L'anonymat est-il aujourd'hui un mythe ou une réalité ?
L'anonymat est-il aujourd'hui un mythe ou une réalité ?
Un nouvel algorithme révèle précisément à qui appartient des données ré-identifiées
Les organismes traitant des données sensibles à caractère privé, comme des informations médicales, ont en général recours à l’anonymisation - une technique de protection de la vie privée qui permet de transformer les données personnelles pour qu’elles ne pointent plus vers leurs propriétaires dans la vie réelle - avant d’envisager leur éventuelle réutilisation (partage ou vente). Pourquoi prennent-elles de telles précautions ?
À la différence des données à caractère non personnel, les données personnelles (nom, adresse mail, date et lieu de naissance, par exemple) qui permettent d’identifier une personne physique ou morale doivent être « anonymisées ou dépersonnalisées ». Ça signifie que leur contenu ou structure doit au préalable être traité pour compliquer ou rendre impossible la ré-identification des personnes ou des entités concernées. Les données à caractère personnel qui ont été rendues anonymes de sorte que le concerné ne puisse plus être reconnu, même après l’emploi de solutions raisonnables de ré-identification, échappent aux régimes de protection des données définis par le règlement général sur la protection des données personnelles (RGPD) qui est applicable depuis le 25 mai 2018 au sein de l’UE.
À ce propos, signalons que le RGPD précise dans son article 26 : « Il n’y a dès lors pas lieu d’appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable ».
Dans son article 4, le RGPD définit en outre la pseudonymisation comme « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles, afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ». Ces mesures sont-elles suffisantes pas garantir que vos données sont correctement protégées ?
Des chercheurs de l’université catholique de Louvain et de l’Imperial College London ont développé un outil qui permet de vérifier l’effectivité ou non, de cet anonymat. Malheureusement, leurs travaux prouvent que les précautions mises en place pour sauvegarder l’anonymat sont vaines. Leur étude, publiée dans la revue scientifique Nature Communications, démontre qu’un algorithme de Machine Learning peut être utilisé afin d’estimer avec précision si des données ré-identifiées appartiennent bien à la bonne personne ou non.
Ce nouvel algorithme expose les lacunes de l’anonymisation. Il permet d’évaluer la probabilité exacte d’identifier une personne à partir d’un ensemble de données « anonymisées ». Autrement dit, il peut renseigner sur la probabilité pour une combinaison de caractéristiques connues d’être suffisamment précise pour décrire un seul individu parmi plusieurs milliards de personnes.
Les travaux des chercheurs de l’université catholique de Louvain et de l’Imperial College London ont montré que 99,98 % des Américains peuvent être correctement ré-identifiés dans n’importe quelle base de données en utilisant 15 attributs démographiques, avec des chiffres similaires à travers le monde. En outre, 83 % d’entre eux peuvent être correctement ré-identifiés simplement à partir de leur genre, de leur date de naissance et de leur code postal.
Par ailleurs, les chercheurs impliqués dans ce projet ont publié un outil en ligne pour aider le public à comprendre quelles caractéristiques les rendraient uniques dans les bases de données. Ils espèrent que « leurs résultats permettront de mettre en place des standards plus rigoureux pour déterminer quelles données sont vraiment anonymes, prenant en compte tout risque futur ».
Les perspectives d'avenir
Avec l’introduction du RGPD, l’Union européenne (UE) et certains pays du Vieux Continent ont décidé d’élaborer de nouvelles propositions de loi qui sont censées aller au-delà de la simple mise en œuvre du RGPD telle que définie par les législateurs de l’UE à l’origine. En Grande-Bretagne par exemple, les législateurs envisagent depuis 2017 la création d’une nouvelle infraction pénale s’appliquant à toutes les personnes qui, par inadvertance ou de façon intentionnelle, ré-identifient des individus à partir de données pseudoanonymes ou anonymes.
Le Parlement européen de son côté a validé, depuis 2018, une proposition de loi instituant la libre circulation des informations à caractère non personnelles au sein de l’Union européenne (UE). Dans son application future, ce texte interdira qu’un État tente d’imposer le stockage et le traitement de données numériques sur son territoire ou sur un territoire tiers donné de l’Union, à moins que des motifs engageant la sécurité nationale de cet État ne soient explicitement fournis ou dans le cas où il s’agit de données à caractère personnel et non personnel non dissociables. Dans ce cas précis, c’est le RGPD qui prévaudra.
En France, l’administration Macron plaide en faveur d’une « levée progressive de tout anonymat » et veut mettre fin à l’anonymat sur les plateformes en ligne. Le Président français à ce propos a déclaré que pour améliorer la qualité de la démocratie participative, il faut « aller vers une levée progressive de toute forme d’anonymat » en faisant mention de « processus où on sait distinguer le vrai du faux et où on doit savoir d’où les gens parlent et pourquoi ils disent les choses ». Macron pense que cela est nécessaire étant donné qu’aujourd’hui, « on a beaucoup d’informations, tout le temps, mais on ne sait pas d’où elles viennent. »
Sources : Nature, Outil de vérification en ligne des chercheurs
Et vous ?
Qu’en pensez-vous ?
Voir aussi
Répondre avec citation
Partager