journée d’etudes les données de la recherche : enjeux...
TRANSCRIPT
JOURNÉE D’ETUDESLES DONNÉES DE LA RECHERCHE : ENJEUX, PRATIQUES ET SERVICES
PROTECTION DES DONNÉES PERSONNELLES
ET PROFESSIONNELLES DU CHERCHEUR
FRANCK BLANC(CIL UNIVERSITE NICE SOPHIA ANTIPOLIS ET UNIVERSITE COTE D’AZUR)
Nice, le 23 Juin 2016
SOMMAIRE
• Que doit-on entendre par la protection des données personnelles ?• Comment cette protection est organisée en Europe et en France
actuellement ?• Et demain : le règlement européen. Quelles sont les nouvelles
orientations notamment pour les travaux de recherche ?
Les informations présentes dans cette intervention sont largement issues des présentations réaliséespar les Juristes et experts de la CNIL à destination des Correspondants Informatique et Libertés et diffusées avec leurs accords
LA PROTECTION DES DONNÉES PERSONNELLES:LES 4 PILIERS
• En Europe un droit fondamental et une régulation par la loi– Des droits sur ses données– Des règles de bon usage– Une autorité de contrôle indépendante– Des sanctions en cas de non respect des règles
• Dans le monde, une disparité de situations… mais 51 pays ont des lois de protection des données de niveau équivalent
LA PROTECTION DES DONNÉES PERSONNELLES EN EUROPE ET EN FRANCE
La directive européenne du 24 octobre 1995 mais en 2018 mise en œuvre du règlement européen (voté en 2016)
La loi informatique et libertés du 6 janvier 1978 modifiée en 2004: une éthique du numérique appliquée aux données personnelles
La CNIL, une autorité administrative indépendante
LA CNIL EN BREF
• Une autorité administrative indépendante
– 17 membres + le défenseur des droits
– Services: 185 personnes
– Budget 2016: 18 millions d’euros
• Une triple mission
– Contrôle : déclarations et contrôlessur place et en ligne
– Sanction
– Information, conseil
• + de 90 000 déclarations/an
• Correspondants informatique et libertés: +16 600 organismes
• guides pratiques, tutoriels video
• 6000 plaintes/an• + de 400 contrôles/an• 62 mises en
demeure; 18 sanctions dont 8 financières en 2014
CNIL - Chiffres Clés 2014CONSEILLERETRÉGLEMENTER
2277DÉCISIONSET DÉLIBÉRATIONSdont 390 autorisationsdont 100 avis15 autorisations uniques3 normes simplifiées
PROTÉGER
5825PLAINTESdont 39 %concernent internet
5246DEMANDESDE DROITD’ACCÈSINDIRECT(+ 22 %)(FICHIERSDEPOLICE, DE GENDARMERIE, DE RENSEIGNEMENT, FICOBA, ETC.)
6656VÉRIFICATIONS RÉALISÉES
MOYENSDELACNIL
185POSTES
38,5ÂGE MOYEN
63%DE FEMMES
37%D’HOMMES 92663
DOSSIERSDEFORMALITÉS REÇUS
11892DÉCLARATIONS POURLESSYSTÈMESDEVIDÉOSURVEILLANCE
6123DÉCLARATIONS POURDESDISPOSITIFS DEGÉOLOCALISATION
401AUTORISATIONS ENMATIÈRE DE BIOMÉTRIE
3 PACKSDE CONFORMITÉ
ACCOMPAGNERLACONFORMITÉ
34ATELIERSD’INFORMATIONQUI ONTACCUEILLI 1 000 PARTICIPANTS
14 441ORGANISMESONT DÉSIGNÉUN CORRESPONDANTSOIT 4000 CIL
62MISESEN DEMEURE
18SANCTIONSdont 8 sanctionsfinancières7 avertissements3 relaxes
421CONTRÔLESdont 88 contrôles vidéo58 contrôles en ligne
CONTRÔLERETSANCTIONNER
34NOTIFICATIONSDE VIOLATIONSDE DONNEESPERSONNELLES
INFORMER
37120COURRIERSREÇUS
133213APPELSTÉLÉPHONIQUES
130INTERVENTIONS
LA CNIL ÉVOLUE…
• Mieux répondre aux besoins des usagers: service besoin d’aide,FAQ, refonte du site cnil.fr,
• Contribuer à la formation et à l’éducation au numérique: kits pédagogiques, www.educnum.fr, concours…
• Promouvoir une démarche de conformité: labels (+ de 50),packs, et PIA…Simplifier les procédures (AU)
• Avoir une politique de contrôles et de sanctions + ciblée• Développer la concertation, la réflexion prospective et éthique:
open data, vie privée 2020, santé connectée, voiture connectée…les lettres et cahiers IP
• Accompagner l’innovation et la recherche
LA CNIL ET LA RECHERCHEPartenariats: CPU – CGE – INRIA - Institut Mines-Telecoms
Membre de la Commission de réflexion sur l’ethique de la recherche en sciencesdu numérique (Cerna) de l’alliance Allistene
Actions de sensibilisation auprès des milieux universitaires et de la recherche
