L’anonymisation est une solution technico-juridique qui permet de faciliter l’exploitation d’informations issues de données personnelles dans le respect des droits et libertés des personnes.

La diffusion ou la réutilisation des données anonymisées respectent la vie privée des personnes concernées.

La réponse à cette question peut être à la fois technique et juridique. Techniquement, sans anonymisation solide, il n’y a pas de garantie de protection des données personnelles face aux attaques d’un utilisateur malveillant (ré-identification, reconstruction, inférences). Juridiquement, l’anonymisation ouvre des potentiels de réutilisation des données initialement interdits du fait du caractère personnel des données exploitées, et permet ainsi aux acteurs d’exploiter et de partager leur « gisement » de données sans porter atteinte à la vie privée des personnes. Elle permet également de conserver l’information au-delà de leur durée légale de conservation.

Puisque le processus d’anonymisation vise à réduire autant que possible les risques d’usage illégitime, l’exploitation future des données est ainsi limitée à certains types d’utilisation. Ces contraintes sont à prendre en compte dès le début du projet.

Pour construire un processus d’anonymisation pertinent, il est ainsi conseillé :

• D’identifier les informations à conserver selon leur pertinence (en particulier, les éléments d’identification directe ne sont bien entendu pas pertinents dans le cadre d’une exploitation statistique des données).
• D’identifier les usages visés (par exemple, comptages, apprentissage d’un modèle IA et lequel).
• D’identifier les sources de connaissance auxiliaire et les attaquants potentiels.

Ce pré-requis permet de guider le choix d’un procédé d’anonymisation à mettre en œuvre : choix d’un modèle formel définissant les garanties de protection offertes, choix d’un algorithme qui aura la charge de supporter les usages visés tout en satisfaisant le modèle choisi (ou conception de cet algorithme !), et choix des divers paramètres du modèles et de l’algorithme (par exemple, niveau de protection adéquat). Ces choix sont déterminants d’une part pour le type et le niveau de protection qui seront offerts aux données, et d’autre part pour les types d’usage et niveaux d’utilité qui seront permis. Il existe de nombreux modèles et algorithmes d’anonymisation et les attaquants potentiels peuvent être variés et nombreux. Si le choix du procédé d’anonymisation est par conséquent difficile, cette étape est cruciale et mérite un examen approfondi !

Les procédés de type Differential Privacy sont aujourd’hui de plus en plus populaires (par exemple, Apple, Google, Uber, LinkedIn, Microsoft, Census Bureau) étant donné leurs propriétés mathématiques intéressantes. Les modèles de type Differential Privacy se concentrent souvent sur la dissimulation de la participation des individus aux données anonymisées et les algorithmes correspondants fonctionnent par perturbation aléatoire.

Comme toute technique de sécurité informatique, il est indispensable que le procédé d’anonymisation soit « à jour » (c’est-à-dire au niveau de l’état de l’art) et paramétré par un niveau de protection suffisant. Les garanties de protection en dépendent directement. De manière complémentaire, l’exécution d’attaques, elles aussi issues de l’état de l’art, peut permettre de mieux comprendre les risques de l’application d’un procédé d’anonymisation candidat et confirmer ou infirmer son choix.

Les techniques d’anonymisation et d’attaque étant amenées à évoluer régulièrement, il est indispensable pour tout responsable de traitement concerné, d’effectuer une veille régulière pour préserver, dans le temps, les garanties de protection des données produites. Cette veille doit prendre en compte les moyens techniques disponibles ainsi que les autres sources de données qui pourraient permettre d’attaquer les informations anonymisées.