L’anonymisation des données personnelles en question.

Depuis mai 2018, un Règlement Général sur la Protection des Données (RGPD) a été mis en place au sein de l’Union Européenne afin d’unifier la protection des données personnelles sur le territoire d’une part, et d’autre part, de renforcer la protection de la vie privée des personnes concernées, c’est à dire nous tous. Alors que se passe-t-il avec ces milliards de données personnelles collectées chaque jour ? Qui en fait quoi ? Peuvent-elles être récupérées ? vendues ? Peut-on encore les utiliser à des fins pas très recommandables malgré le RGPD ? Il semblerait qu’un jeune chercheur français ait trouvé un début de réponse.

L’utilisation de nos données personnelles est soumise à des règles strictes
Comme le précise la CNIL, les données personnelles collectées par des organismes soumis au RGPD doivent l’être dans un but précis, légal et légitime. Les renseignements collectés doivent être appropriés, rigoureusement nécessaires à la finalité du fichier et posséder une durée de conservation limitée dans le temps. Enfin, le collecteur de données doit veiller à la sécurité et à la confidentialité des données personnelles récupérées. À ce sujet, le RGPD a permis à la CNIL d’accentuer sa surveillance auprès des sociétés commerciales qui récupèrent les données, sur ce qu’elles en font et sur les mesures de sécurité mises en place pour les protéger et éviter le piratage. Tout semble parfaitement rodé, des organismes surveillent les abus, nos données sont protégées, quelque part, souvent oubliées sur un serveur ou un cloud. Quel que soit l’organisme à qui vous avez confié ces données personnelles (hôpital, médecin, boutique en ligne, applis de jeux, etc.), son devoir est de les protéger et il a interdiction de les vendre. Sauf s’il les anonymise.

L’anonymisation des données personnelles
Afin de pouvoir tout de même exploiter ces données personnelles, un système d’anonymisation a été instauré, donnant le droit aux collecteurs de les exploiter ou de les vendre sans porter atteinte aux droits de la personne et à sa vie privée. Normalement, les données anonymisées ne permettent pas de retrouver notre identité. Selon la CNIL, « l’anonymisation est un traitement qui consiste à utiliser un ensemble de techniques de manière à rendre impossible, en pratique, toute identification de la personne par quelque moyen que ce soit et de manière irréversible.» Tant qu’il est possible par des recoupements d’informations de retrouver un individu, les données sont toujours considérées comme personnelles.
Ainsi, faire disparaître tout attribut identifiable permet à nos données personnelles d’être analysées ou utilisées à des fins de recherches, de statistiques ou, bien évidemment, dans un but purement marketing et commercial. Et cerise sur le gâteau de ceux qui vont exploiter ces data anonymisées : leur durée de conservation est illimitée.

Qui profite de nos données anonymisées ?
En dehors des chercheurs ou statisticiens, les opérateurs téléphoniques, les banques, la grande distribution, entre autres, sont intéressés par nos données personnelles. Il y aussi les applis smartphone, comme celles qui permettent de suivre son état de santé ou ses performances sportives. Les données personnelles des individus sont devenues un or digital pour quasi tous les secteurs d’activité; d’autant plus qu’avec tous nos objets connectés, il est très facile de nous suivre à la trace, des courses à Carrefour à nos loisirs cachés… C’est ainsi qu’un marché de la donnée personnelle s’est développé de manière exponentielle avec l’accélération de l’économie digitale et l’apparition du fameux « Big Data », ce monstre virtuel qui engloutit toutes les informations que nous laissons quotidiennement sur les réseaux. Les organismes collecteurs se chargent d’anonymiser nos données personnelles et les revendent ensuite à des courtiers qui se chargeront à leur tour de les négocier auprès d’organismes avides d’infos sur nos vies de consommateurs. Puisque c’est bien de cela dont il s’agit aujourd’hui. À titre d’exemple, Google et Facebook engrangent chaque année des milliards de dollars en services publicitaires grâce aux technologies Big Data aujourd’hui bien implantées par ces géants du web.

