Retour aux actualités
Article suivant Article précédent

Revue TELECOM 177 - La difficile anonymisation des données personnelles

Articles Revue TELECOM

-

15/10/2015


LA DIFFICILE

ANONYMISATION DES

DONNEES PERSONNELLES

Par Maryline Laurent et Claire Levallois-Barth dans la revue TELECOM n° 177
 

Anonymisation, pseudonymisation, … essentielles pour exploiter en toute sérénité les nombreuses données à caractère personnel, ces techniques ne sont cependant pas une panacée pour la protection des internautes.


Une des solutions techniques souvent mise en avant pour répondre à la problématique de protection du citoyen est celle de l’anonymisation des données personnelles. Cette solution est aujourd’hui essentielle pour de nombreux acteurs qui souhaitent valoriser les informations qu’ils détiennent, notamment dans le cadre de l’open data ou de l’Internet des objets. Pour autant, il est souvent difficile de savoir comment anonymiser convenablement des données.

A cet égard, le groupe de l’Article 29 (G29) qui regroupe les autorités de protection des données personnelles de l’Union européenne, dont la CNIL, a publié le 10 avril 2014 un avis sur les principales techniques d’anonymsation [G29]. Le document distingue la donnée anonymisée et la donnée pseudonymisée. Sur le plan juridique, la donnée pseudonymisée n’est pas une donnée anonyme dans la mesure où elle ne constitue pas une désidentification irréversible et permet de remonter à la personne concernée ; la donnée pseudonymisée reste donc une donnée personnelle.

L’avis explique également comment mettre en œuvre une solution d’anonymisation. Pour l’essentiel, les techniques d’anonymisation font appel à deux grand principes :

• La randomisation consiste à altérer les données personnelles par exemple par des techniques de bruitage pour distendre le lien entre les données et la personne réelle ;

• La généralisation consiste à généraliser ou diluer les données personnelles de façon à ce qu’elles perdent en précision et qu’elles ne soient plus spécifiques à une personne mais communes à un ensemble de personnes.

Chaque technique présente des avantages et inconvénients que le G29 propose d’évaluer à travers trois critères : la ré-identification, la corrélation et l’inférence. Une technique permet rarement à elle seule d’anonymiser réellement un jeu de données. Un procédé effectif d’anonymisation doit par conséquent définir la combinaison de techniques qui répond le mieux à l’objectif recherché. En règle générale, ce procédé est basé sur au moins deux techniques d’anonymisation. Adapté au cas par cas, il doit tenir compte de l’existence des différents jeux de données disponibles par ailleurs et des possibilités de croisement entre ces jeux de données et le jeu que l’on souhaite anonymiser.

Dans un contexte de big data, l’anonymisation est d’autant plus difficile à garantir que le volume de données disponibles évolue très vite et de façon massive. Or, le procédé d’anonymisation exige du temps pour sa mise au point et l’évaluation de son niveau de fiabilité. Ce travail d’évaluation peut s’avérer difficile du fait du gros volume de données disponibles, et de la nécessité de s’assurer que l’introduction d’un nouveau jeu de données ne permettra pas de ré-identifier une personne. En pratique, le respect des règles juridiques est susceptible d’aboutir à l’introduction dans le big data de jeux de données anonymisées de moins en moins précis et pertinents.

D’un point de vue légal, le procédé d’anonymisation constitue en lui-même un traitement de données personnelles. Il doit par conséquent être conforme aux obligations posées par la directive européenne Protection des données personnelles [DIR 95], transposée en droit français par la loi Informatique et Libertés [LOI 78-17]. Cette législation devrait dans un futur proche (certainement avant fin 2015) être remplacée par un règlement [PROP REG 2012]. D’application directe, le nouveau texte ne nécessitera pas de transposition en droit national : la loi Informatique et Libertés sera abrogée tandis que la CNIL interprétera directement le nouveau règlement. L’avis du G29 – qui prendra le nom de Comité européen de la protection des données – sur les techniques d’anonymisation restera pertinent et ce, d’autant plus que la dernière version du projet de règlement distingue bien les données anonymisées des données pseudonymisées [PROP REG 2015].

