MenuMenu
ConnexionEssai gratuitEssai gratuit
Nouvelle offre
-20% avec le code BUYAXEPTIO20 jusqu'au 01/05/2023 pour les nouveaux clients sur les offres annuelles. -20% avec le code BUYAXEPTIO20 jusqu'au 01/05/2023 pour les nouveaux clients sur les offres annuelles. -20% avec le code BUYAXEPTIO20 jusqu'au 01/05/2023 pour les nouveaux clients sur les offres annuelles. -20% avec le code BUYAXEPTIO20 jusqu'au 01/05/2023 pour les nouveaux clients sur les offres annuelles.
Cookie Axeptio M. Padchance
Product news

Ces 10 erreurs qui font échouer l’anonymisation des données personnelles

authorMaxime JAILLET
16 juin 2020

L’anonymisation des données personnelles permet de se libérer des contraintes du RGPD. Cette perspective alléchante suscite tentations et fausses idées car la dé-identification des données est un processus contraignant et au résultat incertain. En compagnie de M. Padchance, nous dressons un panorama des principales erreurs que l’on peut rencontrer. C’est notre Product News du jour.

Vanter à tort l’anonymisation de ses bases de données

« -Ah, M. Padchance. Alors, on vient acheter une nouvelle paire de tennis dans mon magasin ?

- Tout à fait. Je vois que vous avez installé une borne ? C’est curieux, à quoi ça vous sert ?

- Consigne du groupe pour tous les magasins de sports, mon bon Monsieur. Ca sert à comptabiliser les allers et venues en boutique. Le fournisseur m’assure que c’est anonyme.

- Me voilà rassuré, bonne journée, M. Pamoderne. »

Le lendemain matin, M. Padchance reçoit un e-mail lui rappelant ce déplacement en boutique et lui annonçant des prix réduits pour des produits susceptibles de l’intéresser… Il est un peu agacé.

Ce fournisseur collecte certainement, via les bornes des magasins et des sdk intégrés à des applications mobiles tierces, les données de géolocalisation des mobinautes. Ce traitement de données n’est donc pas du tout anonyme ni même anonymisé.

L’anonymisation est un procédé très complexe. Il s’agit d’empêcher toute possibilité technique de ré-identification des personnes dont les données sont traitées. C’est rarement le cas en pratique.

Dans le cas présent, il est en outre probable qu’ayant cru à tort son activité anonymisée, le fournisseur n’ait pas intégré des mesures de protection et de sécurité des données dès les phases de conception de son projet.

Or sa technologie opère à l’évidence un suivi des déplacements des mobinautes, ce qui permet d’acquérir de la connaissance sur leurs comportements. Elle présente donc un enjeu informatique et libertés réel.

Ignorer ce qu’est une donnée à caractère personnel

Arrivé sur son lieu de travail, M. Padchance s’installe derrière son bureau.

« Quelque chose m’intrigue dans la politique de confidentialité de ce site d’informations médicales que je consulte depuis cinq jours.

Ils ont une rubrique sur les informations non personnelles. Ils disent qu’ils utilisent mes données de navigation pour personnaliser les publicités qu’ils affichent sur les autres sites que je visite.

Est-ce bien anonyme, tout cela ? ».

Les données de navigation en ligne sont collectées via des cookies et stockées dans une data management platform. On pourrait penser qu’elles ne sont pas des données personnelles car elles ne sont pas reliées à une adresse e-mail ou un numéro de téléphone.

Or la définition de données à caractère personnel est large et englobe tout ce qui permet d’isoler un individu d’un groupe donné. Tel est bien le cas d’un identifiant de cookie et de données de navigation.

Limiter les données personnelles aux noms et prénoms

Quelques heures passent et M. Padchance est rejoint par des collègues de bureau et son manager.

« -Ah, mon cher Padchance, quelle manque de veine !

- Quelle idée aussi, renchérit un collègue, d’avoir critiqué notre dirigeant et proposé de changer sa stratégie. La DRH veut te voir...

Trente minutes plus tard, M. Padchance rencontre la responsable des ressources humaines qui tient en main une feuille compilant les réponses fournies lors d’un sondage adressé à tous les collaborateurs de son entreprise.

- Je croyais que cette enquête était anonyme ?

- Bah oui, anonyme : on n’a pas le nom ni le prénom. ».

M. Padchance va passer un mauvais moment.

Non, les données soumises au RGPD ne se limitent pas aux données nominatives.

En l’occurrence, le fournisseur de la plateforme d’enquête collecte certainement les réponses du questionnaire ainsi que les adresses IP des collaborateurs.

Si ces dernières sont transmises à l’employeur, l’enquête n’est pas anonyme. C’est pourtant indispensable :

  • tant pour favoriser des retours constructifs des collaborateurs ;
  • que pour les protéger de ce genre de situations.

Déclarer anonyme un traitement permettant des actions individuelles

Retournant à son bureau pour terminer sa journée, M. Padchance est assommé. C’est alors que le téléphone sonne.