Participation à des travaux de recherche: partenaire de la chaire de recherche del’institut mines-telecoms VPIP sur valeurs et politiques des informationspersonnelles- projet mobilitics sur les smartphones avec Inria…appel à projets dans le cadre des PIA,
Accompagnement de projets de recherche ( big data, web social…)
Participation à certains comités de l’ANR
Projet de guide pratique, vade mecum pour les chercheurs
Prochain lancement d’un prix européen INRIA- CNIL…
DONNÉE À CARACTÈRE PERSONNEL VERSUS ANONYMAT
Toute information relative à une personne physiqueidentifiée ou identifiable, directement ou indirectement parréférence à un numéro d’identification ou un ou plusieurséléments spécifiques ou par recoupement
LE TRAITEMENT: UN CHAMP TRÈS LARGE
• Toute opération ou tout ensemble d’opérations portant sur desdonnées, quel que soit le procédé utilisé, et notamment la collecte,l’enregistrement, l’organisation, la conservation, la modification, l’extraction,la consultation, l’utilisation, la communication par transmission, diffusion outoute autre forme de mise à disposition, le rapprochement oul’interconnexion, le verrouillage, l’effacement ou la destruction.
• Bases de données, dispositifs biométriques, réseauxsociaux, applications mobiles, big data…
RESPONSABLE DE TRAITEMENT• La personne, l’autorité publique, le service ou l’organisme qui détermineses finalités et ses moyens .
• C’est en principe au représentant légal de l'organisme pour le compteduquel le traitement est mis en œuvre de veiller au respect des dispositionsde la loi « I&L » ➔ président / directeur / de l'établissement d'enseignementsupérieur, de l'organisme de recherche ou de la structure privée concernée.
• Cas des «structures fédératives/associées», des partenariats, consortiums:
• directeur UMR = responsable de traitement et libre du choix du CIL
• Recommandation: en cas d’absence de CIL dans l’établissement Universitaire, désigner le CIL de l’EPST : CNRS
LA GRILLE D’ANALYSEDE LA PROTECTION DES DONNÉES
Des mesures de sécurité doivent être prises pour garantir la confidentialité et l’intégrité des données
Les guides pratiques de sécurité
Proportionnalité etpertinence
Durée de conservation
Les informations recueillies et traitées doivent être pertinentes et nécessaires au regard des objectifs poursuivis
Protection particulière pour certaines catégories de données ( données dites sensibles, N° de sécu, biometrie…)
Une durée de conservation doit être définie en fonction de la finalitéAu-delà , archivage, effacement, anonymisation sauf recherche ultérieure
Les données sont recueillies et traitées pour un usage déterminé et légitime,préalablement défini
la spécificité des finalités de recherche
Sécurité et confidentialité
Finalité
Les personnes concernées doivent être informées et disposent d’un droitd’accès, de rectification, de suppression et d’opposition/consentement sur leurs données
Les dérogations possibles – la question du consentement
Respect des droitsdes personnes
DÉCLARATIONS, EXONÉRATIONS ET AUTORISATIONS
• Les applications et fichiers hors du champ de la loi/exonérés dedéclaration par la loi ou par la CNIL
• fichiers de personnes morales, activités exclusivement personnelles ( ex. agendas)• fichiers des membres des partis politiques, syndicats et églises
• fichiers de paie , fichiers de fournisseurs, information et communication externes, …
• Les applications courantes soumises à déclaration, sauf CIL:• gestion RH, fichiers étudiants, recherches hors données
sensibles…• Lesapplications à risque soumises à autorisation ou avis de la CNIL:• traitements de données sensibles ( y compris à des fins de recherche),
dispositifs biometriques, fichiers de police, téléservices, interconnexions,flux transfrontières sous certaines conditions
• Le cas particulier des recherches médicales soumises à autorisation de la CNIL après avis d’un comité scientifique
CE MODE DE RÉGULATION EST-IL ADAPTÉAUX NOUVEAUX DÉFIS?
