webleads-tracker

 

L’anonymat des données serait un mythe

L’anonymat des données serait un mythe

Leurs données ont beau être initialement rendues anonymes, selon un nouveau rapport, 82% des Américains peuvent être malgré cela à nouveau identifiés à partir de leur genre, de leur date de naissance et de leur code postal.

Les données sont devenues essentielles dans le fonctionnement de l’économie d’aujourd’hui. Indispensables aux progrès médicaux comme dans la lutte contre le cancer, elles sont également largement exploitées dans le domaine du ciblage publicitaire. Dans bien des cas, surtout dans le domaine de la santé, les données sensibles sont recueillies de façon anonyme pour pouvoir être partagées ou vendues. C’est ce qui est appelé la « désidentification » : on supprime de la base de données les données permettant d’identifier facilement une personne.

Ces failles de l’anonymisation des données avaient déjà été décrites

Mais toutes ces actions pour rendre anonymes des informations réputées personnelles ne sont pas suffisamment protectrices, révèle un rapport de recherche conjointement publié par l’UC Louvain et de L’Impérial College London. Ces failles de l’anonymisation des données avaient déjà été décrites par des chercheurs de l’Université de Princeton (2014), de Cornell (2017) ou encore dans une enquête du Guardian (2017). Mais dans cette dernière et récente étude, les chercheurs ont calculé la probabilité exacte de la possible identification d’un individu à partir d’un ensemble d’informations rendues anonymes. À cette fin, développer un algorithme d’apprentissage machine, en capacité d’identification des critères peuvent rendre un individu unique dans un groupe donné.

Selon le rapport de l’UC Louvain et de L’Impérial College London, 82% des Américains peuvent être ré-identifiés à partir des trois critères que sont le genre, la date de naissance et le code postal. Et ce pourcentage grimpe à 99,98% à partir de quinze critères démographiques (âge, genre, lieu, métier, etc.). « Beaucoup d’individus résidant à San Francisco sont des hommes et ont la trentaine. Parmi eux, beaucoup moins sont également nés le 10 mars, conduisent une voiture de sport rouge, ont deux enfants et un chien », explique un des chercheurs dans un communiqué de presse. Or, des informations de ce type sont souvent demandées par les entreprises pour le ciblage de leur communication.

Une information rendue anonyme n’est plus considérée comme donnée personnelle et n’est donc pas pris en compte par des dispositifs de protection des données

Les chercheurs de l’UC Louvain et de L’Impérial College London ont rendu public le code source de leur algorithme pour pouvoir reproduire l’expérience. En allant sur leur site web, on peut en effet évaluer, grâce à cet algorithme, la probabilité d’identification d’une personne à partir de sa date de naissance, de son sexe et de son lieu d’habitation.

Le RGPD reste impuissant

Afin de mieux protéger les données à caractère personnel, l’Europe a promulgué le Règlement général européen pour la protection des données (RGPD), effectif  en France depuis le 25 mai 2018. Un dispositif réglementaire pourtant insuffisant, selon le rapport : « Une information rendue anonyme n’est plus considérée comme donnée personnelle et n’est donc pas pris en compte par des dispositifs de protection des données comme le RGPD ». Avant de conclure : « Notre étude remet en question la compatibilité des standards d’anonymisation des données avec les dispositifs réglementaires de protection des données telles que le RGPD ».