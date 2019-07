Avec l’entrée en vigueur du RGPD, beaucoup d’individus se sont vu rassuré par la possibilité d’avoir un meilleur contrôle sur leur données personnelles. Du côté des entreprises, on a beaucoup tiré la tête en apprenant qu’on ne pourrait plus faire ce qu’on veut avec les données des consommateurs. Malgré ce règlement, les entreprises ont pu continuer à commercialiser et utiliser des données privées grâce à un mot magique : l’anonymisation.

L’anonymisation des données a été présentée depuis le début des années nonante comme la réponse à toutes les inquiétudes concernant la gestion des données personnelles. Or, avec l’apparition du RGPD, le seul moyen de pouvoir commercialiser des données est devenu celui qui devait historiquement les protéger. Les entreprises traitant des données sensibles ont principalement recours à l’anonymisation pour pourvoir les partager ou les vendre. Ces techniques, appelées désidentification, rendent, en théorie, les individus non-identifiables. Les données anonymes ne sont alors plus considérées comme des données personnelles et échappent aux régimes de protections des données.

Si des études ont tiré la sonnette d’alarme depuis longtemps en démontrant qu’il était possible de réidentifiées partiellement certaines données, aucune adaptation de la législation n’a été jugée nécessaire. Aujourd’hui, la donne devrait changer avec une découverte majeure.

Des travaux réalisé par des chercheurs de l’UCLouvain et de l’Imperial College London démontrent très clairement qu’un algorithme peut estimer, avec grande précision, si des données réidentifiées appartiennent bien à la bonne personne ou non. Concrètement, cela signifie que l’on peut associer un nom et un profil sur base d’une série de données anonymes.

L’algorithme développé évalue la probabilité pour une combinaison de caractéristiques connues (minimum 15) d’être suffisamment précise pour décrire un seul individu parmi plusieurs milliards de personnes. " Une fois que vos données sont anonymisées, vous n’avez plus aucun droit dessus. Le pourcentage que l’on puisse vous identifier doit donc être extrêmement faible. Ici, on démontre l’inverse. ", nous explique Yves-Alexandre de Montjoye, responsable du Computational Privacy Group au Imperial College London.

En utilisant leur modèle de prédiction, les chercheurs de l’UCLouvain et de l’Imperial College London ont démontré qu’avec seulement 15 informations, il était possible que 99,98% des américains seraient correctement réidentifiés dans n’importe quelle base de données en utilisant 15 attributs démographiques, avec des chiffres similaires à travers le monde (16 attributs en ajoutant la nationalité).

Une telle découverte devrait avoir des retombées à plusieurs niveaux. Premièrement, s’il est prouvé qu’une donnée n’est pas effectivement anonymisée, elle retombe sous le cout de la législation RGPD et ne pourra plus être commercialisée sans le consentement de l’individu par exemple. Deuxièmement, cela remet en question de façon globale le principe d’anonymisation et d’accès aux données. Enfin, il va falloir revoir l’ensemble de la législation concernant la protection des données. Au niveau européen et national.

Derrière cette découverte, on retrouve Yves- Alexande de Montjoye, Luc Rocher et Julien Hendrickx. Les trois chercheurs espèrent que leur travaux auront des conséquences positives : " Notre travail aura de l’impact si les standard de protection sont réévalués. Les derniers en la matière datent de 2014. Il est temps de les mettre à jour. ", confirme Yves- Alexande de Montjoye.

C’est ce qu’on appelle jeter un pavé dans la marre. Un pavé scientifique et au service de la protection des données privées de chacun.