Pseu­do­ny­mi­sa­tion des données person­nelles

Visi­ble­ment ce n’est pas clair pour tout le monde.

Quand on supprime vos noms, email, adresse, etc. mais que le reste de vos diffé­rentes données sont toujours ratta­chées à un iden­ti­fiant unique, ce n’est pas de l’ano­ny­mi­sa­tion mais de la pseu­do­ny­mi­sa­tion.

La diffé­rence est majeure : celui qui peut trou­ver votre iden­ti­fiant peut accé­der à toutes vos données.

1. Ce sera le cas si la base de données contient un lien ou un iden­ti­fiant qui mène à une base où vous n’êtes pas sous pseu­do­nyme. Il suffira d’un croi­se­ment pour vous ré-iden­ti­fier.

2. Ce sera aussi le cas si on recal­cule votre iden­ti­fiant pseu­do­nyme à partir de vos iden­ti­fiants réels (nom, email, adresse, numéro sécu, etc.) de la même façon que ça a été fait la première fois.

Parfois même des infor­ma­tions partielles permettent de trou­ver l’iden­ti­fiant pseu­do­nyme en testant quelques millions de combi­nai­sons possibles pour les données manquantes

3. Ce sera encore le cas si on peut iden­ti­fier avec suffi­sam­ment de préci­sion une donnée pseu­do­ny­mi­sée comme étant la votre (par exemple un achat avec une date et un lieu), votre iden­ti­fiant pseu­do­nyme y est alors atta­ché.

C’est tout autant le cas si on a très peu de préci­sion mais sur plusieurs points de données (plusieurs achats, quelques points sur toute une trace de géolo­ca­li­sa­tion, les socié­tés dans lesquelles vous avez travaillé) ; on en obtient assez faci­le­ment une iden­ti­fi­ca­tion unique.

Ça fonc­tionne d’ailleurs aussi dans l’autre sens.

4. Si on connait la formule et une partie de vos iden­ti­fiants réels, on peut parfois tester des millions de combi­nai­sons pour retrou­ver les données réelles manquantes.

5. Si on iden­ti­fie plusieurs points de données d’un même iden­ti­fiant dans la base pseu­do­ny­mi­sée, si on le souhaite vrai­ment, on peut souvent retrou­ver avec un peu d’ef­forts la personne réelle concer­née.

Pour toutes ces raisons, les données pseu­do­ny­mi­sées ne sont pas des données anonymes. Elles restent des données person­nelles et peuvent toujours vous iden­ti­fier. Si ce sont des données sensibles, ça craint. Dans tous les cas ça reste soumis à la régle­men­ta­tion des données person­nelles.