Une lecture stricte du RGPD peut décourager les organisations souhaitant anonymiser les données recueillies sur leur site. Pourtant, une approche flexible et progressive permet de protéger les données en privilégiant le pseudonymat (ou quasi-anonymat) et la réduction de la surface d’exposition des données. Focus sur un sujet de plus en plus sensible pour les entreprises sur lequel les lumières d’Arcad Software sont particulièrement instructives.
L’anonymat est-il possible dans le cadre du RGPD ?
C’est la question qui revient en boucle pour les organisations désireuses de sécuriser les données. L’anonymisation des données doit répondre à trois critères cumulables : l’individualisation (peut-on isoler un individu), la corrélation (peut-on relier des données différentes sur un même individu) et l’inférence (peut-on déduire de l’information sur un individu). Ces trois critères rendent quasiment impossible une anonymisation totale, notamment au niveau du responsable du traitement de l’information au sein de l’organisation.
L’anonymisation complète et absolue des données demande la mise en place de solutions techniques extrêmement lourdes et coûteuses (qui impliquent notamment des serveurs dédiés et des équipes techniques capables d’en comprendre les résultats), qui sont de nature à décourager toute organisation à les mettre en œuvre. Ce n’est toutefois pas une raison pour renoncer à avancer en matière d’anonymisation des données dans le cadre du RGPD.
Du concept à la pratique : une approche pragmatique
Loin des débats ésotériques sur l’anonymisation à 100%, il est évident pour tous les acteurs du traitement d’information que le fait de voir un responsable du traitement de l’information pouvoir remonter à l’individu dans un ensemble anonymisé, est une pratique acceptable et représentant un risque très limité pour l’organisation, mais aussi et surtout pour l’individu ayant confié ses données personnelles.
C’est la clé du débat. La meilleure arme pour anonymiser les données se trouve dans la réduction de leur exposition aux seules personnes en ayant besoin dans le cadre de leur traitement. Les principales surfaces d’exposition des entreprises ne se trouvent pas dans les environnements de production de données. C’est en protégeant les données recueillies des autres surfaces d’exposition (site, applications…) que l’on peut protéger au maximum la sécurité des données recueillies.
Lancer la démarche vers une anonymisation partielle
En matière d’anonymisation des données, le mieux peut être l’ennemi du bien et il est important pour les organisations d’initier le processus d’anonymisation des données même si elles doivent être conscientes qu’il demeurera incomplet. Une anonymisation partielle que l’on peut qualifier de pseudonymisation, qui offre toutefois un niveau de protection très satisfaisant dans la plupart des cas.
La pseudonymisation améliore le niveau de mise en conformité avec le RGPD. Elle permet de réduire significativement les risques pour des budgets acceptables et représente une première pierre améliorable dans l’anonymisation des données. Il faut en effet concevoir la pseudonymisation comme une démarche progressive et une optimisation constante des standards.
Comme l’indique un expert de l’anonymisation chez Arcad Software, qui a écrit un article de référence sur le sujet, « il convient de distinguer les usages, et de compartimenter les besoins afin d’avoir une maîtrise totale de ce que vous utilisez ». Et le spécialiste d’insister en expliquant qu’un « projet d’anonymisation vit dans le temps, non seulement parce qu’il ne sera pas parfait du premier coup, mais aussi parce que les algorithmes efficaces aujourd’hui ne le seront peut-être pas demain. Vous avez donc le temps et la possibilité de mettre en place un processus d’amélioration continue pour, à terme, arriver à une anonymisation parfaite de tous les éléments de votre système d’information. Vous pouvez donc commencer petit et prendre le temps de bien faire ».