« Allô ? Oui, c’est votre garagiste. J’ai sous les yeux vos réponses à notre enquête de satisfaction. Oui, elle est anonyme, pourquoi ? Dites donc, vous m’avez très mal noté ? Eh bah alors ? »

Décidément, M. Padchance est bien malmené aujourd’hui !

Le problème est ici certainement que l’enquête a été présentée comme anonyme et poursuivant un objectif d’étude des résultats agrégés. Or il est évident que l’opération permet aussi de recontacter individuellement les clients mécontents.

Ca n’est pas illicite. Mais M. Padchance aurait dû avoir été informé de cette finalité et même être mis en mesure de l’autoriser ou non.  

M. Padchance quitte le bureau fatigué, après avoir raté une marche dans les escaliers de l’entreprise...

Chiffrer un jeu de données pour l’anonymiser

Sur le chemin du retour au domicile, les ennuis continuent...

« - Oui allô ?

- M. Padchance ? Entreprise Vosrdvsanté au téléphone.

Voilà, c’est pour vous dire qu’une de nos bases de données a été hackée. Celle qui était anonymisée, c’est ça. Enfin... pas vraiment…

Comment dire ? On a chiffré la base  en pensant que ça suffirait. Et évidemment, comme on n’a pas de moyens, ça n’était pas du grand art. Enfin bref, les pirates savent maintenant tout sur vos rendez-vous médicaux…  ».

Peut-on anonymiser des données en les chiffrant ? En réalité, c’est d’abord une mesure de sécurité des données. Cela permet aussi d’en interdire l’accès et la consultation :

  • par des services internes non habilitées (données non nécessaires aux data scientists ou services marketing) ;
  • par des prestataires par lesquels les données sont susceptibles de transiter.

Mais si le chiffrement est réversible au sein de l’entreprise, ne serait-ce que par les administrateurs des bases, la ré-identification des données reste possible. Elles ne sont donc pas anonymisées.

Négliger la sécurité des données soi-disant anonymisées

Enfin, la difficile journée est terminée. M. Padchance arrive chez lui fourbu.

« - Joyeux anniversaire !

- Tiens, Papa ! »

Heureusement, sa famille a pensé à célébrer comme il se doit cet événement.

M. Padchance ouvre le paquet cadeau que l’on lui tend. Il contient…un bracelet connecté relié à une application mobile et permettant de contrôler son pouls. Tout cela de manière entièrement anonyme aux dires du fabricant…

Mais M. Padchance a déjà entendu parler de cette société. Où ? Il a lu un article de presse à ce sujet car elle est à l’origine d’un scandale.

Croyant traiter des données anonymes, cette société a négligé la sécurité tant des bracelets connectés que des applications mobiles. Bien sûr, des pirates informatiques ingénieux ont réussi à s’infiltrer dans le système informatique et dérober de très nombreuses données de santé.

La société a dû notifier cette violation de données personnelles à la CNIL et en informer l’ensemble de ses clients. Tollé général, la CNIL lui a quant à elle infligé une amende.

Sous les yeux  hébétés de ses proches, M. Padchance a donc manifesté sa joie en jetant le bracelet connecté par la fenêtre...

Ne pas appliquer le RGPD aux données soi-disant anonymisées

La trajectoire de l’objet volant s’acheva sur le visage d’un passant errant, M. Laloose.

Il gère une entreprise fournissant des bornes de mesure d’audience à des magasins, des boutiques de sports par exemple.

Dernièrement, il a beaucoup parlé à la presse de son offre et l’a présentée comme anonyme. En conséquence, il ne s’est pas trop préoccupé de respecter le RGPD.

Ses déclarations dans les médias ont attiré l’attention de la Commission Nationale de l’Informatique et des Libertés. Celle-ci est venue contrôler dans ses locaux les modalités de traitement des données, notamment les données de géolocalisation.

Or les équipes de M. Laloose :

  • collectent toutes les données sans aucun consentement des mobinautes ni même aucune information ;
  • les stockent en masse dans une base sans minimisation, sans aucune durée de conservation maximale planifiée ;
  • continuent la collecte des données d'un mobinaute même après qu'il se soit opposé à ce type d’opérations.

Ca n’a pas plu. Les équipes ont dû supprimer l’ensemble des données recueillies et stopper l’activité dans l’attente d’une mise en conformité RGPD.

Incapable de faire face à de telles obligations qu’il n’avait pas anticipé, M. Laloose doit déposer le bilan.

Conclusion : comment anonymiser les données ?

L’anonymisation des données doit être démystifiée, ce n’est pas une opération anodine. Elle suppose un plan rigoureux permettant d’éviter tout risque de ré-identification :

  • par l’un des services de l’entité traitant des données ;
  • par tout tiers (journaliste, pirate informatique).

Un traitement de données non anonymisé reste soumis aux exigences du RGPD. Par ailleurs, présenter faussement un traitement de données comme étant anonyme a des conséquences sur la vie privée qu’il ne faut pas négliger. M. Padchance l’a montré malgré lui...

Ne partez pas si vite