• du tout numérique, de l’homme augmenté
• des modèles économiques du numérique
• et de la globalisation,
• des usages et des comportements
• de la sécurité…
RECHERCHE ET STATISTIQUES: ÉLÉMENTS DE RÉFLEXION - VERS UN ENCADREMENT SPÉCIFIQUE?
• La question de la définition du champ?
• Les nouveaux enjeux: big data, open data, cloud, objets connectés,modèles économiques du numérique, GAFAM (1) et NATU (2)…
• Données du web social et loyauté de la collecte
• Quels contrôles sur les recherches et par qui?
• Quelles dérogations et quelles contreparties?
(1) Google, Apple, Facebook, Amazon, Microsoft
(2) Netflix, Air BNB, Telsa et Uber valorisation boursière comparable
au budget annuel de la France
PJL NUMERIQUE:LES EVOLUTIONS EN COURS
• Allègement des formalités pour certaines recherches nécessitant l’appariement de données sur la base d’un NIR « chiffré »:du décret en CE à une autorisation CNIL ( art 18II)
• Travaux en cours pour une autorisation unique
• Renforcement des sanctions: 20 millions d’euros ou 4% du CAM
• Droit à l’oubli des mineurs
• Mort numérique
LE FUTUR RÈGLEMENT EUROPÉEN:LES ORIENTATIONS
Renforcer les droits des personnespour développer la confianceet contribuer à l’essor de l’économie numérique
Assurer une plus grande harmonisation des règles de protectiondes données tout en renforçant la responsabilité des entreprises
Affirmer la dimension mondiale de la protection des données
Renforcer le rôle des autorités de protection des données (APD)et du groupe européen des APD, le G29
LE CALENDRIER
Commission Européenne
Publication du Projet deRèglement
TRILOGUEentre CE, PEet Conseil
VOTE au Parlement
VOTE au Conseil
Adoption du texte:
Commission LIBE: 17/12
Coreper 18/12
Le règlement est
applicable Abrogation
de la directive 95/46/CE
1er lecture
Aujourd’hui
UN CHAMP D’APPLICATION MATÉRIEL LARGE
Le règlement s’applique « au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de donnéesà caractère personnel contenues ou appelées à figurer dans un fichier […] »
En revanche, il ne sera pas appliqué aux traitements mis en œuvre par :
- les institutions, organes et agences de l’Union européenne (règlement CE n° 45/2001)
- les Etats membres dans le cadre de la politique étrangère et de la sécurité commune
- les personnes physiques dans le cadre d’une activité personnelle ou domestique
- les autorités publiques à des fins de prévention et de détection des infractions pénales,d’enquêtes et de poursuites en la matière, d’exécution de sanctions pénales ou deprotection contre des menaces pour la sécurité publique et de prévention de tellesmenaces. Ces traitements font l’objet de la Directive « Police justice »
UN CHAMP D’APPLICATION TERRITORIAL ÉTENDU
• Le règlement s’applique dès lors qu’un de ces deux critères est présent :
- le responsable de traitement ou le sous-traitant est établi sur leterritoire de l’Union européenne
• OU- le responsable de traitement ou le sous-traitant n’est pas établi sur le
territoire de l’UE, mais met en œuvre des traitements visant à fournirdes biens et des services aux résidents européens ou à les surveiller(monitor)
DES PRINCIPES PRÉCISÉS
• Les grands principes•collecte loyale et transparente•principe de finalité (légitime, explicite et spécifique) et possible réutilisation des
données pour des traitements ultérieurs sous certaines conditions•principe de proportionnalité des données (adéquates, pertinentes et non
excessives)•durée de conservation limitée•Garantie d’une sécurité appropriée des données
DES PRINCIPES PRÉCISÉS
• Les bases légales
- distinction entre les données à caractère personnel et les données sensibles pour lesquelles le principe d’interdiction est maintenu. La définition des donnéessensibles est étendue (prise en compte des données génétiques)
- bases légales renforcées (consentement)
• De nouvelles définitions
-données génétiques, données de santé, données biométriques,PSEUDONYMISATION, traitement transnational, profilage, établissement principaldu Responsable de traitement – Sous traitant , BCR (binding corporate rules to facilitate the international data transfers formalities) , autorité de contrôleconcernée, …
RENFORCEMENT GLOBAL DES DROITS EXISTANTS
- obligation générale de faciliter l’exercice des droits (fourniture d’une informationclaire, intelligible et aisément accessible)
- information renforcée (ex. transferts hors de l’UE)
- droit d’accès précisé (ex. : possibilité d’introduire une réclamation devant une «CNIL »)
- droit de rectification maintenu
- droit à l’effacement et à l’oubli numérique confirmé
- clarification de l’expression du consentement (charge de la preuve incombe auRT/non ambigüe)
RENFORCEMENT GLOBAL DES DROITS EXISTANTS
Les nouveaux droits- la portabilité des données- la limitation du traitement- conditions particulières pour le traitement des données des enfants
INTRODUCTION DU PRINCIPE D’ACCOUNTABILITY• Les RT et les ST ont une obligation générale de mettre en place des mesures
appropriées et de démontrer cette conformité à tout moment :c’est l’ accountability.