Pas si anonymes que ça, ces données…
Et c’est la où entre en jeu, Luc Rocher, un jeune chercheur-doctorant en mathématiques appliquées de l’Université de Louvain en Belgique. Accompagné de deux autres collègues (Julien Hendrickx et Yves- Alexandre de Montjoye). Ce jeune natif de la Rochelle a publié les résultats d’une étude sur les limites de l’anonymisation. Il n’est pas le seul à avoir tenté l’expérience mais il a démontré récemment, grâce à un algorithme, qu’il suffisait parfois de quelques attributs, une quinzaine, pour retrouver l’identité d’un individu à partir de données personnelles anonymisées contenant des caractéristiques démographiques. Selon les jeunes chercheurs, recouper différents attributs permettraient d’identifier plus de 99% des Etats-Uniens.

Même si vos données sont anonymisées, on peut vous ré-identifier

Quand on pense que certains courtiers, comme la société Axciom qui achète et revend des données dans plus de 60 pays, affirment posséder plus de 5000 attributs, on peut imaginer que nos données ne sont plus du tout anonymisées et qu’à partir de là, tout est permis, y compris le pire. C’est ainsi qu’en recoupant divers attributs, des journalistes américains ont retrouvé la feuille d’impôts de Donald Trump mais c’est également par recoupements de données personnelles anonymisées qu’un scandale type Facebook-Cambridge Analytica peut se reproduire. (https://fr.wikipedia.org/wiki/Scandale_Facebook-Cambridge_Analytica)

Difficile en tant qu’individu de lutter contre Google ou Facebook mais être conscient de cette réalité et rester vigilant lorsque l’on donne des informations personnelles est le moins que l’on puisse faire. Certes, lire les CGU (Conditions Générales d’Utilisation) est une corvée mais elle vaut parfois la peine; tout comme cliquer sur « en savoir plus » avant d’accepter les cookies. Sinon, il existe des applis «Do Not Track Me» souvent gratuites et faciles à installer.

Quant aux organismes collecteurs, ils ont aussi leur part de travail et de remise en cause d’une anonymisation qui peut s’avérer défaillante. En effet, ceux qui ont mis ou mettent leur système d’information en conformité au RGPD doivent être conscients que même si la donnée collectée et conservée est anonyme, un risque persiste et toutes les mesures de sécurité doivent être mises en œuvre pour l’éviter. Des mesures telles que le contrôle de l’accès des données (Qui accède à quoi pour combien de temps) et l’analyse de la méthode de conservation des données (Comment les données sont conservées, combien de temps, sur quel support…) sachant qu’il est préférable pour les organismes de minimiser les données collectées, de ne conserver que l’essentiel, et surtout, d’archiver hors Cloud.

Cela nous permettra peut-être d’éviter que nos données personnelles se retournent un jour contre nous. Comme le précise Benoît Thieulin, directeur de l’agence La Netscouade et ancien directeur du Conseil national du numérique (CNN) dans une interview pour le magazine «Ça m’intéresse» : « On peut très bien imaginer qu’un jour notre mutuelle nous appellera pour nous dire : vous avez pris 10 kilos, vous ne faites pas assez de sport et vous mangez trop gras, j’augmente votre prime d’assurance. Ce n’est pas de la science- fiction ».

KrissMars

Sources :
https://www.cnil.fr/fr/lanonymisation-de-donnees-personnelles
https://uclouvain.be/fr/decouvrir/actualites/la-recherche-scientifique-c-est-aussi-un-travail-engage-sur-des-questions-d-actualites.html
https://www.caminteresse.fr/economie-societe/qui-exploite-nos-donnees-personnelles-1197308/
https://www.rtbf.be/info/societe/detail_meme-si-vos-donnees-sont-anonymisees-on-peut-vous-reidentifier?id=10277344

Image par Pete Linforth de Pixabay