Le choix des champs de données à pseudonymiser est en partie subjectif. Des champs moins sélectifs, tels que la date de naissance ou le Code postal, sont souvent également inclus car ils sont généralement disponibles auprès d’autres sources et facilitent donc l’identification d’un enregistrement. La pseudonymisation de ces champs moins identifiables supprime la majeure partie de leur valeur analytique et s’accompagne donc normalement de l’introduction de nouvelles formes dérivées et moins identifiables, telles que l’année de naissance ou une région de code postal plus grande.
Les champs de données moins identifiables, comme la date de présence, ne sont généralement pas pseudonymisés. Il est important de se rendre compte que c’est parce que trop d’utilité statistique est perdue ce faisant, et non parce que les données ne peuvent pas être identifiées. Par exemple, compte tenu de la connaissance préalable de quelques dates de présence, il est facile d’identifier les données d’une personne dans un ensemble de données pseudonymisées en sélectionnant uniquement les personnes ayant ce modèle de dates. Ceci est un exemple d’attaque par inférence.
La faiblesse des données pseudonymisées pré-GDPR face aux attaques d’inférence est généralement négligée. Un exemple célèbre est le scandale des données de recherche AOL. L’exemple de réidentification non autorisée d’AOL ne nécessitait pas l’accès à des « informations supplémentaires » conservées séparément sous le contrôle du responsable du traitement des données, comme cela est désormais requis pour la pseudonymisation conforme au RGPD. Voir la nouvelle Définition de la pseudonymisation Dans le cadre du RGPD ci-dessous.
La protection des données pseudonymisées statistiquement utiles contre la réidentification nécessite:
- une base de sécurité de l’information solide
- contrôler le risque que les analystes, les chercheurs ou d’autres travailleurs de données provoquent une violation de la vie privée
Le pseudonyme permet de remonter les données à leurs origines, ce qui distingue la pseudonymisation de l’anonymisation, où toutes les données liées à la personne qui pourraient permettre un retour en arrière ont été purgées. La pseudonymisation est un problème, par exemple, dans les données relatives aux patients qui doivent être transmises en toute sécurité entre les centres cliniques.
L’application de la pseudonymisation à l’e-santé vise à préserver la vie privée du patient et la confidentialité des données. Il permet l’utilisation primaire des dossiers médicaux par les fournisseurs de soins de santé autorisés et la préservation de la vie privée par les chercheurs. Aux États-Unis, HIPAA fournit des lignes directrices sur la façon dont les données de soins de santé doivent être traitées et la dépersonnalisation ou la pseudonymisation des données est un moyen de simplifier la conformité HIPAA. Cependant, la pseudonymisation simple pour la préservation de la vie privée atteint souvent ses limites lorsque des données génétiques sont impliquées (voir également confidentialité génétique). En raison de la nature identifiante des données génétiques, la dépersonnalisation n’est souvent pas suffisante pour cacher la personne correspondante. Les solutions potentielles sont la combinaison de la pseudonymisation avec la fragmentation et le cryptage.
Un exemple d’application de la procédure de pseudonymisation est la création d’ensembles de données pour la recherche de déidentification en remplaçant les mots d’identification par des mots de la même catégorie (par exemple, en remplaçant un nom par un nom aléatoire du dictionnaire des noms), cependant, dans ce cas, il n’est généralement pas possible de remonter les données à leurs origines.
Nouvelle Définition de la pseudonymisation Selon GDPREdit
En vigueur depuis le 25 mai 2018, le Règlement Général de l’UE sur la Protection des Données (RGPD) définit la pseudonymisation pour la toute première fois au niveau de l’UE à l’article 4, paragraphe 5. En vertu des exigences de définition de l’article 4, paragraphe 5, les données sont pseudonymisées si elles ne peuvent pas être attribuées à une personne concernée spécifique sans l’utilisation d’informations supplémentaires conservées séparément. »Les données pseudonymisées incarnent l’état de l’art en matière de protection des données dès la conception et par défaut, car elles nécessitent la protection des identifiants directs et indirects (pas seulement directs). La protection des données GDPR dès la conception et par défaut, telle qu’incarnée dans la pseudonymisation, nécessite la protection des identifiants directs et indirects afin que les données personnelles ne puissent pas être recoupées (ou ré-identifiables) via « l’effet Mosaïque » sans accès à des « informations supplémentaires » conservées séparément par le responsable du traitement. Étant donné que l’accès à des « informations supplémentaires » conservées séparément est nécessaire pour la réidentification, l’attribution des données à une personne concernée spécifique peut être limitée par le responsable du traitement à des fins licites uniquement.
