Protéger ses données en les rendant anonymes

L'échange d'informations numériques est bien plus périlleux qu'on ne se l'imagine. A des simples fins d'optimisation de projets, certaines entreprises véhiculent, sans le savoir, des données à caractère personnel. Qu'il s'agisse d'un transfert entre services ou avec un prestataire, d'un fichier clients, d'une liste de collaborateurs ou d'une base d'abonnés. Ces informations, si elles ne sont pas rendues anonymes, peuvent se retrouver entre de mauvaises mains. Un manque de vigilance qui entraîne une double sanction car, en plus d'exposer le patrimoine informationnel de l'entreprise, une telle négligence est sévèrement punie par la loi.Le non-respect de la confidentialité des informations transmises est passible d'une amende de 300 000 euros. Et la Commission nationale de l'informatique et des libertés (Cnil) veille au grain. Cette dernière peut même aller jusqu'au pénal, en portant plainte, et obtenir jusqu'à cinq ans de prison. En 2006, la banque LCL a dû débourser 45 000 euros pour ne pas avoir mis à jour le fichier national des incidents de remboursement des crédits aux particuliers (FICP). Pour éviter ce genre de déboires, Patrick Chambet, RSSI chez Bouygues Telecom, expliquait, en 2008, à l'Observatoire de la sécurité des systèmes d'information et des réseaux, les processus internes d'anonymisation qu'il avait mis en place pour les tests d'applications en cas de sortie de l'entreprise des données de production.

Isoler les informations sensibles

Cas de figure typique, celui d'informations nominatives stockées dans un tableur, passant d'un service à un autre pour l'élaboration de statistiques. Bertrand Pezavent, responsable du système d'information géographique de Saint-Lô Agglomération, et correspondant informatique et libertés (CIL), en a fait l'expérience : “ Des salariés du service d'étude sont venus me trouver pour s'assurer que leur démarche était légale. Heureusement, car ils avaient oublié de rendre anonymes leurs données. Je les ai aidés à identifier et à isoler, sur leur tableur, les informations strictement nécessaires. Sachant qu'ils n'avaient besoin que de la date de naissance et de la commune, il s'agissait tout simplement de faire une extraction épurée de la base. ” Un problème fréquent dans les traitements statistiques, qui pourtant ne nécessitent que très rarement des données nominatives. “ Cependant, ce travail d'anonymisation n'est pas toujours fait ”, confirme Thierry Cardona, ingénieur au service des contrôles de la Cnil. Pour s'en assurer, la Commission détache des experts chargés de réaliser un audit auprès des entreprises.“ Nous nous rendons sur place, raconte Thierry Cardona, où nous devons avoir accès à tout document ou fichier utile à la mission de vérification. Par exemple, quand des données de développement ou de test, qui doivent être fictives ou anonymes, sont issues d'une base réelle, nous comparons la base de tests et celle d'origine. ” Mais comment être sûr qu'une copie cachée n'a pas été faite au moment du transfert d'un serveur à un autre ? Et qu'il ne reste pas des traces sur des supports de sauvegarde ? “ En vérifiant tout, explique l'ingénieur de la Cnil. Cela nous est arrivé de retrouver des informations sur des bandes, que nous avons effacées. ”Depuis deux ans, il est possible de rendre ce processus réversible ? ce qui était inconcevable auparavant, pour des questions de principe ? grâce à des méthodes dites de pseudonymisation. Et ce, pour des raisons légitimes de recherche biomédicale, par exemple, et dans le cadre d'une procédure formalisée et tracée. Parce qu'il existe d'autres cas de figure, parce que les méthodes pour anonymiser des données sont diverses et variées, et parce qu'il n'est pas évident de savoir quand il faut le faire et quels sont les outils disponibles, Bruno Rasles propose une formation intensive d'une journée à l'Institut supérieur d'électronique de Paris (Isep). Les stagiaires y apprennent à concevoir une procédure de transmission des informations, tout en garantissant une anonymisation solide, et à mettre en place, si besoin, une procédure stricte de levée de l'anonymat.