Le RGPD, entré maintenant en application depuis près d’un an et demi, est plébiscité par les individus. Toutefois, ce texte demeure source de craintes pour les data scientists et data analysts, qui y voient un frein à l’exploitation des données à caractère personnel. Est-ce réellement le cas ? RGPD et data science sont-ils réellement incompatibles ?
Nombreux seraient les data scientists et data analysts à témoigner des difficultés à s’approprier le nouveau cadre réglementaire législatif européen que constitue le RGPD. Certains dénoncent même une incompatibilité entre le Règlement Général pour la Protection des Données et le traitement de la donnée. Pourtant, en vertu de ce texte, il est tout à fait permis de traiter des données personnelles, dès lors que le traitement respecte les conditions émises par le RGPD. Parmi ces conditions, citons par exemple l’obligation d’obtenir le consentement de la personne concernée par la collecte de données à caractère personnel, ainsi que l’obligation d’en restreindre l’accès aux équipes autorisées, en fonction d’objectifs définis à l’avance.
L’anonymisation des données, indispensable, mais pas suffisant
Le Règlement Général pour la Protection des Données n’impose pas de rendre anonymes les données personnelles collectées . Néanmoins, l’anonymisation reste une solution intéressante pour pouvoir exploiter des données personnelles dans le respect des droits et libertés des individus. En d’autres termes, les données personnelles ne doivent pas permettre de remonter à la personne concernée. Avant de procéder à cette anonymisation, la première des étapes à respecter pour satisfaire aux conditions du RGPD est de réaliser un audit au sein de l’entreprise des traitements réalisés. Par la suite, l’anonymisation des données permettra aux data scientists et data analysts, de pouvoir les exploiter sans enfreindre le RGPD puisqu’une fois anonymisées les données ne sont plus soumises au RGPD.
Il existe plusieurs techniques d’anonymisation de données : citons, entre autres, la technique du « hachage » qui consiste à modifier à l’aide d’un algorithme les données d’entrées, afin que celles-ci aient une valeur différente à leur sortie. Autre technique d’anonymisation des données issue de la cryptographie : la « confidentialité différentielle », qui permet l’introduction de caractères aléatoires à l’intérieur même des données. De cette manière, les données peuvent être questionnées sans qu’elles ne révèlent de caractéristiques spécifiques.
La pseudonymisation des données, recommandée par le RGPD
Quelle que soit la technique d’anonymisation choisie par une entreprise, des failles sécuritaires demeurent. Le RGPD recommande d’opter pour la pseudonymisation des données, définie ainsi dans le règlement : « traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que celles-ci soient conservées séparément et soumises à des mesures techniques et organisationnelles permettant de garantir que ces données à caractère personnel ne soient attribuées à une personne physique identifiée ou identifiable. »
Concrètement cette technique consiste à remplacer un identifiant (ou plus généralement des données à caractère personnel) par un pseudonyme. Contrairement à l’anonymisation, cette technique permet la ré-identification. La CNIL recommande d’être vigilant dans la mesure où une ré-identification peut intervenir à partir d’informations partielles (par exemple, la combinaison des données ville et date de naissance peut être suffisante). Ainsi, les données traitées devront répondre à une politique sécurisation et de conservation des données particulièrement stricte. Des conditions qui peuvent sembler, de prime abord, simples à respecter, mais qui peuvent rapidement devenir complexes dès lors que les organismes n’ont pas au préalable déployé des outils capables de centraliser les droits d’accès, afin d’en gérer les autorisations.
Les entreprises souhaitant pouvoir exploiter sereinement les données personnelles doivent tout d’abord repenser leur organisation, afin de mettre en œuvre les solutions et mesures appropriées. A ce titre, les collaborateurs doivent être formés à l’utilisation des données personnelles conforme au RGPD.
En conclusion, RGPD et exploitation de la donnée ne sont pas incompatibles, dès lors que les organismes concernés prennent le temps d’appliquer ces conseils. Sans cette transformation en amont, les entreprises traitant des données personnelles prennent en effet le risque de ne pas être conformes au RGPD, ou bien d’être rapidement bridées dans leur exploitation de la data.
Laisser un commentaire
Participez-vous à la discussion?N'hésitez pas à contribuer!