
MA CONFORMITÉ AU RGPD : ANONYMISER LES DONNÉES POUR NE PLUS ÊTRE SOUMIS AU RGPD ?
Mot de l’éditrice, MC Péroux: J’ai invité Hervé LAFONT, CGEIT, dans mon blog aujourd’hui. Il aborde le sujet délicat et trop souvent incompris de l’anonymisation présentée comme un moyen de soustraire les données personnelles du champ d’application du Règlement Général sur la Protection des Données à caractère Personnel (RGPD)
ANONYMISER OU PSEUDONYMISER SOUS LE RGPD ? À VOUS DE MENER L’ENQUÊTE
Dans le cadre du RGPD, de nombreux mots ou concepts ont focalisé l’attention : donnée personnelle, base légale, licéité, consentement, intérêt légitime, responsable de traitement, violation de données, portabilité, analyse d’impact, etc. Parmi les termes nouveaux sont aussi apparus anonymisation et pseudonymisation, que le législateur a lâché du bout des lèvres pour le premier [1] et avec un peu plus de détail [2] pour le second.
Parce que la technique d’anonymisation est souvent présentée comme permettant de s’affranchir du règlement [3], il est intéressant de mieux comprendre à quel type de données s’applique ce processus avant de discuter des techniques possibles pour masquer l’identité des individus. On se rendra ainsi compte qu’anonymiser des données, c’est d’abord réfléchir et décider si une donnée particulière est une donnée personnelle ou pas. Ce sera le but de ce premier article.
Dans un monde qui collecte et utilise toujours plus d’informations (réseaux sociaux, cloud computing, appareils mobiles, IoT, etc.) et qui développe toujours plus de technologies pour stocker, agréger, analyser ces données et en tirer de nouvelles informations (big data, data mining, intelligence artificielle, etc.) il semble de plus en plus difficile pour un individu de se réfugier derrière une notion d’”anonymat” [4].
S’il faut se féliciter de ce qu’un règlement soit promulgué pour protéger les personnes physiques à l’égard du traitement de leurs données à caractère personnel [5], il est aussi nécessaire de s’interroger pour savoir s’il existe des technologies vraiment efficaces pour protéger les individus contre le “profilage” [6], et si par exemple l’anonymisation en est une.
Le RGPD s’appliquant aux données à caractère personnel, dans un premier temps il apparait que “rendre anonymes” des données, c’est d’abord rendre les données personnelles “impersonnelles”, de sorte qu’elles ne puissent plus être rattachées à une personne en particulier. En conséquence une fois l’anonymisation effectuée, il n’est pas possible de ré-identifier un individu avec certitude.
Il en découle qu’anonymiser, c’est d’abord décider si une donnée est une donnée personnelle ou pas.
Une fois cette distinction établie, différentes méthodes d’anonymisation pourront être appliquées sur la donnée personnelle, en fonction d’un résultat escompté.
Pour ce premier article sur l’anonymisation, nous allons sortir pendant quelques instants du cadre de l’entreprise commerciale pour nous plonger au cœur d’une enquête de police. Puisque nous savons qu’une anonymisation permet de ne pas ré-identifier un individu, nous allons partir d’un individu isolé, à priori “anonyme” et en faisant le parcours inverse, nous verrons comment, au cours de l’enquête, différentes informations, personnelles ou non, nous permettent ou pas d’identifier cette personne.
Nous classerons alors les informations en différentes catégories pour déterminer si, en fonction de leur catégorie, ces données doivent être supprimées, masquées ou gardées telles quelles dans le cadre d’un processus d’anonymisation.
DONNÉES PERSONNELLES À ANONYMISER OU PAS ?
Imaginez que vous êtes un inspecteur de police. Vous vous trouvez avec un médecin légiste près d’une table recouverte d’un linceul blanc. Quand vous tirez le drap, le visage d’un homme jeune apparaît. La première question sera de savoir si l’identité de l’individu est connue.
Dans le cas où l’individu avait avec lui ses papiers d’identité, une comparaison entre la photo de sa carte d’identité et son visage permettra facilement de le nommer. On pourra dire “la victime s’appelle Mr AB X.Y.Z “
Et si la victime n’a pas sur elle ses papiers d’identité, on se tourne vers d’autres indices. Si à la boutonnière du veston de la victime on a trouvé l’insigne de Commandeur du Mérite de l’Ordre Maritime, il sera facile de vérifier auprès du ministère concerné l’identité de l’individu.
