Tendances Première

Données personnelles: Sur le web, si vous donnez certaines infos anodines, c’est comme si vous donniez votre nom


Avez-vous une réelle idée du risque que vous courez d’être identifié parmi un ensemble de données anonymes ? Des chercheurs de l’UCLouvain et de l’Imperial College London se sont intéressés à toutes ces données à caractère personnel régulièrement collectées et partagées en principe de manière 'anonymisée'. Et ils ont montré, dans une étude de 2019, qu’il est possible, à partir de vos données apparemment anonymes, de vous réidentifier ! Ils viennent de créer l’Observatoire de l’Anonymat, un observatoire pour préserver son anonymat sur le web.
 

Pour vous inscrire sur des sites ou pour l’installation d’applications, on vous demande bien souvent des informations telles que votre code postal, votre date de naissance, votre état civil et bien d’autres détails.

"Très rapidement, des données réputées anonymes deviennent non-anonymes, même s’il s’agit d’une combinaison d’éléments simples et anodins comme votre province, votre statut de famille, le type de votre voiture, etc., explique Julien Hendrickx, professeur à l’Ecole Polytechnique de l’UCLouvain. Et effectivement, de façon individuelle, aucun de ces éléments ne vous identifie. Mais leur combinaison, au fur et à mesure, fonctionne comme un tamis et à la fin, vous êtes tout seul, vous êtes la seule personne avec ces caractéristiques. Très rapidement."
 

Finalement si vous assemblez suffisamment d’informations anodines, c’est comme si vous donniez votre numéro d’identification nationale.



Que peut faire le RGPD ?

Le RGPD, le Règlement général sur la Protection des Données, prévoit une série d’exceptions pour des données à caractère anonyme, des données qui sont censées ne nuire à personne. Comme par exemple, le fait de compter le nombre de personnes dans la rue.

Mais qu’est-ce qu’une donnée anonyme ? Suffit-il que notre nom n’apparaisse pas ?

Les recherches montrent que c’est beaucoup plus compliqué que cela, explique Julien Hendrickx. Le RGPD classifie une donnée d’anonyme quand on ne peut pas réidentifier la personne. Mais on ne sait pas vraiment quand on peut identifier une personne ou pas, puisque dans certains cas, même s’il n’y a pas le nom de la personne ni aucune info individuellement dangereuse, l’étude montre qu’une combinaison de petites informations simples peut permettre de réidentifier une personne, de façon unique.

Des données qui ont l’air anonymes, en fait, ne le sont pas. Et donc le RGPD doit s’appliquer.

Il y a une zone grise dans l’interprétation du RGPD, même si sa finalité est très claire : le RGPD s’applique, pour sa partie données privées, si on ne peut pas vous réidentifier.

"Mais le RGPD ne dit pas comment on fait, parce que c’est un objet de recherche pour l’instant, quand on peut réidentifier les gens ou pas. Tout ce qu’on peut dire, c’est que pour l’instant, on ne sait pas, on n’y arrive pas, mais peut-être que plus tard on pourra. Et nous, on montre que, dans tel ou tel cas où ce n’était pas sûr, oui, on peut."
 

Un questionnaire pour voir à quel point vous êtes vite identifié !

Il y a beaucoup plus de cas qu’on ne l’imagine. D’où la création, avec l’Imperial College London, de l’Observatoire de l’Anonymat sur le webqui concerne près d’une centaine de pays, sur base de données complètement publiques.

En répondant à quelques questions anodines, vous pouvez d’ailleurs aller faire le test, sur The Observatory of Anonymity, qui vous permettra de voir à partir de quel moment vous devenez complètement unique, dans la population belge. Et vous verrez qu’on y arrive étonnamment vite !


Sensibiliser le public et les décideurs

Le but de l’Observatoire est de sensibiliser le public, de vous permettre de vous rendre compte que, si un site vous demande des infos de façon anonyme, vous ne devez pas répondre à certaines questions si vous n’êtes pas prêt à donner votre nom à ce site web.

"Vous devez vous rendre compte que si vous donnez ces infos anodines – il peut suffire de votre date de naissance et de votre province - c’est la même chose que si vous donniez votre nom ! "

Bien sûr, si c’est votre banque, il n’y a pas de problème puisque vous êtes évidemment prêt à lui donner votre nom. Et sur les sites de commerce, il est assez normal de donner son nom et sa carte bancaire pour valider son achat, précise Julien Hendrickx.

"Un autre but visé par l’Observatoire est de sensibiliser les personnes et aussi les décideurs au fait que quand on dit que tel site de commerce, telle ville ou telle commune veut partager de façon anonyme ce type de données, en retirant simplement les noms, eh bien non, ce n’est pas anonyme. Il faut aller beaucoup plus loin que ça."

C’est le cas plus particulièrement dans le cadre d’études réalisées pour faire ressortir certaines informations, ou de sociétés qui revendent à d’autres sociétés ou institutions leurs données anonymisées, données qui peuvent souvent être désanonymisées plus rapidement qu’on ne le pense.
 

Quand on n’a pas le choix

Dans l’immense majorité des cas, l’utilisateur est obligé de fournir ses données, sous peine d’être bloqué. L’Observatoire souhaite sensibiliser les décideurs au fait que dans l’application du RGPD, il faut absolument tenir compte de cette possibilité de réidentification.

Et puis, il y a tous ces sites où vous avez le choix, sur des sites web moins centraux que votre banque ou votre hôpital. Soyez attentif au fait que si, sur un site, certaines données ne sont pas accompagnées d’un astérisque et ne sont donc pas obligatoires, il ne faut pas hésiter à ne pas y répondre.

 


Pour en savoir plus :

>> Sur le site de l’UCLouvain : Observatoire de l’Anonymat

>> Sur le site de l’Imperial College London : The Observatory of Anonymity (questionnaire en anglais, mais relativement facile)


 

 

Newsletter La Première

Recevez chaque vendredi matin un condensé d'info, de culture et d'impertinence.

OK