La stratégie d’anonymisation
L’art d’élaborer un plan d’actions coordonnées pour gouverner vos données
Pourquoi élaborer une stratégie d’anonymisation ?
Vous avez identifié votre besoin d’anonymisation et vous souhaitez entamer l’anonymisation, mais, soyons honnêtes, vous ne pouvez pas anonymiser vos données à l’aveugle. Vous le savez, cela serait contre-productif. C’est pour cela qu’il existe l’étape de la stratégie d’anonymisation. La stratégie d’anonymisation est le moment d’identifier vos objectifs, votre approche, et de programmer vos actions en fonction de vos moyens matériels, humains et financiers pour réaliser vos opérations d’anonymisation.
Etapes pour la mise en place d’un projet d’anonymisation
Élaboration du meilleur chemin à suivre, la stratégie d’anonymisation doit s’effectuer avec l’intervention d’un ou plusieurs experts dans l’anonymisation et la protection des données. Ce(s) expert(s) peut être votre DPO, RSSI, et un intervenant externe avec les qualifications nécessaires sur les problématiques d’anonymisation.
Ce plan va s’organiser autour de 6 étapes fondamentales :
Définition des objectifs
Analyse du périmètre
Détermination des données nécessaires
Détermination des sources impactées
Détermination de la méthode
Détermination de la méthode
Lors de chaque étape, nous allons nous poser une question et nous allons y répondre.
Pour faciliter la compréhension de la stratégie d’anonymisation, nous avons choisi de vous l’illustrer avec l’aide d’un exemple fictif.
1. Définition des objets
Pourquoi souhaitez-vous anonymiser vos données ?
Les principales raisons pour lesquelles les organismes souhaitent anonymiser les données sont :
Environnement de test, de développement, etc.
Reporting des effectifs et des activités de l’organisme.
Partage de données à des collaborateurs ou à des prestataires
Ce sont les trois principales raisons qui poussent les organismes à anonymiser leurs données. Mais, au fond, les réponses à cette question sont : le besoin de confidentialité des données, et/ou le RGPD. Effectivement, selon l’article 5 du RGPD, les données sont collectées avec une finalité précise et avec une durée de conservation limitée. Ainsi, si l’organisme souhaite utiliser les données qui doivent être supprimées ou réutiliser les données pour d’autres finalités, on doit, soit, demander le consentement de chaque individu impliqué, soit, anonymiser les données.
Exemple :
Le besoin : Une PME souhaite partager ses données d’entreprise avec un actuaire pour analyser les risques d’absentéisme au travail.
Le problème rencontré : L’actuaire est un individu extérieur à l’entreprise auquel les collaborateurs n’ont pas donné leur consentement pour analyser leurs données personnelles.
La solution : Anonymiser les données directement et indirectement identifiantes.
2. Analyse du périmètre
Quelles sont les données que vous souhaitez utiliser?
Dans le cadre de votre besoin, toutes les données de votre entreprise ne vous seront pas utiles. Vous allez donc faire un choix sur les données qui vous seront indispensables à la réalisation de votre besoin, et les données que vous pourrez laisser de côté car vous n’allez pas les utiliser.
Cette étape permet d’identifier les données utiles et de les classifier.
Exemple :
Dans le cadre de notre PME, l’organisme souhaite seulement fournir ses DSN mensuelles. Ainsi, il n’a pas besoin d’anonymiser d’autres données qui n’ont pas de lien avec le besoin identifié.
3. Détermination des données nécessaires
Quelles sont les données à caractère personnel qu’il faut anonymiser ?
Lorsque vous avez identifié le périmètre des données que vous souhaitez utiliser, vous allez identifier les données à caractère personnel. Il existe trois types de données : les données simples, les données à caractère personnel, et les données semi-identifiantes.
Ainsi, lors de l’anonymisation, certaines des données sélectionnées pourront être conservées sans modification, tandis que les autres devront être anonymisées.
Exemple :
Les DSN contiennent toutes les informations relatives à chaque collaborateur : nom, prénom, âge, sexe, poste, salaire, nombre de jours travaillés, etc. Mais toutes les données d’une DSN ne sont pas directement ou indirectement identifiantes. Effectivement, par exemple, le salaire et le nombre de jours travaillés peuvent être des données indirectement identifiantes ou non identifiantes en fonction notamment de la dispersion de la donnée ou de l’inférence. Ainsi, la stratégie d’anonymisation devra porter une attention sur ces points.
4. Détermination des sources impactées
Quelles sont les sources qui contiennent les données identifiées ?
À partir de votre registre des activités de traitement et des données identifiées, vous allez déterminer la liste des sources qui contiennent les données à caractère personnel identifiées à l’étape précédente. Ces sources peuvent prendre la forme d’applications, de bases de données et de fichiers. En d’autres termes, les sources sont les lieux où sont stockées vos données. Ainsi, lors de l’anonymisation, vous saurez où aller chercher les données.
Exemple :
La PME a choisi de stocker ses DSN dans la base de données A et dans les fichiers 5 à 10.
5. Détermination de la méthode
Quelle est la méthode la plus efficace pour anonymiser les données identifiées ?
A partir des étapes précédentes, vous allez déterminer la méthode la plus efficace pour anonymiser vos données.
Est-ce que vous allez le faire manuellement, donnée par donnée ?
Est-ce que vous allez développer un logiciel interne ?
Est-ce que vous allez faire appel à un logiciel externe ?
Si vous choisissez les logiciels, alors comment la donnée sera traitée à l’intérieur ? Combien de temps cela prendra-t-il ?
C’est le moment de faire le point sur vos ressources matérielles, humaines et financières. Quelle est la méthode qui vous convient le mieux ?
Exemple :
La PME dispose d’une trop grande quantité de DSN pour les traiter manuellement. Cela prendrait trop de temps et d’énergie. Développer un logiciel interne prendra trop de temps et d’argent. Elle choisit donc de faire appel à un logiciel interne qui traitera ses données de manière automatique et selon les critères établis dans la stratégie d’anonymisation.
6. Validation de l’anonymisation
Est-ce que la stratégie d’anonymisation est conforme au RGPD ou toute autre réglementation ?
Tout est prêt pour lancer l’anonymisation des données mais il vous reste une étape. Vous vous rappelez du RGPD ? La raison profonde de pourquoi vous avez besoin d’anonymiser vos données ? C’est à cette étape qu’il faudra valider, au sens du RGPD, votre stratégie d’anonymisation par un ou plusieurs experts du domaine. Seront ainsi concernés principalement le/la DPO, le/la RSSI et la direction juridique. Ils vont vérifier la conformité du traitement d’anonymisation des données personnelles au Règlement Général à la Protection des Données.
Exemple :
La PME va faire appel à un expert interne ou externe pour l’accompagner sur la validation de la conformité des règles d’anonymisation. Ils vont s’attarder sur la possibilité d’identifier un ou plusieurs collaborateurs avec les données anonymisées. S’ils ne retrouvent aucun collaborateur, c’est que la stratégie est la bonne. Dans le cas contraire, il faudra revoir certains critères d’anonymisation.