Présentation
En anglaisRÉSUMÉ
Le règlement général sur la protection des données (RGPD) définit des contraintes qui limitent, et parfois empêchent, l’exploitation des données par les responsables de traitements. Pour les cas d’exploitation proscrits, l’anonymisation est la seule méthode permettant une exploitation sans risque de sanctions car elle enlève le caractère personnel aux données. Cependant, l’anonymisation nécessite des précautions d’implémentation particulières, régies par le G29 (groupe des autorités de protections de données européens). Cet article fait le point sur les principaux cas d’exploitation de données proscrits par le RGPD, et présente les modèles d’anonymisation préconisés pour garantir une implémentation conforme.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleABSTRACT
The general data protection regulation (GDPR) defines constraints which limit, and sometimes prevent, the use of data by data processors. For proscribed exploitation cases, anonymization is the only method that enables data exploitation without risk of sanctions, as it transforms personal data to non-personal data. However, data anonymization requires special implementation governed by the G29 (the group of data protection authorities in Europe). This article reviews the main data exploitation cases proscribed by the GDPR, and presents the recommended anonymization models that can be used to ensure a compliant implementation.
Auteur(s)
-
Louis-Philippe SONDECK : Consultant en anonymisation des données, Docteur en Informatique de l’Université Pierre et Marie Curie - Consultant indépendant, Bagneux, France.
INTRODUCTION
Le nouveau règlement sur la protection des données (RGPD) apporte des changements profonds et inédits dans la gestion des données par les organisations. Il n’existe pour ainsi dire aucun texte de loi comparable, aussi bien en termes de portée, qu’en termes de sanctions. Le RGPD concerne toutes formes d’organismes (entreprises grandes ou petites, publiques ou privées, associations…), où qu’ils se trouvent dans le monde, du moment que ces organismes traitent des données à caractère personnel de résidents européens. Les sanctions en cas de non-respect peuvent aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise concernée (le plus élevé étant retenu).
Au-delà des sanctions pécuniaires, le RGPD présente d’autres enjeux considérables car il encadre très précisément les données personnelles, connues pour être le pétrole de notre ère. Il est évidemment difficile de nier la place centrale qu’occupent les données dans la création de valeur ; ceci, aussi bien pour le développement de nouveaux services, que pour l’amélioration de services existants. Le RGPD s’applique ainsi à tous traitements de données à caractère personnel (collecte, enregistrement, organisation, conservation…), et peut, dans certains cas, interdire leur mise en œuvre, et même imposer la suppression des données collectées. Par exemple, l’un des principes du RGPD est la limitation de durée de conservation, qui interdit de conserver les données au-delà d’une certaine durée ; elles devront alors être supprimées ou archivées avec un accès restreint.
Afin d’éviter les contraintes du RGPD sans pour autant se priver des bénéfices des données, la seule alternative prévue par le règlement est l’anonymisation des données. En effet, pour le RGPD, des données anonymes sont équivalentes à des données supprimées, et les principes du RGPD ne s’appliquent plus. Ceci est dû au fait que l’anonymisation transforme des données personnelles en données qui ne sont plus personnelles.
Cependant, la mise en œuvre de l’anonymisation demande de prendre des précautions particulières, dues aux risques importants qui en découlent. Malheureusement, l’anonymisation fait encore l’objet de multiples confusions et d’a priori de la part d’une grande partie des acteurs de la donnée. Parmi les confusions les plus notables, on note l’utilisation de la pseudonymisation (par exemple, le « Data Masking ») en lieu et place de l’anonymisation, ou encore des confusions entre anonymisation et chiffrement. En effet, l’histoire fait état de nombreux cas de mauvaises anonymisations, utilisant des données pseudonymisées en lieu et place de données anonymes, qui ont conduit à des atteintes graves à la vie privée des personnes concernées. On peut ainsi citer le cas des données pseudonymisées de taxis Newyorkais qui ont permis d’identifier les clients de bars à strip-tease ; ou encore le cas des données de santé publiées par une agence d’assurances aux États-Unis, qui ont permis en 1997, de réidentifier le gouverneur de l’État du Massachussetts, en retrouvant la maladie dont il souffrait. Ces risques ont conduit le G29 (Groupe des autorités de protection de données européennes) à publier en 2014, un avis sur les techniques d’anonymisation , qui sert de référence en matière d’anonymisation dans le cadre du RGPD. Cet avis définit trois principaux risques relatifs à l’anonymisation des données : l’individualisation, la corrélation et l’inférence. Ces risques forment le socle de l’évaluation des méthodes d’anonymisation. D’autre part, l’anonymisation n’a pas pour seul but de protéger les personnes, elle doit aussi garantir que les données anonymes restent utiles pour le(s) besoin(s) cible(s). En effet, les méthodes d’anonymisation altèrent les données, qui peuvent, lorsque les précautions appropriées ne sont pas prises, devenir inutiles une fois anonymisées.
