Photo by AbsolutVision on Unsplash

Une autre étude démontre la futilité (relative) du processus d’anonymisation de données personnelles

Article fort intéressant hier dans le magazine Vice, au sujet des résultats d’une recherche d’universitaires (à Harvard) qui démontre bien le peu d’efficacité du processus d’anonymisation, particulièrement quand on se met à faire des recoupements entre différents lots de données.

Comme chacun le sait, les entreprises utilisent largement la technique d’anonymisation pour retirer de leurs données (ou du moins de celles qu’elles partagent avec d’autres), l’identité réelle de chaque usager ou client. Quand on a pris la peine de le faire, en principe (je dis bien en principe), on ne peut savoir à quel individu se rapporte réellement telle ou telle fiche ou tel profil. On atteint alors ce qu’on présente souvent comme un degré d’anonymat, en évitant que l’individu réel soit identifiable. Voilà pour la théorie.

L’étude en question démontre bien à quel point la protection contre l’abus qu’offre (en réalité) l’anonymisation s’avère illusoire. En réalité, en prenant un lot de données (un profil de client dont on a retiré le nom, par exemple), et en comparant ce qu’il contient avec le contenu de lots de données piratées et publiées en ligne, on parvient généralement à renverser le processus d’anonymisation. Aussi, on constate que la combinaison d’à peu près n’importe quel lot de données personnelles avec d’autres lots (notamment des données devenues publiques) permettra généralement de ré-associer ce qu’on sait d’une fiche prétendument anonyme à l’individu réel.

Il s’avère donc relativement facile de traiter n’importe quel lot de données anonymisées pour réidentifier les personnes visées, particulièrement compte tenu des lots de données piratées qui ont fait l’objet de fuites (sur Internet) depuis des années. En pratique, on peut certainement mettre en doute la protection réelle qu’offre aux individus le processus d’anonymisation. Si une entreprise possède (et partage avec d’autres) un profil sur vous, les chances sont qu’il serait possible de vous identifier, y compris grâce à de simples recoupements et à de l’information déjà largement disponible sur Internet.

À placer dans la catégorie: « il n’y en aura pas de faciles! »