Anonymiser les données personnelles

La divulgation de données personnelles est désormais gravement sanctionnée en France. Un risque qui s’accroît avec les externalisations. La parade, c’est leur anonymisation.

On ne le rappellera jamais assez : les réglementations sont désormais particulièrement vigilantes sur la protection des données personnelles. La Cnil peut ainsi prononcer des sanctions très lourdes (jusqu’à 150.000 euros d’amende et jusqu’à cinq ans d’emprisonnement) à l’encontre de ceux qui dans les traitements informatiques n’auraient pas pris « toutes les précautions utiles ». Pour en accroître l’impact de ses sanctions, elle peut même décider de les rendre publiques. Sans compter que le particulier lésé peut lui aussi obtenir des dédommagements fort élevés.

Les risques de « fuitage » augmentent avec l’externalisation croissante, notamment offshore, des développements applicatifs, de leur test et recette ainsi que de la maintenance applicative. L’outsouring, en effet, impliquera toujours un transfert de données réelles. Une enquête de l’Institut Ponemon révèle ainsi que 60 % des entreprises européennes interrogées (81% en France) partagent leurs données de production avec leurs sous-traitants. Les intervenants s’en trouvent multipliés. Et plus les données s’éloignent du centre de production sécurisé, plus sont elles sont évidemment sujettes à des malveillances.

Sur les données personnelles, le risque n’est pas mince, puisque celles-ci englobent un grand nombre de catégories : les données d’état-civil et de santé, l’adresse, les numéros de carte d’identité, de téléphone, de comptes bancaires et d’immatriculation automobile, les données biométriques, voire l’adresse mail et les cookies… Comment les protéger ? La meilleure solution est de les anonymiser, de créer pour les externalisations des fichiers sans données identifiables, même par recoupement, mais néanmoins exploitables pour les recettes et les traitements statistiques.

Les possibilités d’anonymisation, heureusement, sont variées : suppression, masquage, substitution aléatoire ou non, chiffrement, hachage réversible ou non… C’est ainsi, par exemple que les données des Pass Navigo de la RATP sont anonymisés par deux hachages, chacun lié à une clé différente, pour empêcher leur croisement par la RATP qui les délivre nominalement et le Stif qui réalise le traitement statistique des déplacements.

Cette anomymisation est bien sûr automatisable. Mais les offres ne sont pas légion. L’anglais Net2000 propose ainsi l’outil Datamasker, à installer sur un simple PC Windows. Il anonymise les données issues d’une base de données Oracle, sans nécessiter côté Oracle l’ajout d’un composant. Pour les bases SQL Server, une DLL est par contre requise. Il est représenté en France par Cortina, conseil en protection des données sensibles d’entreprises. Aux Etats-Unis, l’un des spécialistes de la création de bases de données masquant les données sensibles était Princeton Softech, avec plus de 2.200 clients. Mais il a renforcé l’offre On demand d’IBM en septembre dernier.

Reste Compuware, éditeur indépendant, qui se propose de bâtir d’authentiques stations d’anonymisation des données personnelles au sein même des centres de production informatique des grands comptes. C’est désormais une offre rodée et aboutie, y compris pour les contextes réglementaires français et européen. Particularité : elle se double de prestations d’audit, de conseil et d’implémentation portées par Compuware lui-même. « Cet accompagnement, explique Michel Simion, directeur marketing Europe du sud, va garantir la bonne mise en oeuvre du procédé d’anonymisation le mieux adapté à chaque application. Il prendra également en compte les flux inter-applications. »

Mais il ne faut pas être trop pressé. Dans une compagnie d’assurances hexagonale, le projet pour 200 traitements s’est ainsi étalé sur deux ans. Avec à la clé, toutefois, des jeux de test cohérents avec la production, de taille plus réduite, donc moins gourmands en ressources machines. Après les banques et les assurances, l’offre Compuware Data Privacy devrait donc également intéresser la VPC ainsi que le secteur de la santé (s’il était moins chiche en crédits).

NB : sur ces sujets, on pourra contacter l’AFCDP (Ass. Française de correspondants à la protection des données à caractère personnel).