Filtrer le contenu par :

L’anonymisation? En êtes-vous certains?

23 mai 2018

Par Danielle Miller Olofsson, chef, gestion du savoir et stratégies de marché.

Toute organisation qui envisage l'anonymisation comme moyen de contourner les exigences rigides concernant la collecte, l’utilisation et la communication des données énoncées dans le Règlement général sur la protection des données (RGPD) européen ou encore dans la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) canadienne – dont tout porte à croire qu'elle sera harmonisée avec le RGPD – devrait y réfléchir à deux fois.

Qu’est-ce que l’anonymisation ?

L’anonymisation comprend diverses techniques utilisées pour dissocier les particuliers de leurs renseignements personnels de façon à ce que ces informations soient vendues ou réutilisées, bien souvent à des fins de recherche ou de marketing, sans déclencher le processus de conformité du RGPD ou de la LPRPDE. Les deux lois imposent aux organisations des restrictions sévères quant au traitement des renseignements personnels, qu’elles définissent au sens large comme englobant tout renseignement sur une personne identifiable. Si on rend les renseignements anonymes, prétend-on, ils ne concernent plus une personne identifiable et, par conséquent, leur collecte, leur utilisation et leur divulgation cessent d'être assujetties au RGPD ou à la LPRPDE.

Pourquoi faire preuve de prudence ?

Au-delà des arguments liés à l’utilité des données anonymisées, compte tenu de la distorsion qui en résulte, un certain nombre d’autres facteurs invitent à la prudence lorsqu'on choisit la voie de l’anonymisation.

Pour commencer, d'un point de vue technologique, rien ne prouve qu’une anonymisation infaillible soit possible. Autrement dit, il existe toujours un faible risque que les données puissent à nouveau être identifiables. Il suffit de se rappeler de l’affaire New York Taxi, en 2014, où des blogueurs ont réussi à percer les algorithmes utilisés pour modifier les licences d’exploitation de la New York City Taxi and Limousine Commission, révélant ainsi l'information nécessaire pour inverser le processus d’anonymisation que la Commission avait mis en place. Au cas où on se permettrait de qualifier ce cas d'exceptionnel, soulignons que 63 % de la population peut être identifiée à partir d’une petite quantité de données comme le genre, la date de naissance et le code postal.

D’ailleurs, les organisations qui fondent leurs décisions de publier des renseignements anonymisés sur une analyse des risques doivent se rappeler qu’en cas d’échec du processus, un risque même minime en termes de pourcentage représente tout de même un nombre considérable de personnes. Un pour cent de la population québécoise constitue environ 80 000 personnes, soit un nombre suffisant pour justifier une action collective!

Un deuxième détail technique que les organisations doivent connaître est que la dépersonnalisation, par exemple la liste d’identificateurs qui doivent être supprimés des données sur la santé avant d’être partagés selon la Health Insurance Portability and Accountability Act (HIPAA) des États-Unis, ne constitue pas une anonymisation, mais plutôt une étape préliminaire du processus d’anonymisation. Une analyse plus approfondie et d’autres mesures sont nécessaires comme la suppression ou la modification d’autres renseignements pouvant identifier un particulier et la mise en place de contrôles et de protections pour gérer le risque de réidentification.

Enfin, même si des renseignements ne peuvent pas être attribués à un nom, ceci ne signifie pas qu’ils ne sont pas considérés comme étant des renseignements personnels. Dans une décision mettant en cause une compagnie de télécommunications, le Commissariat à la protection de la vie privée du Canada a conclu que les renseignements sur le compte, les données démographiques et l’utilisation du réseau, même s’ils étaient non identifiés, constituaient des renseignements relatifs à des particuliers précis et par conséquent des renseignements personnels. Cette décision met un terme à la spéculation sur le fait que les modèles de comportement ne sont pas des renseignements personnels et qu’ils ne sont par conséquent pas régis par le RGPD ou la LPRPDE.

Les organisations qui choisissent l’anonymisation doivent tenir compte des éléments suivants

Les organisations qui choisissent d’anonymiser des renseignements pour éviter la réglementation ou pour augmenter la sécurité des données qu’elles recueillent devraient tenir compte de ce qui suit :

  1. L’anonymisation n’est pas seulement une question de modification des données en elles-mêmes, mais une question de protection de celles-ci à l’égard de l’environnement dans lequel elles sont publiées. Il est par conséquent important d’accéder aux propriétés des données, au type d’utilisateur, au type d’application, au type d’accès, au mode de publication et au modèle du pirate afin d’établir le niveau approprié et la forme d’anonymisation pour chaque type de donnée.

  2. Même si un processus d’anonymisation peut sembler sûr sur le plan de la technologie aujourd’hui, cette dernière évolue rapidement et une réévaluation continue est nécessaire.

  3. Il faut établir un processus clair d’anonymisation. Le Commissariat à l’information australien a publié un guide qu’il vaut la peine d’être consulté.

  4. Il est préférable de restreindre plutôt que d’étendre l’accès aux données qui ont été anonymisées.

  5. Il faut également mettre en place un comité de gouvernance de l’anonymisation.

Bien que l’anonymisation ait une place privilégiée dans le traitement des renseignements personnels par une organisation, elle ne devrait pas remplacer la conformité à la législation existante. Notre équipe de Protection des données, sécurité et protection du droit à la vie privée serait heureuse de répondre à vos questions sur l’anonymisation des données ou les autres modes de protection.