GDPR : Anonymisation ou Pseudonymisation ?

Le GDPR remplace la directive Européenne sur la protection des données et entrera en force à partir du 25 mai 2018. Toute entreprise manipulant des données personnelles de citoyens Européens doit se conformer à la directive.

Bien que de nombreuses entreprises aient déjà adopté des procédures permettant d’assurer la vie privée des citoyens Européens, le GDPR érige de nouvelles obligations.

Toute information relative à une personne identifiée ou identifiable est soumis à cette régulation. Cependant, cette dernière ne s’applique pas pour les informations ne permettant pas d’identifier une personne. Attention, le GDPR ne traite pas explicitement des moyens techniques à mettre en oeuvre pour assurer “l’anonymisation” des informations mais demande à ce que des moyens “raisonnables” soient mis en place.

Anonymiser l’information

 

L’anonymisation des informations est un processus qui transforme les données personnelles de telle sorte que ces dernières ne puissent pas être ré-identifiées après traitement. Ce procédé doit être irréversible, on ne doit pas pouvoir désanonymiser des informations.

Dans le cas général, une information complètement anonymisée ne rentre plus dans le périmètre du GDPR sauf si l’entreprise garde une copie non anonymisée de l’information ou un index permettant d’associer une information anonymisée avec une personne identifiable ou identifiée.

De plus, des informations totalement anonymisées ne doivent pas permettre d’identifier une personne en fonction du comportement relevé dans les informations. En effet, les données contenant les informations sur les habitudes de navigation internet et/ou les historiques d’achats en lignes ne sont pas considérées comme anonymisées même si aucune personne identifiable ou identifiée n’est explicitement rattachée à ces dernières. De par leur nature et la nature humaine, ces informations permettent de déduire à qui appartient un comportement spécifique.

Sur le plan technique, l’anonymisation des informations fourni de nombreux challenges aux entreprises s’y essaient. Par exemple, anonymiser complètement les données peut poser des problèmes pour les systèmes d’analyse comportementale. En effet, si des données nécessaires au bon fonctionnement des algorithmes ne peuvent plus être utilisées, ces derniers peuvent perdre en efficacité, augmenter le taux de faux positifs et vont nécessiter un recalibrage des options et paramètres pour augmenter leur efficacité.

Dans de nombreux cas, l’anonymisation complète des données personnelles n’est pas possible. C’est pour cela qu les entreprises se tournent vers la pseudonymisation des données qui se révèle être un compromis acceptable dans le cadre du GDPR.

Pseudonymisation des données

 

La pseudonymisation permet de séparer les données identifiant directement les personnes des autres données non pertinentes. Le mécanisme de pseudonymisation génère une clé d’identification qui permet d’établir le lien entre les différentes informations des personnes. Ces clés d’identification doivent être stockées de manière sécurisée avec un contrôle d’accès robuste. Ainsi, les données ne sont pas anonymes sans être identifiables pour autant.

Dans certains cas, les entreprises vont également devoir obscurcir certaines données indirectes qui peuvent, malgré tout, mener à l’identification de la personne.

Le GDPR encourage l’utilisation de cette technique et relaxe les entreprises qui l’utilise sur plusieurs exigences de la régulation. Attention, utiliser la pseudonymisation ne permet pas de sortir du périmètre du GDPR.

Ré-identification des données

 

C’est le principal problème de la pseudonymisation. En utilisant ces techniques, il est forcément possible, même si le risque peut être faible, d’établir le lien entre les données via l’utilisation des clés d’identification.

Prenons l’exemple du vol de données où un attaquant aurait récupéré les clés d’identification. Les données directes et indirectes peuvent alors permettre de retrouver les informations originales collectées avant tout traitement.

Dans ce cas, la capacité de ré-identifier une information devient un point critique et nécessite une attention particulière. L’entreprise a le devoir de mettre en place des moyens raisonnables permettant de limiter grandement la possibilité de ré-identifier des personnes.

Conclusion

 

Pour être conforme avec GDPR, les entreprises vont devoir anonymiser ou pseudonymiser les données personnelles collectées. Le choix de l’une ou l’autre des techniques dépendra de la nature et la criticité des informations collectées ainsi que les moyens techniques et humains à disposition des entreprises.

L’anonymisation est un procédé pouvant être très complexe à gérer. Dans ce cas, l’utilisation de techniques de pseudonymisation devient judicieuse.

La pseudonymisation permet de simplifier le processus de gestion des données personnelles tout en restant conforme avec le GDPR. De plus, ces techniques simplifient par exemple, la gestion du droit à l’oubli de la régulation puisqu’il suffit de détruire les clés d’identification pour “oublier” une personne.