RGPD et anonymisation

Le Règlement Européen sur la Protection des Données, entré en vigueur depuis mai 2018, propose différentes mesures techniques afin de préserver la vie privée de tous les citoyens européens dont les données sont collectées par les entreprises dans le cadre de leurs activités. Au nombre de ces mesures, figure l’anonymisation. Qu’est-ce qu’il y a lieu de savoir sur ce dispositif juridico-technique ? Focus !

Qu’entend-on par anonymiser ?

L’anonymisation est une technique permettant d’empêcher de manière irréversible l’identification d’une donnée. Plus spécifiquement, elle consiste à changer le contenu ou la structure même des données, de sorte que toutes les informations directes ou indirectes pouvant permettre l’identification d’une personne soient supprimées ou modifiées. Anonymiser une donnée suppose donc la suppression de l’identité de la personne à qui cette donnée se rapporte, rendant donc impossible la ré-identification de la personne à partir de cette donnée, et ceci même après traitement.

Vu de cette manière, cette technique s’apparente à une solution d’affranchissement des contraintes du RGPD. Elle facilite la conformité des entreprises aux exigences du RGPD sans pour autant prendre toutes les précautions qu’il impose. Véritable parade, ce dispositif permet aux entreprises de continuer à traiter les données de leurs clients, afin de poursuivre leur fonctionnement normal et développer d’une manière ou d’une autre leur activité. Techniquement, cette solution représente le niveau maximal de protection qui puisse exister.

Les méthodes permettant d’anonymiser

Deux grandes méthodes existent pour anonymiser les données. Il s’agit de :

• La randomisation : elle permet la destruction du lien entre la donnée et la personne, par l’emploi de techniques telles que la troncature, la substitution, la suppression ou la mise à blanc.
• La généralisation : elle se caractérise par la dilution de la donnée, ou sa généralisation par modification de sa précision, de son échelle et de sa grandeur.

Toutefois, il convient de noter que malgré les garanties qu’elle offre, l’anonymisation a des limites, surtout lorsque le volume de données augmente.

Les limites de cette technique

La mise en œuvre de cette technique permettant d’anonymiser les données reste quelque peu difficile, malgré son intérêt et son efficacité. En effet, lorsque le volume de données augmente, les risques de ré-identification par recoupement sont importants. En fonction du comportement relevé dans les informations, les habitudes de navigation ou d’achats en ligne d’une personne, des données totalement anonymisées peuvent conduire à identifier cette personne. C’est dire qu’à travers le recoupement de quelques informations, il est facilement possible d’établir une piste conduisant à la personne à qui appartiennent ces informations, malgré leur anonymisation en amont.

Pour cela, le G29, formé des Commissions Nationales de l’Informatique et des Libertés des pays membres de l’UE, recommande aux responsables de traitement utilisant des solutions pour anonymiser leurs données « d’effectuer une veille régulière pour préserver dans le temps le caractère anonyme des données produites ». Pour le G29, face aux exigences du RGPD, une bonne solution d’anonymisation doit se baser sur trois critères essentiels à savoir :

• l’individualisation ;
• la corrélation ;
• l’inférence.

Par ailleurs, dans certains domaines comme celui de la médecine, la ré-identification du titulaire des données est parfois nécessaire. Mais avec la technique utilisée, cela s’avère définitivement impossible.

Procédure de mise en place

La mise en place est peut-être la plus grande difficulté qui caractérise l’anonymisation des données. Elle peut de fait susciter plusieurs interrogations. Faut-il anonymiser par application ? Quelle gestion adopter pour les applications partageant les données personnelles ? Quel mode d’organisation répondra mieux aux exigences du métier ? Ce sont autant de questionnements qui témoignent de la difficulté de la mise en place de cette technique. C’est dire que l’organisation est l’axe stratégique essentiel qui en détermine le succès.

Pour cela, il serait utile de mettre en place un service industrialisé destiné à anonymiser et pouvant répondre aux besoins des équipes informatiques les plus concernées. Cela suppose :

• une capacité d’adresser toutes les technologies ;
• une proposition d’échantillonnage performant et intelligent, basée sur un jeu de données important dans une source de données et dans des référentiels ;
• une garantie de niveaux de services performants ;
• la mise à disposition d’une librairie de formats permettant d’anonymiser de façon complète (remplacement au hasard, suppression, réécriture).

Ce service permettra alors une évolution des méthodes de travail des équipes informatiques, sans pour autant impacter négativement leur quotidien.

Au sens du RGPD, anonymiser les données a la même efficacité que les effacer

L’anonymisation s’oppose à l’effacement par le fait qu’elle est relative à toutes les données liées à une personne, alors que de son côté, l’effacement peut concerner un seul attribut, par exemple l’exercice de son droit à l’oubli sur son adresse e-mail. Ceci peut se comprendre, dans la mesure où anonymiser certains attributs (nom et prénom par exemple), en laissant les autres (adresse e-mail, adresse postale) disponibles n’a pas réellement d’intérêt.

Etant irréversible, cette technique proposée par le RGPD ne peut s’appliquer à des données en production utilisées par des processus métier, car celles-ci seraient inutilisables. En l’espèce, ce qui donnerait du sens à une anonymisation plutôt qu’à un effacement est l’utilisation de ces données dans le cadre :

• d’analyses statistiques (dans un but marketing par exemple) ;
• de tests dans le cycle de développement logiciel (tests unitaires, intégration, qualification).

Les techniques proposées par le RGPD pour anonymiser les données sont diverses et dépendent du type de données à traiter, ainsi que de l’utilisation qui en sera faite.