Avez-vous une réelle idée du risque que vous courez d’être identifié parmi un ensemble de données anonymes ? Des chercheurs de l’UCLouvain et de l’Imperial College London se sont intéressés à toutes ces données à caractère personnel régulièrement collectées et partagées en principe de manière 'anonymisée'. Et ils ont montré, dans une étude de 2019, qu’il est possible, à partir de vos données apparemment anonymes, de vous réidentifier ! Ils viennent de créer l’Observatoire de l’Anonymat, un observatoire pour préserver son anonymat sur le web.
Pour vous inscrire sur des sites ou pour l’installation d’applications, on vous demande bien souvent des informations telles que votre code postal, votre date de naissance, votre état civil et bien d’autres détails.
"Très rapidement, des données réputées anonymes deviennent non-anonymes, même s’il s’agit d’une combinaison d’éléments simples et anodins comme votre province, votre statut de famille, le type de votre voiture, etc., explique Julien Hendrickx, professeur à l’Ecole Polytechnique de l’UCLouvain. Et effectivement, de façon individuelle, aucun de ces éléments ne vous identifie. Mais leur combinaison, au fur et à mesure, fonctionne comme un tamis et à la fin, vous êtes tout seul, vous êtes la seule personne avec ces caractéristiques. Très rapidement."
Finalement si vous assemblez suffisamment d’informations anodines, c’est comme si vous donniez votre numéro d’identification nationale.
Que peut faire le RGPD ?
Le RGPD, le Règlement général sur la Protection des Données, prévoit une série d’exceptions pour des données à caractère anonyme, des données qui sont censées ne nuire à personne. Comme par exemple, le fait de compter le nombre de personnes dans la rue.
Mais qu’est-ce qu’une donnée anonyme ? Suffit-il que notre nom n’apparaisse pas ?
Les recherches montrent que c’est beaucoup plus compliqué que cela, explique Julien Hendrickx. Le RGPD classifie une donnée d’anonyme quand on ne peut pas réidentifier la personne. Mais on ne sait pas vraiment quand on peut identifier une personne ou pas, puisque dans certains cas, même s’il n’y a pas le nom de la personne ni aucune info individuellement dangereuse, l’étude montre qu’une combinaison de petites informations simples peut permettre de réidentifier une personne, de façon unique.
Des données qui ont l’air anonymes, en fait, ne le sont pas. Et donc le RGPD doit s’appliquer.
Il y a une zone grise dans l’interprétation du RGPD, même si sa finalité est très claire : le RGPD s’applique, pour sa partie données privées, si on ne peut pas vous réidentifier.
"Mais le RGPD ne dit pas comment on fait, parce que c’est un objet de recherche pour l’instant, quand on peut réidentifier les gens ou pas. Tout ce qu’on peut dire, c’est que pour l’instant, on ne sait pas, on n’y arrive pas, mais peut-être que plus tard on pourra. Et nous, on montre que, dans tel ou tel cas où ce n’était pas sûr, oui, on peut."
