A la fois juridique et technique, l’anonymisation est un sujet complexe que le législateur européen et les autorités de contrôle précisent encore aujourd’hui. Les acteurs privés spécialisés dans la fourniture de solutions informatiques ne sont pas en reste et proposent une réponse technologique aux problématiques rencontrées. Quelles sont ces approches de la notion d’anonymisation de la donnée ?
Lorsqu’un projet d’anonymisation débute, la phase de réflexion sur la construction du processus de masquage définitif de la donnée doit répondre à deux questions :
- Quelles données doit-on anonymiser (quantité, qualité, sensibilité) ?
- Quelles finalités sont attendues du traitement d’anonymisation (anonymiser pour s’extraire du cadre du RGPD, sécuriser son système d’information (SI), réaliser un ensemble d’opérations statistiques ou encore développer une intelligence autour de la donnée) ?
Les réponses apportées à ces questions permettent ainsi de préciser le périmètre du projet, les équipes à mobiliser, les budgets à accorder et facilitent, le cas échéant, l’étude relative au choix d’une solution d’anonymisation.
Recommandations de la CNIL
A l’étape de la construction du processus d’anonymisation, les responsables du traitement peuvent s’appuyer sur les orientations de la CNIL. En effet, à l’occasion d’une communication en date du 20 mai 2020, la Commission établit des recommandations au terme desquelles « Pour construire un processus d’anonymisation pertinent, il est conseillé :
- d’identifier les informations à conserver selon leur pertinence.
- de supprimer les éléments d’identification directe ainsi que les valeurs rares qui pourraient permettre une ré-identification aisée des personnes (par exemple, la présence de l’âge des individus peut permettre de ré-identifier très facilement les personnes centenaires) ;
- de distinguer les informations importantes des informations secondaires ou inutiles (c’est-à-dire supprimables) ;
- de définir la finesse idéale et acceptable pour chaque information conservée. »
La Cnil s’appuie également sur l’avis 05/2014 – G29, sur les techniques d’anonymisation pour éclairer l’étape de contrôle du processus d’anonymisation. Ainsi, le processus d’anonymisation est reconnu comme pertinent dès lors que l’individualisation, la corrélation et l’inférence sont rendues impossibles par la mise en place du processus. Un individu ne peut être isolé (individualisation), de nouvelles informations ne peuvent être déduites sur l’individu (inférence) et le croisement de jeux de données distincts concernant un même individu est également rendu impossible (corrélation).
Choix d’une solution
A l’aune des évolutions réglementaires et technologiques, les acteurs privés spécialisés dans la fourniture de solutions informatiques ont développé ou enrichi leurs outils afin de répondre aux besoins croissants de leurs clients en matière de masquage de la donnée.
Les trois principaux leaders du secteur sont : IBM et son « InfoSphere Optim Data Privacy » ; Oracle avec l’option « Data Masking » de son management pack « Oracle Data Masking and Subsetting Pack for Oracle and non-Oracle Databases » ; et Informatica grâce au « Data Masking » de son « Intelligent Data Security ». Outre les détails techniques des solutions proposées par ces éditeurs leurs approches permettent de répondre à la diversité des besoins clients. Monitoring facilité, compatibilité des formats, IA, intégration au SI client, chacune de ces solutions dispose d’un avantage concurrentiel sur l’autre.
La construction d’un processus d’anonymisation « maison » conforme au RGPD, ou encore l’intégration d’une solution dans le SI, ne doivent pas faire obstacle à la prise de décision reposant sur le responsable de traitement.
Antoine Perrot
M2 Cyberjutice – Promotion 2019-2020
Sources :
La Cnil et l’anonymisation des données – Les Infostratèges
Le G29 publie un avis sur les techniques d’anonymisation | CNIL
Avis 05/2014 – G29 : sur les Techniques d’anonymisation
L’anonymisation de données personnelles | CNIL
Introduction Masking Data Using IBM InfoSphere Optim Data Privacy – YouTube
Toute la vérité sur Oracle Data Masking
Sécurité des données : protection et sécurisation | Informatica France
