background

La tromperie de l'anonymisation

Lundi 21 Octobre 2019

Sur ces derniers 18 mois, la gestion des enjeux de sécurité de la donnée personnelle a été altérée par des projets d’anonymisation. Avant d'aller plus loin, rappelons la définition de cette dernière.

L’anonymisation est une technique qui vise à empêcher de manière irréversible l’identification d’une donnée. Elle consiste à changer la structure ou le contenu de cette donnée, de manière à ce que toutes les informations qui lui sont rattachées soient modifiées ou supprimées, cela pour éviter l’identification de l'individu.

Pour des raisons qui nous échappent, nous constatons que l'ensemble du marché a rattaché la technique d'anonymisation au RGPD, alors même que l'article 32 - "Sécurité du traitement" précise que :

"[...] le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

a) la pseudonymisation et le chiffrement des données à caractère personnel; [...]".

Or, un grand nombre d'articles de presse ou de sites de sociétés de conseil prennent la peine de préciser que le RGPD préconise, parmi les différents choix technologiques permettant d'adresser la sécurité de la donnée personnelle, celui de l'anonymisation. Ce choix technologique est, en fait, un procédé cité dans la Loi Informatique et Liberté de 1978. Quelle rémanence !

Sérieusement, de telles orientations conseillées ne sont pas acceptables de la part de tous ceux qui se veulent être en maîtrise du nouveau règlement, qui se présentent comme tel et qui, par ailleurs, se positionnent comme expert en transformation numérique, principalement parce que cette technique ne constitue pas une garantie de sécurité absolue d’une part et pollue les équipes d’autre part.

En effet, il est tout à fait possible de reconstituer l’identité d’un individu à partir de données anonymisées dès lors que ces dernières peuvent être croisées avec d’autres données externes ou non et analysées.

Autant, il peut être tout à fait cohérent et justifié de rendre anonyme toute une base de données quand l’exploitation de ces données se borne à des analyses statistiques pour lesquelles l’identité précise de l’individu n’apporte aucune plus-value ; autant, il devient ubuesque que de pratiquer une telle technique « sécuritaire », lorsqu’elle induit des pertes de valeur, de maîtrise et de compréhension de la donnée dans son exploitation économique quotidienne.

D’aucuns réagiraient sur le fait que nous enfonçons des portes ouvertes.

Pourtant, nous sommes bien confrontés à cette démarche d’anonymisation, qui au lieu d’apporter de la sérénité dans l’exploitation de la donnée personnelle, provoque perturbations, désorientations et déceptions conséquentes au sein des équipes qu’elles soient métier ou It. Ainsi, les projets coincent, n’avancent pas et agacent.

A ce stade des blocages, réside l’incapacité des équipes à définir correctement les finalités pour lesquelles l’anonymisation devrait être pratiquée et d’en identifier correctement les conséquences. Et, il ne peut en être autrement puisque l’anonymisation est alors utilisée pour les mauvaises raisons.

Le problème est pris à l’envers.

Nous le répétons, la conformité RGPD ne trouvera son salut que dans des plateformes « GDPR as Code end-to- end».

Avec une telle plateforme, le sujet d’anonymisation n’a plus lieu d’être.

L’anonymisation s’utilise dans les plateformes Big Data lorsqu’elles sont déployées en cloud public, afin d’annihiler tout risque de brèche de confidentialité, et pour l’exploitation de bases de données dédiées aux analyses statistiques.

Ainsi, nous nous permettons de vous conseiller :

  • De vous faire accompagner dans votre transformation numérique pour poser correctement le sujet,
  • De bien sélectionner votre plateforme Big Data, spécialisée dans la donnée personnelle,
  • De bien choisir les sociétés qui vous accompagnent dans votre transformation et mise en conformité.

Bref, il est temps de rentrer, selon l’expression du Cigref, dans « l’âge de raison du numérique » et de siffler la fin de la récrée sur votre expérience de jeune adulte en la matière, surtout quand on dépense l’argent des parents.

A brûler du cash, on suscite des attentes et des résultats et lorsque ces derniers ne viennent pas, on se fait toujours rattraper par la patrouille.

La plateforme Big Data « GDPR as code end-to-end » qui transforme la donnée personnelle en cash, nous, on l’a.