• Plusieurs outils permettent de respecter cette obligation. Ils peuvent être modulés en fonctiondes risques encourus pour les droits et les libertés des personnes :
l’application des principes de privacy by design et privacy by default
la conduite d’analyses d’impact, ou « DPIA »
la tenue d’un registre des traitements mis en œuvre
la notification de failles de sécurité (aux autorités et personnes concernées)
la consultation de la CNIL pour certains traitements présentant des risques élevés
la certification de traitements et l’adhésion à des codes de conduite
LE CIL À L’HEURE EUROPÉENNEDésignation d’un délégué à laprotection des données obligatoire :
• Si le traitement est mis en œuvre parune autorité ou un organisme public
• Si les activités de base de l’organisme consistent en des traitements à grande échelle qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées. ( ex banques, assurances…)
• Si les activités de base de l’organisme consistent en des traitement à grande échelle de données sensibles (article 9) ou de données relatives aux condamnations et infractions spéciales (article 9a).
Les missions: •Informe et conseille l’organisme et les salariés traitant des données à caractère personnel sur les obligations qui leur incombent•Pilote la conformité au règlement, à d’autres dispositions du droit européen ou national et aux règles internes du RT ou du ST (sensibilisation, formation du personnel, audits,…)•Dispense des conseils en ce qui concerne l’analysed’impact (PIA ou EIVP) et surveille son exécution•Coopère avec l’autorité de contrôle et fait office depoint de contact pour les personnes concernées•En tant que pilote, il s’assure de la bonne tenue dela documentation relative aux traitements dedonnées personnelles
LA COMPÉTENCE ÉTENDUEDES AUTORITÉS NATIONALES
Les DPA (= les« CNIL ») Les DPA sont compétentes sur leur territoire national dès lors que :
• l’établissement est situé sur le territoire• des résidents sont impactés par le traitement
La DPA de l’établissement principal du RT – ST est l’autorité chef de filepour les traitements transnationaux
Les DPA ont plusieurs missions, dont les suivantes :•sensibilisation du public, conseil aux RT – ST• conseil du Parlement et du Gouvernement national• traitement des réclamations• contrôles sur l’application du règlement, enquêtes au niveau européen• sanctions en cas de manquement aux dispositions du règlement•approbation des codes de conduites, certifications et outils de transferts hors de l’Union européenne•agrément des organismes chargés du suivi des codes de conduite et de la délivrance des certifications• mise à jour d’une liste des traitements à risques
LA COOPÉRATION ENTRE AUTORITÉS COMPÉTENTESLe mécanisme de coopération renforcée pour les traitements transnationaux, ou
« one-stop-shop »
La DPA chef de file est celle dont le RT – ST a sonétablissement principal établi sur le territoire national
La DPA chef de file rédige des projets de mesures et les propose à toutes les DPA compétentes
Lorsqu’il n’y a pas d’objections sur les projets proposés, alorsles mesures sont réputées adoptées
S’il y a des objections et que les DPA ne parviennent pas à semettre d’accord, alors l’organe européen, l’EDPB, est saisi
LA GOUVERNANCE EUROPÉENNE INSTAURÉE
L’EDPBEuropean Data Protection Board
Organe de l’UE réunissant les DPA des Etats membres.Structuré, il succédera au groupe du G29 lorsque le
règlement sera applicable
L’EDPB interviendra de deux manières principales :-via des AVIS sur les éléments relatifs à l’accountability, et de manière générale aux questions de doctrine-via des DECISIONS contraignantes lorsque qu’il y a lieud’arbitrer un litige ou un différent entre plusieurs DPAcompétentes
DES SANCTIONS ENCADRÉES,GRADUÉES ET RENFORCÉES
Limiter temporairement
ou définitivement un traitement
