Pseudonymisation, anonymisation et chiffrement des données autour d'un café
- Details
- Category: Blog
- Created: Wednesday, 01 February 2023 11:01
- Hits: 2034
Un rituel très particulier
Chacun de mes déplacements en Europe fait l'objet d'une longue escale et agréable à l'Aéroport international de Dubaï. Rien de tel pour se dégourdir les jambes après les 6 heures d'avion qui me sépare de Maurice mon port d'attache. C'est également l'occasion rêvée pour prendre une dose de caféine au Starbucks® du Terminal et de consentir à son rituel traditionnel. Les initiés de la célèbre enseigne de Seattle savent de quoi je parle. Si la carte des cafés placardée soigneusement au mur derrière le comptoir n'a rien de suspect les novices apprendront ce qui suit. Après scrutation des différents breuvages proposés par la marque il est l'heure de faire son choix, l'heure de passer commande comme dans n'importe quel bar ou café traditionnel.
C'est à cet instant précis qu'une équipe parfaitement taylorisée dans son organisation se mobilise pour assouvir votre soif de caféine. Votre interlocuteur griffonne alors frénétiquement les consignes cabalistiques de préparation de votre café à l'arrière du gobelet vide, répondant à s'y méprendre à un QCM, tout en vous questionnant sur vos préférences. A la suite de quoi on vous demande systématiquement de communiquer une donnée à caractère personnel : votre prénom. Il l'inscrit alors à la hâte avec sa plus belle écriture au-devant du gobelet, centré au-dessus du logo Starbucks®, avec une orthographe parfois singulière... et vous remercie de votre commande. Tel lors d'un passage de relai un autre employé saisi au vol le récipient vide et applique la recette à la lettre. Votre café est désormais prêt. Le préparateur, un parfait inconnu, énonce alors à haute voix votre prénom. Un rapide coup d'oeil avisé sur le gobelet lui suffit pour réaliser ce tour de passe-passe avec l'aplomb d'un magicien. Vous acquiescez alors, puis vérification faite, réceptionnez le café tant attendu. Une fois votre commande payée vous repartez alors fièrement avec votre gobelet personnalisé, à la vue de toutes et de tous, pour aller déguster vote café.
Le prénom : une donnée discriminante
Le Règlement Général sur la Protection des Données (RGPD&nbp;UE 2016/679) soufflera bientôt ses cinq premières bougies. Votre prénom demeure néanmoins une donnée à caractère personnel (DCP) dite discriminante. Dans le brouhaha et l'apparente frénésie du Terminal de l'aéroport cette information fait parte du processus de collecte des données afin de vous identifier en tant que personne physique. Par analogie au RGPD, l'enseigne Starbucks® agit ici en qualité de responsable du traitement avec comme mission de protéger vos données dès la conception conformément aux mesures de l'Article 32 - Sécurité du traitement.
Chère lectrice, cher lecteur, mon propos n'est pas de faire un procès d'intention, ni même de juger d'une quelconque infraction au RGPD, mais davantage d'illustrer ce traitement de manière pédagogique. Le rituel amical instauré par l'enseigne existe depuis de très nombreuses années bien avant toute réglementation en matière de traitement des données.
Dans mon précédent article, j'invite les entreprises à mettre en œuvre des mesures de protection des données sensibles entre autre durant leur transfert vers une service en nuage. Ainsi, les contre-mesures à la divulgation des données font appel aux différentes techniques suivantes : l'anonymisation, la pseudonymisation et le chiffrement au moyen d'outil de sécurité cryptographique. Ces mesures en matière de sécurité périmétrique, permettent de prévenir des conséquences faisant suite à une intrusion et un accès non autorisé à des données. Elles n'éliminent pas les risques de fuite de données (Data Leak) mais complexifient leur exploitation et rendent parfois caduque toute tentative de revente des données piratées en l'état.
Le Café Anonymisé
La première technique dite d'anonymisation ou de masquage des données vise à appliquer un processus de transformation des DCP sans possibilité de réidentification a posteriori d'une personne physique. Dans notre exemple, le préparateur à l'énoncé de votre prénom inscrit en clair les trois dernières lettres de celui-ci, masques les toutes premières lettres et les oublie volontairement. Cette mesure rend impossible toute identification. On retrouve ce procédé par exemple au niveau du numéro d'identification de votre carte bancaire. Seuls les quatres derniers chiffres s'affichent rendant impossible toute utilisation de la carte de son propriétaire par un tiers non autorisé. L'anonymisation des données peut également se faire au moyen d'un floutage. Le principe vise à permuter aléatoirement la donnée discriminante avec celle d'un autre enregistrement désignant une autre personne physique.