www.informations-personnelles.org

Glossaire
 

Les lecteurs intéressés pourront se référer au glossaire consacré aux notions d’anonymat/pseudonymat définies dans le cadre de la chaire Valeurs et politiques des informations personnelles de l’Institut Mines-Télécom, dont un extrait est fourni ci-dessous :

Anonymisation - Processus par lequel des informations personnellement identifiables sont altérées de façon irréversible de sorte que la personne à laquelle se rapporte l’information ne peut plus être identifiée directement ou indirectement, soit par le responsable de traitements seul soit en collaboration avec une autre personne [ISO 29100 – traduction libre].

Données à caractère personnel - Toute information concernant une personne physique identifiée ou identifiable (personne concernée) ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens susceptibles d’être raisonnablement mis en oeuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne [Art.2 a et considérant 26 de la directive Protection des données [DIR 95]].

Donnée anonymisée - Donnée qui est le résultat d’un processus d’anonymisation d’informations personnellement identifiables [ISO 29100 – traduction libre].

Donnée pseudonymisée - Donnée qui a subi un traitement de pseudonymisation.

Généralisation - Technique d’anonymisation qui consiste à généraliser, ou diluer, les attributs des personnes concernées en modifiant leur échelle ou leur ordre de grandeur respectif (par exemple, une région plutôt qu’une ville, un mois plutôt qu’une semaine) [G29].

Individualisation - Possibilité d’isoler une partie ou la totalité des enregistrements identifiant un individu dans l’ensemble de données [G29].

Pseudonymisation - Traitement ap- pliqués sur des données à caractère per- sonnel de manière que ces données ne puissent pas être associées à une personne concernée spécifique sans l’utilisation d’informations supplémentaires, et ce tant que ces informations supplémentaires sont conservées séparément et soumises à des mesures techniques et organisationnelles garantissant la non-attribution des données à une personne identifiée ou identifiable (Article 4 (3b) (PROP REG 2015 - traduction libre)).
 

Randomisation - Ensemble de techniques d’anonymisation qui altèrent la véracité des données afin d’affaiblir le lien entre les données et l’individu [G29]. 

Biographie de l'auteur

Maryline Laurent, Professeur à Télécom SudParis et co-fondatrice de la Chaire Valeurs et Politiques des Informations Personnelles.



`


Biographie de l'auteur

Claire Levallois-Barth, Coordinatrice de la Chaire Valeurs et Politiques des Informations Personnelles, Maître de Conférences en droit à Télécom ParisTech.





 

Références

[DIR 95] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, JOCE n° L 281 du 23 novembre 1995.

[G29] Groupe de travail sur la protection des personnes à l’égard du traitement des données à caractère personnel, Avis

05/2014 sur les Techniques d’anonymisation adopté le 10 avril 2014.

[ISO 29100] International Standard, Information technology - Security techniques - Privacy framework, ISO/ IEC29100, First edition, Décembre 2011.

[LOI 78-17] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, JORF 7 janvier 1978, p. 227 (Loi dite Informatique et Libertés).

[PROP REG 2012] Proposition de règlement du Parlement européen et du Conseil relatif à la protection des per- sonnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, COM(2012)11 final du 25 janvier 2012.

[PROP REG 2015] Proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, Council’s consolidated version of March 2015, doc. 1539/12 du 21 avril 2015.

285 vues Visites

J'aime

Commentaires0

Veuillez vous connecter pour lire ou ajouter un commentaire

Articles suggérés

Articles Revue TELECOM

Revue TELECOM 195 - 5G : une révolution numérique des télécoms ?

User profile picture

Melina LAURICELLA

16 janvier

Articles Revue TELECOM

Revue TELECOM 195 - Dans la lumière Brune

User profile picture

Rédaction Revue TELECOM

15 janvier

Articles Revue TELECOM

Revue TELECOM 195 - Onboarding, intégration, rétention... what for ?

User profile picture

Rédaction Revue TELECOM

15 janvier