Suspension des flux de
données hors UE
Amendes administratives- 10 000 000€ / < 2
% du chiffred’affaires mondial
(CAM)- 20 000 000€ / <
4% CAM
Mise en demeure de se
mettre en conformité
DES VOIES DE RECOURS DÉCLINÉES
Droit à un recours
juridictionnel contre un RT -
ST
Droit à un recours
juridictionnel contre une DPA
Droit à un recours collectif
Une personnepeut mandater un
tiers pourintroduire uneréclamation en
son nom
Droit à réparation pour
les usagersRéparation en
cas de dommage
matériel ou immatériel
LE CADRE DES TRANSFERTS HORS DE L’UNION MIS À JOUR• Un chapitre est dédié aux transferts de données
vers les pays tiers ou les organisations internationales
• Des principes maintenus- l’interdiction de transférer des données hors de l’UE est maintenue
- sauf lorsque des garanties suffisantes sont apportées (niveau de protection adéquat,clauses contractuelles, etc.)
- des exceptions sont prévues lorsque des garanties n’encadrent pas le transfert(avec les USA le Safe Harbor a été invalidé, place au Privacy Shield)
• Reconnaissance d’outils de transferts supplémentaires- les règles d’entreprise contraignantes ou « BCR » (RT et ST)
- les codes de conduites et les certifications
- les instruments juridiquement contraignants et exécutoiresentre les autorités ou organismes publics
LES RÉGIMES DÉROGATOIRES
• Le règlement prévoit des dispositions spécifiques, notamment par renvoi au droit national,soit en raison de la nature des données traitées, soit au regard des activités du RT - ST :
les traitements relatifs à la santé publique les traitements de données en matière d’emploi les traitements nécessaires à l’exécution d’une mission d’intérêt public ou
relevant de l’exercice de l’autorité publique les traitements à des fins d’archivage dans l’interêt public ou à des fins de
recherche scientifique, historique, ou à des fins statistiques ( art 5-9 et 83):Dérogations possibles à l’information ( art 14.4) droit à l’oubli
( art 17.3), droit d’opposition ( art 19.2.aa)Mesures techniques et organisationnelle (ex Pseudonymisation)
PRATIQUE DE L’ANONYMISATION / PSEUDONYMISATIONSUR DES DONNÉES À CARACTÈRE PERSONNEL
DES RISQUES DE RÉ-IDENTIFICATION AVÉRÉS
Massachusetts (2001) : croisement d'une base de données médicale pseudonymisée et une liste électorale avec des données nominatives.
(code postal, date de naissance et sexe) => ré-identification de 90% desindividus
Sweeney a pu relier des données médicales au gouverneur du Massachusetts.
Etude réalisée par des chercheurs du MIT : une base de données d’horodatage des antennes-relais (GSM) considérée a priori comme anonyme.
4 points de localisation => permet de ré-identifier 90% des individus
DÉFINITIONS - DONNÉES
Une donnée anonyme n’est plus une donnée à caractère personnel.
Une donnée anonyme sort du champ d’application de la loi.
Les personnes concernées n'ont plus de droits à faire valoir.
Les utilisateurs de ces données sont exonérés de formalités.
Un jeu de données pseudonymisé n’est pas anonyme.
DOMAINES D'APPLICATION
L’ANONYMAT DANS LE CADRE DE L’AVIS DU G29Un jeu de données est anonyme :
1. si une analyse de risques de ré-identification a été effectuée à la satisfaction des autorités compétentes.
– en France => risques résiduels nuls.2. OU s’il est démontré qu’il n’est pas possible :
– d’isoler/d’individualiser des informations relatives à un seul individu (est-il possible
• de distinguer une ou plusieurs données relatives à un individu ?) ;
– de relier/corréler les données d’un même individu ou groupe d’individus (est-il possible derelier les données concernant un individu avec d’autres données du même jeu de données ouavec une autre base de données ?) ;
– de déduire/d’inférer d’un ensemble d’attributs la valeur d’un autre attribut (est-il
• possible de déduire de nouvelles données relatives aux individus concernés ?).
