Photobank - Fotolia
Droit à l’oubli et RGPD : anonymisation ou suppression des données, un choix difficile
Dans le cadre du RGPD, le droit à l’oubli est accordé à toutes les personnes de l'UE. Marc French de la société Mimecast explique pourquoi les entreprises doivent être prudentes dans la gestion de ce processus.
Pour les professionnels de la sécurité IT, le droit à l’oubli, une des pièces maitresses du règlement européen RGPD, pourrait finalement être bien plus difficile à déployer que prévu.
En vertu du règlement, dont la mise en application commence le 25 mai, le droit à l’oubli va au-delà de la simple suppression de toutes les données d'une personne - après qu'elle en ait fait la demande. Les entreprises ont le choix de supprimer toutes les données pertinentes sur les personnes ou d'utiliser des techniques d'anonymisation pour extraire les données d'identification de leurs bases de données et laisser les données qui ne comportent pas d’identifiants pour leur propre usage à des fins marketing ou de recherches.
Si l'anonymat semble préférable pour les entreprises qui ne souhaitent pas purger littéralement leurs bases de données, il peut également ne pas suffire pour être conforme au droit à l’oubli comme inscrit dans le RGPD.
Pour Marc French, vice-président, Chief Trust Officer et responsable conformité RGPD chez Mimecast, une société de sécurité de messagerie électronique, l'anonymisation de toutes les données ne serait d’ailleurs pas la panacée tant mise en avant par d’autres.
Bien que, dans certains cas, cela puisse suffire, l'anonymat doit tenir compte de toutes les données accessibles et potentiellement capables d'identifier une personne sans divulguer son nom (comme son numéro de téléphone ou d'autres données considérées comme “identifiantes” ).
Nos confrères américains de SearchSecurity (groupe TechTarget, propriétaire du MagIT) a posé des questions à Marc French sur le droit à l’oubli et sur le fait de supprimer des données personnelles plutôt que de les anonymiser. Voici sa réponse.
Marc French :
Toute personne qui se trouve dans l'Union européenne a le droit d'être oubliée ; cela porte en fait sur la purge des données que j'ai recueillies dans les systèmes de stockage. Il y a quelques nuances intéressantes à cela, et j'utiliserai le mot purge.
Il y a eu beaucoup de discussions sur la signification réelle du mot purge, et deux façons de penser circulent actuellement.
L'anonymisation peut égaler la purge, par exemple, si, en tant que Marc French, je m'adresse à Acme Corporation, dont l’activité repose sur le tracking car c’est un moteur de recherche. Est-ce que je peux anonymiser Marc French quand on me le demande afin de pouvoir conserver les données pour mes propres besoins - j'ai besoin de les comprendre pour générer mes revenus publicitaires ? Et le simple fait de les anonymiser suffit-il pour purger, ou est-ce que je dois physiquement effacer les données des systèmes ?
Si vous considérez par exemple Google en Europe, je pense qu'ils peuvent affirmer préférer l'anonymat. Je pense que l'anonymat pose le problème suivant : pouvez-vous suffisamment anonymiser les données pour que l'on ne puisse pas remonter jusqu'à la personne concernée ?
L'anonymisation est-elle réalisable ?
Je pense que l'argument de l'anonymisation ne pas valable parce qu'on peut aujourd’hui acheter suffisamment de jeux de données et croiser beaucoup d’informations pour remonter la bonne information. Si vous faites le choix de l'anonymisation, il se peut que cela échoue rapidement car, en fin de compte, des liens peuvent être établis entre toutes les données.
Il nous reste donc la purge. Maintenant, la purge repose sur le fait que vous connaissez toutes les données collectées sur une personne. Si vous n'avez pas cette information clé, vous n'aurez jamais vraiment la capacité de supprimer toutes les données. Et je pense que c’est le cas dans la plupart des entreprises. Alors, comment puis-je effacer ?
L'acte de suppression est très difficile à faire, d’un point de vue technique. Donc, à l'heure actuelle, je pense que le mieux est la suppression, avec l'espoir d’obtenir plus de bonnes pratiques sur cette question de l'anonymisation. Cela permettra de surmonter certains obstacles techniques induits par la suppression.
C'est le problème fondamental de l'anonymat. Le Census Department (le bureau des statistiques américain) est aux prises avec ce problème en permanence. Ils essaient de créer des jeux de données abstraites, et il y a toute une démarche scientifique dédiée à cela.
Avec deux ou trois éléments portant sur votre vie, en dehors de votre nom, je pourrais probablement discerner qui vous êtes avec un certain degré de certitude. Si je vous donne mon lieu d’habitation et mon poste, vous pourriez facilement comprendre qui je suis.
Ce n'est pas seulement la date de naissance et le code postal. Il existe d’autres données que vous pourriez agréger. Aujourd'hui, vous pouvez les obtenir gratuitement. Vous pouvez les trouver sur LinkedIn, par exemple. Avec tout cela, il devient facile d’identifier une personne. L’anonymisation est d’autant plus difficile à démontrer.