Mais il est aussi possible qu’aucun élément matériel n’ait été trouvé. Dans ce cas, on commencera par exemple par relever les empreintes digitales pour les comparer avec différents fichiers de police. Sans résultat, le médecin légiste pourra examiner la dentition et consulter les dentistes des alentours.
4 TYPES DE DONNÉES PERSONNELLES À ENVISAGER
1- DONNÉES IDENTIFIANTES
= informations se rapportant directement à l’individu
Il y a celles qui touchent à l’individu physiquement (empreintes digitales, dentition, etc.) et celles qui offrent une représentation de l’individu dans la vie réelle (carte d’identité, passeport, carte de visite, de fidélité, carte bleue, numéro de compte bancaire, de sécurité sociale, etc.) ou dans la vie numérique (profil de réseau social, adresse IP, etc.)
DONNÉES POUR LESQUELLES UNE CORRESPONDANCE EXISTE ENTRE L’INDIVIDU ET LA REPRÉSENTATION DE CET INDIVIDU
Ce qui veut dire qu’il y a quelqu’un quelque part qui peut établir le lien entre l’individu et sa représentation (un banquier, un fournisseur d’accès à Internet, un médecin, etc…)
Ce principe de correspondance, c’est la “pseudonymisation” [2], c’est à dire que l’individu est “anonyme” aux yeux du plus grand nombre, sous certaines conditions, mais connu aux yeux de ceux qui détiennent la correspondance.
Dans ce cas, la probabilité de retrouver l’identité de la personne inconnue est quasiment assurée [7].
Imaginons maintenant qu’aucune donnée identifiante n’ait permis de révéler le nom de l’individu. Peut-on quand même l’identifier, c’est à dire assembler des informations qui lorsqu’on les recoupe permettent à la fin de nommer la personne avec un pourcentage de probabilité important ?
De nombreuses analyses ont montré qu’il existe des données neutres qui, prises individuellement, semblent banales mais qui combinées fournissent des informations essentielles dans la reconnaissance d’un individu [8] [9] [10].
2- DONNÉES “QUASI – IDENTIFIANTES“
Dans le cas de notre enquête, le lieu de découverte du cadavre est un élément primordial. Il est clair que les premières recherches s’orienteront (à tort ou à raison) dans un rayon situé autour de ce lieu.
Notez qu’en fonction de l’âge et du genre de la victime, des choix de visite d’institutions s’imposeront. Si la victime est âgée et qu’une maison de retraite se trouve à proximité du lieu de découverte du corps une visite pourrait bien être couronnée de succès. Idem pour une école si la victime a moins de 18 ans.
On s’aperçoit que dans le cas des données “quasi-identifiantes “, on ne cherche plus la correspondance entre un élément distinctif et un nom mais on assemble divers éléments considérés individuellement comme des évidences (lieu, temps, sexe, tranche d’âge par exemple) jusqu’à trouver le lien entre toutes ces informations pour qualifier l’individu.
Une fois qualifié il ne restera plus qu’à trouver une table de correspondance pour le nommer.
La probabilité de retrouver une identité est alors plus une affaire de calcul statistique qu’autre chose [8].
Dans le cas de notre enquête de police, vous avez constaté qu’il s’agissait d’un individu de sexe masculin, d’âge évalué entre 25 et 35 ans. Vous savez que prospecter le voisinage à la recherche de quelqu’un connaissant la victime prendra du temps et que le pourcentage d’identification sera faible. Par contre si des éléments supplémentaires de lieu et de temps viennent compléter votre enquête (un témoin déclarant: “je ne connais pas le nom de cette personne mais tous les jeudis soir vers 20h00 il attendait devant l’arrêt du bus Y“), il deviendra de plus en plus qualifié , de telle sorte qu’à la fin il en deviendra nommable.
3- DONNÉES DISTINCTIVES
Elles permettent de séparer des individus pour les placer dans des catégories.
Dans le cadre de l’enquête, le légiste vous dira que la victime était gaucher, présentait une légère myopie, souffrait d’un souffle au cœur et chaussait du 43.
Notez que ces informations ne sont pas “identifiantes” individuellement ou collectivement.
Par contre leur juxtaposition entre elles permet déjà de dresser un profil, et s’il s’agissait non pas d’identifier une victime mais un suspect, il serait possible à ce stade d’éliminer des individus d’une liste (mais pas d’identifier clairement l’individu)….
La probabilité de retrouver un individu basée sur ces seuls éléments distinctifs est très faible, SAUF si l’échantillon de personnes partageant cette distinction est restreint. Mais un seul de ces éléments couplés avec des données quasi-identifiantes peut permettre d’augmenter fortement la probabilité d’identification.
4- DONNÉES CONTEXTUELLES
Il y a enfin les informations autres, toutes celles qui n’entrent pas dans les trois catégories précitées, et que nous qualifierons de “contextuelles”.
Dans le cadre de notre enquête par exemple, vous apprendrez que l’individu avait ingurgité peu avant son décès du homard et une coupe de Champagne, et que ses chaussures étaient neuves.
Si on y ajoute aussi toutes les informations sur ce que l’individu n’est pas ou n’a pas, par exemple, il ne porte pas d’alliance, n’a pas de tatouage ni de piercing etc., toutes ces informations basées soit sur des faits (homard, champagne, chaussures neuves) soit sur des déductions vraies ou fausses (célibataire, chaussures neuves chères = individu de classe aisée, etc.), toutes ces informations n’auront que pour but de restreindre le cercle des recherches pour l’enquêteur pour qualifier au plus près l’individu (La police commencera par faire la tournée des restaurants proposant du homard, des chausseurs ayant récemment vendu une paire à un homme de 45/50 ans, etc…)
La donnée contextuelle n’est pas suffisante en elle-même pour identifier un individu. Mais encore une fois couplée avec d’autres données contextuelles ou d’autres données des classes précédentes (identifiantes, quasi-identifiantes, distinctives), elle permet de resserrer l’échantillon des possibles pour augmenter la probabilité d’identification.
DE L’ENQUÊTE DE POLICE À L’ENTREPRISE COMMERCIALE
Dans le cadre d’une enquête policière, la moindre information compte pour qualifier puis identifier un individu.
La même logique d’enquête peut être utilisée pour retrouver l’identité d’un individu dont les données d’entreprise n’auraient pas été anonymisées correctement.
C’est pourquoi anonymiser des données personnelles au sein d’un entreprise, sans craindre une ré-identification, n’est pas chose aisée.
QUEL EST VOTRE OBJECTIF D’ANONYMISATION?
- quelles informations souhaite-on communiquer ?
- pour quel usage ?
- à quelle destination ?
Cela veut dire qu’il existe probablement dans l’entreprise un premier traitement de données personnelles, afin de fournir le service attendu à son client, puis il y a la volonté de fournir d’autres informations, peut-être à d’autres clients.
En fonction de l’objectif à atteindre, certaines données seront supprimées, d’autres seront conservées en l’état, enfin certaines seront altérées avec un degré d’approximation à déterminer.
Lorsqu’une société manufacture un produit ou fournit un service à destination d’un consommateur, pour un intérêt particulier, il est inévitable d’utiliser et de traiter des données personnelles.
Mais lorsque l’intérêt devient collectif, lorsqu’un ensemble de consommateurs peut bénéficier d’informations supplémentaires à valeur ajoutée, ces données personnelles doivent s’effacer au profit de données anonymisées.
Par exemple, lorsqu’un médecin prescrit un médicament à son patient, il est de son intérêt de conserver les données personnelles du patient, pour un meilleur suivi médical. Mais s’il vient à ce médecin à fournir des informations sur l’efficacité du médicament au laboratoire qui le fabrique, il est préférable que les données personnelles des patients soient absentes des données transmises.
Y A-T-IL UNE TAILLE MINIMALE DE L’ÉCHANTILLON POU UNE ANONYMISATION EFFICACE?
Avant de se lancer dans l’anonymisation de données, un mot sur la taille de l’échantillon à considérer.
Il est illusoire de vouloir anonymiser efficacement une base de moins de 400 personnes. Outre le fait que financièrement ce n’est pas viable, il y a fort à parier que pour réussir à anonymiser correctement une base avec si peu d’individus il faille réduire la qualité des données anonymisées bien au-delà de l’objectif initial, rendant cette base inexploitable.
3 NOTIONS NÉCESSAIRES POUR RÉUSSIR L’ANONYMISATION
Pour enclencher le processus d’anonymisation au sein de l’entreprise, chacune des données se rapportant à un individu doit être qualifiée en fonction de l’objectif de l’anonymisation, et avant même de décider de la technique d’anonymisation à employer.
Cela doit être fait en gardant à l’esprit qu’une anonymisation réussie repose sur les 3 notions suivantes [11] :
1- L’INDIVIDUALISATION
ou la difficulté à “isoler“ un individu de son échantillon. Les informations anonymisées ne doivent pas permettre facilement de retrouver un individu dans un groupe “restreint“ (il ne doit pas être facile de retrouver un centenaire dans une maison de retraite, surtout si l’individu est de sexe masculin, et ne se déplace pas en fauteuil roulant).
2- LA CORRÉLATION
ou la difficulté à relier entre eux des ensembles de données distinctes pour un même individu.
Il conviendra probablement de modifier légèrement certaines informations pour les rendre moins qualifiantes, sans pour autant perdre en signification.
Par exemple, pour enrichir l’exemple précédent, plutôt que de fournir un code postal pour chaque pensionnaire d’une maison de retraite, il sera peut-être plus judicieux de ne fournir que le département .
3- L’INFÉRENCE
ou la capacité à déduire des informations sur un individu.
C’est probablement le point le plus difficile à évaluer.
Il existe tellement d’informations disponibles notamment sur Internet qu’en croisant des informations basées sur des probabilités pour qu’un individu soit ceci ou cela, il est possible d’obtenir des correspondances identifiantes. Toujours pour l’exemple précédent, la probabilité existe que la maison de retraite ait organisé une fête du centenaire ayant fait l’objet d’un article de presse dans un journal local, avec photo de famille et bien sur le nom de la personne !
Les quatre catégories de données dévoilées lors de l’enquête policière (identifiantes, quasi-identifiantes, distinctives et contextuelles) seront traitées différemment dans le monde de l’entreprise commerciale.
DONNÉES IDENTIFIANTES
Les données directement identifiantes disparaîtront des données à anonymiser.
Par exemple, dans un fichier, on supprimera les colonnes nom-prénom, la colonne numéro de sécurité sociale, etc…
Attention : rentrent dans la catégories des données identifiantes les données distinctives distribuées sur un échantillon d’individus très faible (voir l’exemple du Commandeur de l’ordre du Mérite Maritime).
Suivant la finalité de l’anonymisation (quelles informations veut-on transmettre, pour quel objectif?) on gardera ou pas cette information distinctive, et si on la garde elle sera probablement altérée.
Soit on perdra de la granularité pour augmenter le nombre d’individus concernés et éviter la ré-identification – par exemple, on parlera de “Commandeur“ d’un ordre national, ce qui de facto rajoutera les “Commandeurs“ de la Légion d’Honneur à l’échantillon
Soit l’information sera conservée mais modifiée suivant plusieurs méthodes différentes
DONNÉES QUASI – IDENTIFIANTES
Les données individuellement non identifiantes mais qui combinées forment des données quasi-identifiantes seront probablement à altérer.
On trouve ces données dans de nombreux domaines commerciaux, que ce soit des informations provenant de réseaux sociaux, données génétiques, données de localisation, de carte de crédit, d’historique de navigation etc… [12].
Il existe par exemple le trio genre, code postal de résidence et date de naissance qui permet un ré-identification dans plus de 60 % des cas.
Ce chiffre monte à 80 % d’identification pour les personnes âgées de plus de 70 ans [8].
Il est donc préférable dans le monde de l’entreprise commerciale de ne pas demander la date de naissance complète mais plutôt l’âge (ou l’année de naissance).
ATTENTION :
Plus un individu est âgé, plus il lui est difficile de se cacher dans l’anonymat. Dans le cas par exemple de données médicales, la plus grande prudence s’impose.
Il faut se méfier de l’utilisation des coordonnées GPS, des données de géolocalisation :
Le croisement de positions géographiques peut dans beaucoup de cas permettre la ré-identification d’un individu.
Par exemple avec simplement 2 points connus, comme un lieu de résidence et un lieu de travail, une personne sur deux est ré-identifiable [13]. D’autres études ont aussi montré que 90 % des individus sont identifiables par 4 points liés à leur situation géographique à un instant donné [14].
DONNÉES DISTINCTIVES OU CONTEXTUELLES
Enfin les données distinctives ou contextuelles seront à traiter au cas par cas, en fonction de l’objectif de l’anonymisation.
Par exemple, “5 milligrammes d’amphotéricine B par jour” n’est pas en soi une donnée personnelle. Sauf qu’en fonction du contexte, des liens que l’on peut faire ou pas avec celui qui prend cette posologie, cela peut le devenir. Si dans un groupe de patients, un seul de ces patients souffre d’une aspergillose, alors cette posologie adéquate normalement pas considérée de facto comme une donnée personnelle, le devient (principe de corrélation rompu).
Autre exemple: des données techniques liées à la maintenance de machines industrielles ne sont pas des données personnelles. Si toutefois seuls un nombre très restreint de personnels ont accès à ces données, par exemple pour régler au mieux les paramètres de fonctionnement d’une machine, alors ces données sont considérées comme personnelles [15].
CONCLUSION
On voit bien au travers de cette démarche qu’il n’y a pas de “solution toute prête“ pour anonymiser des données.
Cela provient principalement du fait qu’il est difficile de définir ce qu’est une donnée à caractère personnel.
Le concept d’identité ou d’anonymat n’est pas unique car les individus sont identifiables de différentes manières, de la plus simple par un prénom nom à la plus compliquée, par le croisement de plusieurs sources de données.
La difficulté pour une entreprise commerciale qui souhaite anonymiser des données est de publier un ensemble cohérent d’informations ne permettant pas la ré-identification des individus. Elle doit imaginer quelles autres sources d’informations permettraient à un tiers motivé de croiser des données pour ré-identifier les individus aujourd’hui… et demain vu l’évolution des techniques et la quantité d’informations toujours plus importante mise à disposition.
S’engager sur le chemin de l’anonymisation, c’est avoir la volonté de transmettre un ensemble d’informations dont on pressent que quelqu’un quelque part peut en tirer une valeur ajoutée.
C’est nécessaire et comme en toute chose c’est une question d’équilibre: quelle granularité dans les informations publiées pour garantir raisonnablement un “anonymat“ Cela se fera au bénéfice du plus grand nombre si l’entreprise garde à l’esprit qu’il n’y a pas de données non-personnelles dans l’absolu. Toute donnée d’entreprise peut devenir personnelle en fonction de son contexte
NOTES
[1] RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l’intérêt pour l’EEE) https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FRSeul le considérant 26 évoque l’anonymat (on ne parle même pas d’anonymisation) : “Il n’y a pas lieu d’appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable.“
[2] ibid. Art 4.5 “pseudonymisation, le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concerne précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable.“ [3] Il convient toutefois de remettre l’église au centre du village. L’anonymisation, de par sa complexité et son coût, n’est pas candidate à s’appliquer à TOUS les traitements de données personnelles d’une entreprise. Seuls les traitements à risque pour les individus potentiellement ré-identifiables seront concernés. L’entreprise n’échappera donc pas dans sa globalité à la conformité au RGPD. Au mieux, certains traitements ne seront pas concernés, et encore, faudra-t-il qu’une base légale solide leur soit associée pour justifier par exemple d’un traitement d’anonymisation pour une finalité précise (par exemple production de données en “open-data” suite à un traitement particulier). [4] Ira S. Rubinstein – 2013 “ Big Data : The end of privacy or a new beginning ?“International Data Privacy Law, Volume 3, Issue 2, pages 74-87 https://academic.oup.com/idpl/article/3/2/74/709082
Au-delà de cet article, l’anonymat absolu est une notion théorique. Il y a toujours une ou plusieurs personnes qui savent qui se cachent derrière l’être anonyme – ne serait-ce que l’individu lui-même! On peut toujours ergoter que lorsque la CNIL condamne une société sans en mentionner le nom, pour tous les lecteurs qui lisent le communiqué sur Internet, cette société est non-identifiable…sauf pour les membres du personnel de ladite société (et probablement quelques personnes du premier cercle desdits membres).
[5] Art. 1.1 du RGPD note 1 [6] Ibid. Art 4.4 du RGPD “profilage, toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique “. [7] CNIL : Délibération 2015-255 du 16 juillet 2015 https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000031159401ci-après résumée :
En 2015, l’entreprise JCDecaux s’est vu refusé un traitement automatisé pour estimer les flux piétons sur le parvis de La Défense. L’idée était d’installer 6 boîtiers Wifi et de détecter sur 25 mètres autour tout appareil mobile pour lequel le réseau Wifi était activé.
Les données collectées prévues étaient :
- l’adresse MAC de la carte Wifi de l’appareil mobile
- l’horaire exact de détection (année/mois/jour/heure/minute/seconde/fuseau horaire)
- la puissance du signal reçu (permettant donc d’estimer à quelle distance du boîtier l’appareil était)
L’entreprise JCDecaux, consciente qu’il était possible d’identifier un individu avec l’adresse MAC unique pour chaque appareil mobile avait prévu que l’enregistrement des informations sur un serveur central se ferait en tronquant une partie de cette adresse puis en ajoutant une chaîne de caractère (sel) avant de générer une empreinte (hashage) distincte pour chaque adresse MAC. L’entreprise pensait alors que ce chiffrement garantissait le respect des droits et libertés fondamentaux des personnes puisque l’anonymat des informations était acquis.
La CNIL a considéré que ce procédé n’était en rien un procédé d’anonymisation, attendu que l’entreprise avait en sa possession tous les éléments lui permettant de rejouer le procédé à l’inverse, et donc à un instant donné, elle avait la possibilité de ré-identifier les adresses MAC complètes…
[8] Une étude effectuée par Sweeney en 2002 à démontré que 87 % de la population américaine peut être identifiée de manière unique sur la base du genre, code postal de résidence et date exacte de naissance. Cette étude à été refaite en 2006 par Ph. Golle et cette fois 63 % de la population américaine a pu être ré-identifiée avec les mêmes paramètres. L’étude initiale avait été effectuée sur un panel de 248 millions d’américains, basée sur les données de recensement de 1990. Pour cette nouvelle étude, Ph Golle a utilisé des données basées sur le recensement de l’année 2000. Philippe Golle – 2006 “Revisiting the uniqueness of simple demographics in the US population“ https://crypto.stanford.edu/~pgolle/papers/census.pdf [9] Yves-Alexandre de Montjoye, Cesar Hidalgo, Michel Verleysen, Vincent Blondel – 2013 “Unique in the crowd : the privacy bounds of human mobility “Scientific reports, volume 3, page 1376. https://www.nature.com/articles/srep01376/ [10] Hui Zang, Jean Bolot – 2011 “Anonymization of location data does not work : a large-scale measurement study “ ACM, page 145-156 [11] Avis du G29 : Groupe de Travail Article 29 – 2014 “Avis sur les techniques d’anonymisation“ https://www.cnil.fr/sites/default/files/atoms/files/wp216_fr.pdf [12] Arvind Narayanan, Vitali Shmatikov (2019) “Robust de-anonymization of large sparse datasets : a decade later“ http://randomwalker.info/publications/de-anonymization-retrospective.pdf [13] Philippe Golle, Kurt. Partridge – 2009 “On the anonymity of Home/Work location pairs “ https://crypto.stanford.edu/~pgolle/papers/commute.pdf [14] Yves-Alexandre de Montjoye, Laura radaelli, Vivek Kumar singh, Alex Pentland – 2015 “Unique in the shopping mall : on the reidentifiability of credit card metadata “ Science 347, n°6621 – https://science.sciencemag.org/content/347/6221/536 [15] Commission Européenne -2019 “Marché unique numérique : lignes directrices sur le libre flux des données à caractère non personnel“ https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:52019DC0250AUTEUR: HERVÉ LAFONT, CGEIT, LinkedIn

Cette œuvre est mise à disposition selon les termes de la Licence Creative Commons Attribution – Pas d’Utilisation Commerciale – Partage dans les Mêmes Conditions 4.0 International. Pour respecter cette licence voir Creative Commons