UCL

    Anonymes, vraiment ?

    30/07/2019
    L’UCLouvain et l’Imperial College London sont parvenus à développer un algorithme qui identifie à nouveau le propriétaire de données préalablement anonymisées.

    Le respect de la vie privée reste une priorité.


    Nous le savions déjà. Chaque visite sur la toile laisse derrière nous une trace digitale indélébile. Et comme ces informations en disent long sur notre vie privée, en Belgique, les « données à caractère personnel » sont protégées à la fois par la législation nationale et la réglementation européenne GDPR, d’application depuis le 25 mai 2018.

    De manière générale, l’utilisation, le partage ou la vente de données à caractère personnel est toujours soumis au consentement préalable de leur propriétaire. Tout contrevenant s’expose à des sanctions administratives, voire même pénales, selon la gravité du non-respect.

    Le lien entre l’identité d’un individu et ses données peut toutefois être supprimé. Le recours à des techniques d’anonymisation, pratiqué entre autres par les hôpitaux belges pour commercialiser certaines informations médicales, ouvre le champ libre à l’échange et la monétisation de bases de données.

    Mais le sommes-nous jamais véritablement, anonymes ?

    15 attributs suffisent à ré-identifier un individu.


    Le pôle en ingénierie mathématique de l’UCLouvain et le Computational Privacy Group de l’Imperial College London ont démontré pour la première fois dans une publication de la revue scientifique Nature Communications qu’il est possible de ré-identifier avec précision un individu « anonymisé ».

    Ensemble, les universités belge et britannique ont développé un algorithme de machine learning capable d’évaluer, à partir d’une combinaison de caractéristiques connues, la probabilité de décrire une personne parmi plusieurs milliards, vérifiant ainsi la véracité de leur anonymat.

    Le constat s’avère alarmant. Leur modèle prouve que 99,98% des américains seraient correctement retrouvés sur n’importe quelle base de données à l’aide de 15 attributs démographiques, avec des chiffres similaires à travers le monde en ajoutant la nationalité.

    « Beaucoup de personnes vivant à New York sont des hommes dans la trentaine. Parmi elles, beaucoup moins sont également nées le 5 janvier, conduisent une voiture de sport rouge, ont deux enfants (des filles) et un chien », explique Luc Rocher, doctorant et aspirant FNRS à l’UCLouvain.

    Redéfinir les standards en vigueur.


    « Notre travail n’aura de l’impact que si les standards de protection sont réévalués. Les derniers en la matière datent de 2014 », confiait Yves-Alexandre de Montjoye, responsable du Computational Privacy Group de l’Imperial College London, au journal l’Echo.

    Dans l’attente, retenons trois choses. Premièrement, la confidentialité n’existe pas. Ensuite, une donnée anonymisée qui identifie à nouveau une personne redevient protégée. Enfin, les chercheurs ont créé un outil de démonstration en ligne pour comprendre quelles caractéristiques rendent les utilisateurs uniques https://cpg.doc.ic.ac.uk/individual-risk.


    Un internaute averti en vaut deux ! Bravo à Luc Rocher, doctorant et aspirant FNRS au pôle en ingénierie mathématique de l’UCLouvain, et à Yves-Alexandre de Montjoye, professeur assistant et responsable du Computational Privacy Group au Imperial College London, pour leurs précieuses avancées en la matière.


    Retour