ont permis d’identifier les clients de bars à strip-tease ; ou encore le cas des données de santé publiées par une agence d’assurances aux États-Unis, qui ont permis en 1997, de réidentifier le gouverneur de l’État du Massachussetts, en retrouvant la maladie dont il souffrait. Ces risques ont conduit le G29 (Groupe des autorités de protection de données européennes) à publier en 2014, un avis sur les techniques d’anonymisation , qui sert de référence en matière d’anonymisation dans le cadre du RGPD. Cet avis définit trois principaux risques relatifs à l’anonymisation des données : l’individualisation, la corrélation et l’inférence. Ces risques forment le socle de l’évaluation des méthodes d’anonymisation. D’autre part, l’anonymisation n’a pas pour seul but de protéger les personnes, elle doit aussi garantir que les données anonymes restent utiles pour le(s) besoin(s) cible(s). En effet, les méthodes d’anonymisation altèrent les données, qui peuvent, lorsque les précautions appropriées ne sont pas prises, devenir inutiles une fois anonymisées.
Cet article présente les enjeux de l’anonymisation de données à l’ère du RGPD, ainsi que les méthodes appropriées pour la mise en œuvre d’une anonymisation conforme. Il présente les contraintes du RGPD qui rendent nécessaire l’anonymisation des données, de même que les confusions les plus fréquentes observées en matière d’anonymisation de données. Par ailleurs, les modèles d’anonymisation recommandés, tels que la randomisation et la généralisation, sont présentés ainsi que les techniques qui s’y rapportent. Finalement, une méthodologie, décrivant les différentes étapes à suivre pour mener un processus d’anonymisation, est décrite.
MOTS-CLÉS
DOI (Digital Object Identifier)
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
7. Conclusion
Le RGPD définit de nombreuses mesures pour la protection des personnes, qui rendent contraignante l’utilisation des données à caractère personnel par les responsables de traitement. Bien qu’il existe des aménagements permettant l’utilisation des données tout en restant conforme, dans de nombreux cas, ces aménagements sont insuffisants. Le responsable de traitement n’a alors pour seule alternative que l’anonymisation des données. Cependant, l’anonymisation est délicate à mettre en œuvre, et de nombreuses incompréhensions entourent encore cette discipline assez mal connue. La principale incompréhension étant la confusion entre anonymisation et pseudonymisation. À cause de ces confusions et de la gravité des risques liés à une mauvaise implémentation, le G29 a publié un avis, qui décrit les risques liés à l’anonymisation et les méthodes qui permettent de les réduire. Cependant, la diminution des risques liés à la réidentification n’est pas le seul enjeu de l’anonymisation, puisqu’il est tout aussi important d’assurer l’utilisabilité des données anonymes. Anonymiser revient alors à trouver le meilleur compromis entre protection des personnes et utilisabilité des données. Les métriques d’évaluation occupent donc une place tout aussi importante que les méthodes d’anonymisation.
Si la littérature fait état d’une richesse de méthodes d’anonymisation et de métriques d’évaluation, il n’existe aujourd’hui que très peu de mises en œuvre concrètes de l’anonymisation par les industriels ; ceci est principalement dû à une méconnaissance des principes de l’anonymisation et à la complexité apparente de certaines méthodes. Par ailleurs, il existe une forte appréhension qui consiste à penser que puisqu’il n’existe pas d’anonymisation parfaite, la mettre en œuvre est inutile. Cependant, le but de l’anonymisation n’est pas d’éliminer tous les risques sur la vie privée (ce qui est impossible), mais de réduire les risques à un niveau acceptable. Finalement, bien que les travaux sur l’anonymisation concernent principalement les bases de données, un domaine qui connaît moins d’attention mais qui est tout aussi important est l’anonymisation des données non structurées, telles que les images et les vidéos. Ce domaine reste encore aujourd’hui peu exploré mais connaît de forts enjeux face à la montée en puissance des technologies...
TEST DE VALIDATION ET CERTIFICATION CerT.I. :
Cet article vous permet de préparer une certification CerT.I.
Le test de validation des connaissances pour obtenir cette certification de Techniques de l’Ingénieur est disponible dans le module CerT.I.
de Techniques de l’Ingénieur ! Acheter le module
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Conclusion
BIBLIOGRAPHIE
-
(1) - Groupe de travail article 29 sur la protection de données - Avis 05/2014 sur le Techniques d’anonymisation. - Adopté le 10 Avril 2014 (2014).
-
(2) - SWEENEY (L.) - k-anonymity : A model for protecting privacy. - International Journal of Uncertainty, Fuzziness and Knowledge-Based Systems, 10(05), 557-570 (2002).
-
(3) - MACHANAVAJJHALA (A.), GEHRKE (J.), KIFER (D.), VENKITASUBRAMANIAM (M.) - l-diversity : Privacy beyond k-anonymity. - In 22nd International Conference on Data Engineering (ICDE’06) (pp. 24-24). IEEE (2006).
-
(4) - LI (N.), LI (T.), VENKATASUBRAMANIAN (S.) - t-closeness : Privacy beyond k-anonymity and l-diversity. - In 2007 IEEE 23rd International Conference on Data Engineering (pp. 106-115). IEEE (2007).
-
(5) - DWORK (C.) - Differential privacy. - Encyclopedia of Cryptography and Security, -338-340 (2011).
-
...
DANS NOS BASES DOCUMENTAIRES
NORMES
-
ISO Technologie de l’information : technique de sécurité - ISO/IEC 29100 - 2011
ANNEXES
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données), JOUE L 119/1 du 4 mai 2013, http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR.
HAUT DE PAGECet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
QUIZ ET TEST DE VALIDATION PRÉSENTS DANS CET ARTICLE
1/ Quiz d'entraînement
Entraînez vous autant que vous le voulez avec les quiz d'entraînement.
2/ Test de validation
Lorsque vous êtes prêt, vous passez le test de validation. Vous avez deux passages possibles dans un laps de temps de 30 jours.
Entre les deux essais, vous pouvez consulter l’article et réutiliser les quiz d'entraînement pour progresser. L’attestation vous est délivrée pour un score minimum de 70 %.
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive