L’anonymisation ne garantit pas la protection !
Un bon algorithme retrouve n’importe qui ! L’anonymisation ne protège donc pas. Une découverte de l’UCLouvain et l’Imperial College London.
L’anonymisation n’est plus une garantie de protection. Des chercheurs de l’UCLouvain et de l’Imperial College London ont développé un algorithme pour apprendre à ré-identifier des individus à partir de données anonymisées. Concrètement, l’algorithme peut estimer, avec grande précision, si des données ré-identifiées appartiennent bien à la bonne personne ou non. L’étude est publiée dans la revue scientifique Nature Communications. Et pose une question sensible : nos données sont-elles correctement protégées ? En effet, une donnée «anonymisée» n’est plus considérée comme donnée personnelle. Par conséquent, elle échappe aux régimes de protection des données comme le GDPR…
Ré-identifier, tout simplement
Selon les chercheurs, il serait possible, au départ d’une combinaison de caractéristiques connues, d’identifier un seul individu parmi plusieurs milliards. Dans les faits, 99.98% des Américains seraient correctement ré-identifiés dans n’importe quelle base de données en utilisant 15 attributs démographiques. «Beaucoup de personnes vivant à New-York sont des hommes et ont la trentaine. Parmi elles, beaucoup moins sont également nées le 5 janvier, conduisent une voiture de sport rouge, ont deux enfants (des filles) et un chien», explique Luc Rocher, doctorant, aspirant FNRS au pôle en ingénierie mathématique de l’UCLouvain. Des informations plutôt standard, que les entreprises demandent régulièrement. Et qui permettent de ré-identifier les individus.
Un outil pour comprendre
C’est là tout l’intérêt du modèle développé. En effet, il permet désormais de vérifier la réalité -ou non- de cet anonymat. De même, les chercheurs ont créé un outil en ligne qui, sans sauvegarder les données, peut aider -à des fins de démonstration- à comprendre quelles caractéristiques rendraient les utilisateurs uniques dans les bases de données : https://cpg.doc.ic.ac.uk/individual-risk D’une manière générale, les chercheurs espèrent que leurs résultats permettront de mettre en place des standards plus rigoureux pour déterminer quelles données sont vraiment anonymes, prenant en compte tout risque futur
Ces articles parlent de "Data Intelligence"
Analysis, BI, Prediction, Planning, Boardroom
Follow this Topic
Dans cette étude il ne s’agit pas de données anonymisées mais de données pseudonymisées. L’erreur la plus commise en matière d’anonymisation est de considérer qu’il suffit de supprimer des identifiants tels que le nom, le numéro de sécurité social ou encore le numéro de téléphone pour anonymiser les données. Ce n’est pas suffisant selon la CNIL. Pour plus de précisions, vous pouvez lire cet article:
http://louissondeck.com/2019/07/30/anonymisation-vs-pseudonymisation-la-notion-dirreversibilite/