AVIS DU G29 : TECHNIQUES D’ANONYMISATION
L'avis pose les critères et examine les principales techniques d’anonymisation : principes,points forts et points faibles, erreurs courantes et échecs de chaque technique.
Techniques d’anonymisation
Elles peuvent apporter des garanties (..) mais uniquement si leur application estcorrectement conçue – ce qui suppose que les conditions préalables (le contexte) et lesobjectif(s) du processus d’anonymisation soient clairement définis.
Le choix de la solution optimale devrait s’opérer au cas par cas, en utilisantéventuellement une combinaison de techniques différentes.
RECOMMANDATIONS : AVANT DE COMMENCER
- Déterminer l’objectif et les usages des données anonymes ;⇒ Pourquoi est-ce que je veux des données anonymes ?
⇒ A quoi les données vont - elles servir ?- Évaluer si l’anonymisation est réellement l’objectif à atteindre ;
⇒ A-t-on besoin d’information au niveau des individus ?
⇒ A-t-on suffisamment d’individus concernés pour garder les attributs intéressants ?
⇒ Est-on prêt à perdre de l’information ?
- Supprimer les éléments d’identification directe et les valeurs rares ;
- Définir les attributs importants, secondaires et inutiles (i.e. supprimables);
- Définir la granularité optimale et acceptables pour chaque attribut à conserver.
- Définir les priorités.
RECOMMANDATIONS : PRÉPARATION DES DONNÉES
Supprimer les éléments d’identification directe et les valeurs rares ;
Définir les attributs importants, secondaires et inutiles (i.e. supprimables);
Définir la granularité optimale et acceptables pour chaque attribut à conserver.
Définir les priorités.
PRÉPARATION
Attributs inutilesAttributs importants Attributs secondaires
Nom Prénom Age Sexe adresse ville IMC Pathologie
Diabète
XXXX XXXX 37 M X Paris 24,7 type 1Diabète
XXXX XXXX 34 M X Lyon 23,4 type 1XXXX XXXX 37 M X Nantes 31,5 Diabète
type 2
XXXX XXXX 35 M X Paris 21,9 Diabète
type 1
Diabète
XXXX XXXX 34 M X Bordeaux 24,9 type 2Diabète
XXXX XXXX 35 F X Saint Denis 22,8 type 2Diabète
XXXX XXXX 34 F X Nanterre 20,3 type 1
Granularité et priorités :1. Age à l’année dans l’idéal, mais par tranche de 5 ans au minimum ;2. Sexe ;3. IMC dans l’idéal au point prés mais acceptable par tranche de 5 points ;4. Ville répartition statistique au minimum, exact au mieux.
RECOMMANDATIONS : CRÉER SA SOLUTION « SUR-MESURE »
Combiner les techniques d’anonymisation ; Techniques d’altération de l’information
– Ajout de bruit, permutation de valeurs, etc.
Techniques de généralisation
– Agrégation, k-anonymat/l-diversité/t-proximité
Documenter les choix (techniques choisies, paramètres, etc.) ; Effectuer, et faire valider, une analyse de risque si des critères manquent en prenant encompte : toutes les sources de données possibles (open data, sources privées, etc.) ;
l’intérêt des données, force de « l’attaquant » (famille proche, grands acteurs, etc.).
EXEMPLE DE TECHNIQUES D’ALTÉRATION DE L’INFORMATIONAJOUTER DU BRUIT
Principe : Altérer la justesse de l’information en ajoutant de l’aléa
Analyse : Isoler : toujours possible
Relier : fonction du bruit, faux positifs à anticiper
Déduire : partiellement, faux positifs/négatifs à prévoir
Points de vigilance: Assurer la cohérence de l’aléa;
Ajouter du bruit, seul, est rarement suffisant.
EXEMPLE DE TECHNIQUES D’ALTÉRATION DE L’INFORMATIONPERMUTERPrincipe :
Mélanger les valeurs d’attributs au sein du jeu de données
Analyse : Isoler : toujours possible
Relier : en fonction des attributs permutés
Déduire : partiellement mais de fausses déductions à prévoir
Points de vigilance: Permuter uniquement des attributs secondaires;
Conserver la logique des attributs ;
La permutation, seule, est rarement suffisant.
