Smart data, Anne-Tania Desmettre,
Au cours des 18 mois, la gestion des enjeux de sécurité de la donnée personnelle a été altérée par des projets d’anonymisation. Cette technique vise à empêcher de manière irréversible l’identification d’une donnée. Elle consiste à changer la structure ou le contenu de cette donnée, de manière à ce que toutes les informations qui lui sont rattachées soient modifiées ou supprimées afin d’éviter l’identification de l’individu.
L’anonymisation et le RGPD
Pour des raisons qui nous échappent, le marché a rattaché l’anonymisation au RGPD, alors même que l’article 32 « Sécurité du traitement » précise que : « […] le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins : a) la pseudonymisation et le chiffrement des données à caractère personnel ; […] ».
“Pour des raisons qui nous échappent, le marché a rattaché l’anonymisation au RGPD”
Or, nombre d’articles de presse ou de sites prennent la peine de préciser que le RGPD préconise, parmi les différents choix technologiques permettant d’adresser la sécurité de la donnée personnelle : l’anonymisation. Cette technique est, en fait, un procédé cité dans la Loi Informatique et Liberté de 1978. Quelle rémanence !
L’anonymisation : Une garantie de sécurité absolue ?
De telles orientations ne sont pas acceptables de la part de tous ceux qui se veulent être en maîtrise du nouveau règlement, qui se présentent comme tel et qui se positionnent comme expert en transformation numérique. Pourquoi ? Cette technique ne constitue pas une garantie de sécurité absolue et pollue les équipes. En effet, il est possible de reconstituer l’identité d’un individu à partir de données anonymisées dès lors que celles-ci peuvent être croisées avec d’autres données externes ou non et analysées.
“Cette technique ne constitue pas une garantie de sécurité absolue et pollue les équipes”
Analyses statistiques
Autant, il peut être cohérent de rendre anonyme toute une base de données quand leur exploitation se borne à des analyses statistiques pour lesquelles l’identité précise de l’individu n’apporte aucune plus-value. Autant, il devient ubuesque de pratiquer une telle technique « sécuritaire », lorsqu’elle induit des pertes de valeur, de maîtrise et de compréhension de la donnée dans son exploitation économique quotidienne. Cette démarche d’anonymisation, qui au lieu d’apporter de la sérénité dans l’exploitation de la donnée personnelle, provoque perturbations, désorientations et déceptions conséquentes au sein des équipes. Ainsi, les projets coincent, n’avancent pas et agacent.
L’incapacité des équipes
A ce stade des blocages, réside l’incapacité des équipes à définir correctement les finalités pour lesquelles l’anonymisation devrait être pratiquée et d’en identifier correctement les conséquences. Et, il ne peut en être autrement puisque l’anonymisation est alors utilisée pour les mauvaises raisons. En fait, la conformité RGPD ne trouvera son salut que dans des plateformes « GDPR as Code end-to-end-». Avec une telle plateforme, l’anonymisation n’a plus lieu d’être. Elle s’utilise dans les plateformes Big Data lorsqu’elles sont déployées en cloud public, afin d’annihiler tout risque de brèche de confidentialité, et pour l’exploitation de bases de données dédiées aux analyses statistiques.
“En fait, la conformité RGPD ne trouvera son salut que dans des plateformes « GDPR as Code end-to-end-». Avec une telle plateforme, l’anonymisation n’a plus lieu d’être”
Des conseils
Pour toutes ces raisons, il est essentiel de se faire accompagner dans sa transformation numérique pour poser correctement le sujet. Il est primordial de bien sélectionner sa plateforme Big Data, spécialisée dans la donnée personnelle, et de bien choisir les sociétés qui vous accompagnent dans votre transformation et mise en conformité.