En résumé, l'anonymisation de la donnée rend la réidentification impossible. Elle prend tout son sens par exemple avec des jeux de données en phase d'archivage à des fins statistiques. Selon la nature du traitement, l'anonymisation des attributs discriminants (prénom et patronyme complet) prend du sens si les statistiques portent sur des attributs, tels que l'âge ou le sexe, des personnes concernées stockées dans le jeu de données.
Le Café Pseudonymisé
La pseudonymisation connue également sous le nom d'anonymisation inversée a pour objectif de modifier en l'occurrence le prénom de telle sorte qu'il ne puisse plus être attribué à une personne concernée précise (moi en l'occurrence). Dans l'exemple trivial ci-dessous, le prénom a été remplacé par un identifiant unique par le responsable du traitement. Lui seul conserve dans un autre fichier informatique la correspondance entre mon prénom et mon identifiant. Conformément à l'Article 4 paragraphe 5 du RGPD, ce dernier prend soin de conserver séparément lesdites informations. Le responsable du traitement doit également les soumettre à des mesures techniques et organisationnelles visant à garantir que la DCP (mon prénom), soumise à un processus pseudonymisation, ne soit pas attribuée à une personne physique identifiée ou identifiable.
Contrairement à l'anonymisation, la pseudonymisation dispose d'un mécanisme de réversibilité du processus. La connaissance de ce mécanisme par un tiers non autorisé lui permet de retrouver la correspondance avec la donnée originelle. Au regard du cycle de vie de la donnée, elle s'impose comme une technique de choix pour les données en phase de production.
Le Café Chiffré
Les techniques de chiffrement cryptographique existent depuis l'Antiquité avec le Chiffre de César. A l'heure moderne, le chiffrement s'intègre naturellement dans la stratégie globale de protection des données à des fins de confidentialités. Le fondement du chiffrement repose sur un calcul mathématique visant à rendre illisible une donnée informatique ou plus globalement une information, à l'exception de toute personne disposant de la clé de décodage. Une illustration de mon propos vise ici à utiliser ici la fonction Blowfish, un algorithme de chiffrement symétrique ou dit à clé secrète. D'autres méthodes dites asymétriques offrent davantage de sécurité au détriment d'une complexité et de la nécessité d'une puissance de calcul accrue.
Blowfish(LAURENT) = $2y$07$h8VlCdvjQXcnlXEXPJWnduzxVftelOnSZ7sdQuvMulU/oOXg6aLGq
L'application de mesures cryptographiques prend par conséquent une place prépondérante durant le transfert des données. Cette mesure de chiffrement en transit de la donnée garantit la confidentialité des données entre deux lieux géographiques distincts. Les bonnes pratiques visent dans certaines situation à utiliser le chiffrement de bout en bout de la donnée (End-to-End Encryption - E2EE). Le chiffrement de la données intervient au tout début et s'applique dès la phase de génération jusqu'à son stockage sur un support de donnée.
Rien n'interdit d'utiliser cette technique sur des données assujetties à un processus d'anonymisation ou de pseudonymisation.
Le Café RGPD
Enfin pour clore ce propos, la collecte de DCP doit faire fait l'objet d'un consentement éclairé de la part de la personne concernée. Le responsable du traitement doit pouvoir garantir que les données collectées respectent entre autres le principe de minimisation et d'indiquer les finalités du traitement. Si l'on convient qu'il n'est nullement nécessaire de connaître le prénom d'un client pour lui servir son café il peut être agréable dans le contexte d'une relation client de ne pas être un simple numéro de table.
Ainsi, le dos du gobelet conforme RGPD dispose d'unE case à cocher décrivant les finalités de la collecte de votre prénom. On pourrait trouver par exemple :
Les informations recueillies sur ce gobelet sont enregistrées dans un fichier informatisé par Starbuck® pour nous permettre de traiter votre commande. Elles sont conservées pendant tout la durée de notre relation commerciale. En communiquant mon prénom, j’accepte que cette information soit utilisée exclusivement afin de me servir mon café.
Conformément à la législation en vigueur, vous pouvez exercer votre droit d'accès, de rectification et d'effacement de vos données en nous contactant.