La CNIL a publié le 19 mai 2020 des directives concernant les techniques d’anonymisation sur son site internet.
Définition
Tout d’abord, l’anonymisation est un traitement qui consiste à utiliser un ensemble de techniques de manière à rendre impossible, en pratique, toute identification de la personne par quelque moyen que ce soit et de manière irréversible.
En cela elle doit être distinguée de la pseudonymisation qui caractérise les données qui ne peuvent plus être attribuées à une personne précise sans avoir recours à des informations supplémentaires.
L’anonymisation, pourquoi ?
L’anonymisation permet de traiter des données dans le respect des droits et libertés des individus, en ce qu’elle n’inclue pas le traitement de données à caractère personnel. Le RGPD n’est en conséquence plus applicable à ces traitements de données non personnelles.
Elle permet également de conserver des données au-delà des durées de conservation initialement fixées.
Comment anonymiser les données ?
La CNIL rappelle ce qu’il est conseillé de faire afin de procéder à une technique d’anonymisation pertinente :
- identifier les informations à conserver selon leur pertinence.
- supprimer les éléments d’identification directe ainsi que les valeurs rares qui pourraient permettre un ré-identification aisée des personnes (par exemple, la présence de l’âge des individus peut permettre de ré-identifier très facilement les personnes centenaires) ;
- distinguer les informations importantes des informations secondaires ou inutiles (c’est-à-dire supprimables) ;
- définir la finesse idéale et acceptable pour chaque information conservée.
Ces principes permettent de déterminer le procédé d’anonymisation à appliquer, c’est-à-dire l’enchaînement des techniques d’anonymisation à mettre en place. Celles-ci peuvent être regroupées en deux familles : la randomisation et la généralisation.
1/ La randomisation
Cela consiste à modifier les attributs dans un jeu de données de telle sorte qu’elles soient moins précises, tout en conservant la répartition globale. Pour traiter un ensemble de données, un observateur supposera que les valeurs sont exactes, même si cela ne sera vrai qu’à un certain degré.
Par exemple, si la taille d’un individu a été mesurée à l’origine au centimètre près, l’ensemble de données anonymisées peut présenter une précision de ± 10 cm seulement.
2/ La généralisation
Cette approche consiste à diluer (ou généraliser), les attributs des personnes concernées en modifiant leur échelle ou leur ordre de grandeur respectif (par exemple, une région plutôt qu’une ville, un mois plutôt qu’une semaine). Cette technique permet d’éviter l’individualisation d’un jeu de données. Elle limite également les possibles corrélations du jeu de données avec d’autres.
Comment vérifier l’efficacité de l’anonymisation ?
Selon la CNIL et les autorités de protection des données européennes, trois critères permettent de s’assurer de l’anonymisation d’une donnée :
- l’individualisation: il ne doit pas être possible d’isoler un individu dans le jeu de données ;
- la corrélation : il ne doit pas être possible de relier entre eux des ensembles de données distincts concernant un même individu ;
- l’inférence : il ne doit pas être possible de déduire, de façon quasi certaine, de nouvelles informations sur un individu.
Si une technique est en mesure de résister à ces trois principes, alors il s’agit d’une bonne technique d’anonymisation.
Etant précisé qu’à ce jour, aucune technique d’anonymisation n’est infaillible.
Pour en savoir plus sur les techniques d’anonymisation et de pseudonymisation : https://www.village-justice.com/articles/donnees-personnelles-anonymisation-pseudonymisation,26194.html
Comment se prémunir des risques liés à l’anonymisation ?
Si la technique d’anonymisation envisagée ne remplit pas parfaitement ces trois critères, alors le responsable de traitement doit être en mesure de démontrer, via une évaluation approfondie des risques d’identification, que le risque de ré-identification avec des moyens raisonnables est nul.
Les techniques d’anonymisation et de ré-identification étant amenées à évoluer régulièrement, il est recommandé, pour tout responsable de traitement concerné, d’effectuer une veille régulière pour préserver, dans le temps, le caractère anonyme des données produites. Cette veille doit prendre en compte les moyens techniques disponibles ainsi que les autres sources de données qui peuvent permettre de lever l’anonymat des informations.
La CNIL rappelle enfin que la publication de données dites « anonymes » qui se révèleraient en fait être des données à caractère personnel constitue une violation de données, entraînant toutes les conséquences de l’article 33 du RGPD.
Il convient de garder à l’esprit qu’en tout état de cause une technique d’anonymisation est loin d’être fiable à 100%. N’hésitez pas à vous faire accompagner avant de décider que des données sont anonymes et donc non soumises au RGPD.
Charlotte GALICHET
Sophie RENAUDIN
source : https://www.cnil.fr/fr/lanonymisation-des-donnees-un-traitement-cle-pour-lopen-data