ALTÉRATION DE L’INFORMATIONNom Prénom Age sexe adresse ville IMC Pathologie
XXXX XXXX 37 M X Bordeaux 24,7 Diabète
type 1
XXXX XXXX 34 M X Nanterre 23,4 Diabète
type 1
XXXX XXXX 37 M X Saint Denis 31,5 Diabète
type 2
XXXX XXXX 35 M X Nantes 21,9 Diabète
type 1
XXXX XXXX 34 M X Paris 24,9 Diabète
type 2
XXXX XXXX 35 F X Lyon 22,8 Diabète
type 2
XXXX XXXX 34 F X Paris 20,3 Diabète
type 1
TECHNIQUES DE GÉNÉRALISATIONPrincipe :
Changer la granularité des valeurs pour former des groupes d’individus.
Différents objectifs : k-anonymat : au moins k personnes ont le même profil ;
l-diversité : + au moins l valeurs pour chaque attribut
t-proximité : + la répartition des valeurs est proche de la distribution initiale.
Analyse :
Isoler : plus possible
Relier : uniquement par groupe
Déduire : plus possible si le jeu de données est l-diverse ou t-proche.
Points de vigilance:
Utiliser des groupes assez grands (plus k est grand plus, la technique est protectrice);
Considérer tous les attributs pour constituer les groupes;
Pour la l-diversité, choisir des valeurs d’attributs qui font sens.
GÉNÉRALISATIONAge sexe ville IMC Pathologie
adresse
37 M X Bordeaux 20-25 Diabète type 1
34 M X Nanterre 20-25 Diabète type 1
37 M X Saint Denis 30-35 Diabète type 2
35 M X Nantes 20-25 Diabète type 1
34 M X Paris 20-25 Diabète type 2
35 F X Lyon 20-25 Diabète type 2
34 F X Paris 20-25 Diabète type 1
CE JEU DE DONNÉES PEUT-IL ÊTRE CONSIDÉRÉCOMME ANONYME ?
Ce jeu de données final respecte un seul des trois critères : il n’est pas possible de corréler les données avec un autre jeu dedonnées.
Il reste pourtant possible d’inférer : si une femme de 34 ans arépondu au questionnaire, alors elle a un diabète de type 1.
Pour que le jeu de données soit effectivement anonyme sur lescritères du G29, il faudrait, par exemple, supprimer le sexe.
CROISEMENT DES CRITÈRES ET DES TECHNIQUES
Chacune des familles de techniques permet de modulerun ou plusieurs des critères du G29.
Reste-t-il un risque d’individualisation ?
Reste-t-il un risque de corrélation ?
Reste-t-il un risque d’inférence ?
Pseudonymisation Oui Oui OuiMinimisation Oui Peut-être pas* Peut-être pas*Randomisation Oui Peut-être pas* NonGénéralisation Non Peut-être pas* Peut-être pas*
CONCLUSION DU PROCESSUS D’ANONYMISATION
Ce jeu de données final respecte un seul des trois critères : il n’est pas possible de corréler les données avec un autre jeu dedonnées.
Il reste pourtant possible d’inférer : si une femme de 34 ans arépondu au questionnaire, alors elle a un diabète de type 1.
Pour que le jeu de données soit effectivement anonyme sur lescritères du G29, il faudrait, par exemple, supprimer le sexe.
CONCLUSION DU PROCESSUS D’ANONYMISATION
Si les trois critères définis par le G29, sont réunis, le risque de ré-identification des personnes concernées est négligeable, et les données obtenues via le processus d’anonymisation
- peuvent être considérées comme anonymes ;
- ne sont plus des données à caractère personnel ;
- et ne sont donc plus soumises à la LIL.
Si les trois critères nesont pas réunis, une étude des risques de ré- identification doit être menée par leresponsable de traitement.
RECOMMANDATIONS : APRÈS
Rendre publique les techniques (ou types de techniques) utilisées ;⇒Limiter les biais induits par les techniques utilisées.⇒Effectuer une veille des techniques d’anonymisation et de ré-
identification.
RETOUR SUR LA PSEUDONYMISATION
Si la pseudonymisation ne satisfait pas lesexigences del’anonymisation, elle reste utile.Elle permet de limiter la gravité des impacts potentiels.
Cas de certaines données de santé pour lesquelles il peut être utilede retrouver l’identité de la personne.
Traitements aux fins de recherche qui justifient qu’on n’appauvrisse pasles données pour ne pas compromettre des exploitations ultérieurs.