L’article 25(1) du RGPD identifie la pseudonymisation comme une « mesure technique et organisationnelle appropriée » et l’article 25(2) exige que les responsables du traitement:
« implementmettent en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer que, par défaut, seules les données à caractère personnel nécessaires à chaque fin spécifique du traitement sont traitées. Cette obligation s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à la durée de leur conservation et à leur accessibilité. En particulier, ces mesures veillent à ce que, par défaut, les données à caractère personnel ne soient pas rendues accessibles sans l’intervention de la personne à un nombre indéterminé de personnes physiques. »
Un noyau central de la protection des données dès sa conception et par défaut en vertu de l’article 25 du RGPD est l’application de contrôles technologiques qui soutiennent des utilisations appropriées et la capacité de démontrer que vous pouvez, en fait, tenir vos promesses. Des technologies telles que la pseudonymisation qui imposent la protection des données dès la conception et par défaut montrent aux personnes concernées qu’en plus de trouver de nouvelles façons de tirer de la valeur des données, les organisations poursuivent des approches techniques tout aussi innovantes pour protéger la confidentialité des données — une question particulièrement sensible et d’actualité compte tenu de l’épidémie de violations de la sécurité des données dans le monde.
Les domaines d’activité économique dynamiques et en croissance — « l’économie de la confiance », la recherche en sciences de la vie, la médecine / l’éducation personnalisées, l’Internet des objets, la personnalisation des biens et des services — reposent sur le fait que les individus ont confiance que leurs données sont privées, protégées et utilisées uniquement à des fins appropriées qui leur apportent, à eux et à la société, une valeur maximale. Cette confiance ne peut pas être maintenue en utilisant des approches obsolètes de la protection des données. La pseudonymisation, telle que nouvellement définie dans le RGPD, est un moyen de contribuer à la protection des données dès la conception et par défaut pour gagner et maintenir la confiance et servir plus efficacement les entreprises, les chercheurs, les prestataires de soins de santé et tous ceux qui comptent sur l’intégrité des données.
La pseudonymisation conforme au RGPD permet non seulement une utilisation plus respectueuse de la vie privée des données dans le monde actuel du » big data » de partage et de combinaison de données, mais elle permet également aux responsables du traitement et aux sous-traitants de tirer des avantages explicites du RGPD pour des données correctement pseudonymisées.Les avantages de données correctement pseudonymisées sont mis en évidence dans plusieurs articles du RGPD, notamment:
- Article 6, paragraphe 4, à titre de garantie pour aider à assurer la compatibilité des nouveaux traitements de données.
- L’article 25 en tant que mesure technique et organisationnelle pour aider à faire respecter les principes de minimisation des données et le respect des obligations de Protection des données dès la conception et par défaut.
- Les articles 32, 33 et 34 en tant que mesure de sécurité contribuant à rendre les violations de données » peu susceptibles d’entraîner un risque pour les droits et libertés des personnes physiques « , réduisant ainsi la responsabilité et les obligations de notification en cas de violation de données.
- Article 89, paragraphe 1, en tant que garantie en relation avec le traitement à des fins d’archivage dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques; en outre, les avantages de la pseudonymisation en vertu de l’article 89, paragraphe 1, offrent également une plus grande flexibilité en vertu de:
- Article 5, paragraphe 1, point b), en ce qui concerne la limitation des finalités;
- Article 5, paragraphe 1, point e), en ce qui concerne la limitation de la conservation; et
- Article 9, paragraphe 2, point j), en ce qui concerne le dépassement de l’interdiction générale de traitement Article 9, paragraphe 1, catégories particulières de données à caractère personnel.
- En outre, des données correctement pseudonymisées sont reconnues dans l’article 29 de l’Avis 06/2014 du Groupe de travail comme jouant « a un rôle en ce qui concerne l’évaluation de l’impact potentiel du traitement sur la personne concernée…faire pencher le solde en faveur du responsable du traitement » pour aider à soutenir le traitement des intérêts légitimes en tant que base juridique au sens de l’article 6, paragraphe 1, point f) du RGPD. Les avantages du traitement des données à caractère personnel en utilisant l’intérêt légitime sous pseudonyme comme base juridique en vertu du RGPD comprennent, sans s’y limiter :
- En vertu de l’article 17, paragraphe 1, point c), si un responsable du traitement montre qu’il « a des motifs légitimes impérieux de traitement » étayés par des mesures techniques et organisationnelles pour satisfaire au critère de l’équilibre des intérêts, il dispose d’une plus grande flexibilité pour se conformer aux demandes de droit à l’oubli.
- En vertu de l’article 18, paragraphe 1, point d), un responsable du traitement des données dispose d’une flexibilité pour se conformer aux demandes de limitation du traitement des données à caractère personnel s’il peut démontrer qu’il a mis en place des mesures techniques et organisationnelles afin que les droits du responsable du traitement des données l’emportent correctement sur ceux de la personne concernée, car les droits des personnes concernées sont protégés.
- En vertu de l’article 20, paragraphe 1, les responsables du traitement utilisant un traitement dans un intérêt légitime ne sont pas soumis au droit à la portabilité, qui ne s’applique qu’au traitement fondé sur le consentement.
- En vertu de l’article 21, paragraphe 1, un responsable du traitement utilisant un traitement dans un intérêt légitime peut être en mesure de démontrer qu’il a mis en place des mesures techniques et organisationnelles adéquates pour que les droits du responsable du traitement prévalent correctement sur ceux de la personne concernée, car les droits des personnes concernées sont protégés; toutefois, les personnes concernées ont toujours le droit, en vertu de l’article 21, paragraphe 3, de ne pas recevoir de publicité directe à la suite d’un tel traitement.