Cet article présente les enjeux de l’anonymisation de données à l’ère du RGPD, ainsi que les méthodes appropriées pour la mise en œuvre d’une anonymisation conforme. Il présente les contraintes du RGPD qui rendent nécessaire l’anonymisation des données, de même que les confusions les plus fréquentes observées en matière d’anonymisation de données. Par ailleurs, les modèles d’anonymisation recommandés, tels que la randomisation et la généralisation, sont présentés ainsi que les techniques qui s’y rapportent. Finalement, une méthodologie, décrivant les différentes étapes à suivre pour mener un processus d’anonymisation, est décrite.
MOTS-CLÉS
KEYWORDS
GDPR | anonymization | generalization | randomization
DOI (Digital Object Identifier)
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(76 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
9. Glossaire
Identifiant : attribut qui caractérise de façon non ambiguë une personne dans un jeu de données. Comme exemple d’identifiants nous pouvons citer le numéro de sécurité sociale, le numéro de passeport, le nom/prénom.
Réidentification : procédé qui permet d’associer une information d’intérêt au nom d’une personne, ou à toute information pouvant être facilement rattachée à son nom (ex : domicile, photo…).
Quasi-identifiant : attribut qui caractérise avec un certain degré d’ambiguïté une personne dans un jeu de données, mais qui peut par combinaison, caractériser de façon non ambiguë cette personne. Par exemple l’adresse, le genre et l’âge. Dans la pratique, les quasi-identifiants sont utilisés pour créer le lien entre différents jeux de données.
Attribut confidentiel : attribut qui contient des informations sensibles sur les personnes concernées. Par exemple, le salaire, l’appartenance religieuse, les opinions politiques, le statut -médical.
Attribut continu : un attribut est considéré comme continu si des opérations numériques et arithmétiques peuvent lui être appliquées. Par exemple l’âge et le salaire. Ce type d’attribut est particulièrement sensible car, dans la pratique, les valeurs des attributs continus sont très différentes d’une personne à l’autre, et peuvent donc être utilisées pour distinguer les personnes entre elles.
Attribut catégoriel : un attribut est considéré comme catégoriel quand il prend ses valeurs dans un ensemble fini et que les opérations arithmétiques ne peuvent pas lui être appliquées. On peut distinguer deux types d’attributs catégoriels : ordinal et nominal.
Attribut catégoriel ordinal : attribut pour lequel il existe une relation d’ordre entre ses valeurs et des opérations de type Max et Min peuvent être appliquées. Comme exemple d’attribut ordinal le niveau d’étude.
Attribut catégoriel nominal : attribut pour lequel il n’existe pas de relation d’ordre entre ses valeurs, uniquement des comparaisons deux à deux sont applicables. Par exemple la couleur des yeux.
TEST DE VALIDATION ET CERTIFICATION CerT.I. :
Cet article vous permet de préparer une certification CerT.I.
Le test de validation des connaissances pour obtenir cette certification de Techniques de l’Ingénieur est disponible dans le module CerT.I.
de Techniques de l’Ingénieur ! Acheter le module
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(76 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Glossaire
BIBLIOGRAPHIE
-
(1) - Groupe de travail article 29 sur la protection de données - Avis 05/2014 sur le Techniques d’anonymisation. - Adopté le 10 Avril 2014 (2014).
-
(2) - SWEENEY (L.) - k-anonymity : A model for protecting privacy. - International Journal of Uncertainty, Fuzziness and Knowledge-Based Systems, 10(05), 557-570 (2002).
-
(3) - MACHANAVAJJHALA (A.), GEHRKE (J.), KIFER (D.), VENKITASUBRAMANIAM (M.) - l-diversity : Privacy beyond k-anonymity. - In 22nd International Conference on Data Engineering (ICDE’06) (pp. 24-24). IEEE (2006).
-
(4) - LI (N.), LI (T.), VENKATASUBRAMANIAN (S.) - t-closeness : Privacy beyond k-anonymity and l-diversity. - In 2007 IEEE 23rd International Conference on Data Engineering (pp. 106-115). IEEE (2007).
-
(5) - DWORK (C.) - Differential privacy. - Encyclopedia of Cryptography and Security, -338-340 (2011).
-
...
DANS NOS BASES DOCUMENTAIRES
NORMES
-
ISO Technologie de l’information : technique de sécurité - ISO/IEC 29100 - 2011
ANNEXES
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données), JOUE L 119/1 du 4 mai 2013, http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR.
HAUT DE PAGECet article fait partie de l’offre
Sécurité des systèmes d'information
(76 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
QUIZ ET TEST DE VALIDATION PRÉSENTS DANS CET ARTICLE
1/ Quiz d'entraînement
Entraînez vous autant que vous le voulez avec les quiz d'entraînement.
2/ Test de validation
Lorsque vous êtes prêt, vous passez le test de validation. Vous avez deux passages possibles dans un laps de temps de 30 jours.
Entre les deux essais, vous pouvez consulter l’article et réutiliser les quiz d'entraînement pour progresser. L’attestation vous est délivrée pour un score minimum de 70 %.
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(76 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive