Une quantité croissante de données personnelles est aujourd’hui collectée par des acteurs divers (industriels, organisations publiques…) pour des usages quotidiens (données de santé, utilisation des réseaux sociaux, données de géolocalisation…). Au-delà des usages primaires (comme être en lien avec ses ami.e.s sur les réseaux sociaux), l’exploitation statistique de ces données offre d’importants bénéfices (compréhension de phénomènes sociaux comme la diffusion d’infox sur les réseaux sociaux). Cependant, stocker, communiquer, analyser ces données n’est pas sans risque du fait de leur caractère potentiellement identifiant et/ou sensible. L’anonymisation s’attaque précisément à cette tension entre protection et ouverture des données.

L’anonymisation est une solution technico-juridique qui permet de faciliter l’exploitation d’informations issues de données personnelles dans le respect des droits et libertés des personnes.

La diffusion ou la réutilisation des données anonymisées respectent la vie privée des personnes concernées.

La réponse à cette question peut être à la fois technique et juridique. Techniquement, sans anonymisation solide, il n’y a pas de garantie de protection des données personnelles face aux attaques d’un utilisateur malveillant (ré-identification, reconstruction, inférences). Juridiquement, l’anonymisation ouvre des potentiels de réutilisation des données initialement interdits du fait du caractère personnel des données exploitées, et permet ainsi aux acteurs d’exploiter et de partager leur « gisement » de données sans porter atteinte à la vie privée des personnes. Elle permet également de conserver l’information au-delà de leur durée légale de conservation.

Puisque le processus d’anonymisation vise à réduire autant que possible les risques d’usage illégitime, l’exploitation future des données est ainsi limitée à certains types d’utilisation. Ces contraintes sont à prendre en compte dès le début du projet.

Pour construire un processus d’anonymisation pertinent, il est ainsi conseillé :

  • D’identifier les informations à conserver selon leur pertinence (en particulier, les éléments d’identification directe ne sont bien entendu pas pertinents dans le cadre d’une exploitation statistique des données).
  • D’identifier les usages visés (par exemple, comptages, apprentissage d’un modèle IA et lequel).
  • D’identifier les sources de connaissance auxiliaire et les attaquants potentiels.

Ce pré-requis permet de guider le choix d’un procédé d’anonymisation à mettre en œuvre : choix d’un modèle formel définissant les garanties de protection offertes, choix d’un algorithme qui aura la charge de supporter les usages visés tout en satisfaisant le modèle choisi (ou conception de cet algorithme !), et choix des divers paramètres du modèles et de l’algorithme (par exemple, niveau de protection adéquat). Ces choix sont déterminants d’une part pour le type et le niveau de protection qui seront offerts aux données, et d’autre part pour les types d’usage et niveaux d’utilité qui seront permis. Il existe de nombreux modèles et algorithmes d’anonymisation et les attaquants potentiels peuvent être variés et nombreux. Si le choix du procédé d’anonymisation est par conséquent difficile, cette étape est cruciale et mérite un examen approfondi !

Les procédés de type Differential Privacy sont aujourd’hui de plus en plus populaires (par exemple, Apple, Google, Uber, LinkedIn, Microsoft, Census Bureau) étant donné leurs propriétés mathématiques intéressantes. Les modèles de type Differential Privacy se concentrent souvent sur la dissimulation de la participation des individus aux données anonymisées et les algorithmes correspondants fonctionnent par perturbation aléatoire.

Comme toute technique de sécurité informatique, il est indispensable que le procédé d’anonymisation soit « à jour » (c’est-à-dire au niveau de l’état de l’art) et paramétré par un niveau de protection suffisant. Les garanties de protection en dépendent directement. De manière complémentaire, l’exécution d’attaques, elles aussi issues de l’état de l’art, peut permettre de mieux comprendre les risques de l’application d’un procédé d’anonymisation candidat et confirmer ou infirmer son choix.

Les techniques d’anonymisation et d’attaque étant amenées à évoluer régulièrement, il est indispensable pour tout responsable de traitement concerné, d’effectuer une veille régulière pour préserver, dans le temps, les garanties de protection des données produites. Cette veille doit prendre en compte les moyens techniques disponibles ainsi que les autres sources de données qui pourraient permettre d’attaquer les informations anonymisées.


Lorem ipsum dolor sit amet, consectetur adipiscing elit. Cras pretium, ante a dignissim tempor, urna felis sollicitudin nunc, vitae molestie risus mauris semper nibh. Aenean varius efficitur congue. Vestibulum vitae porttitor eros. Integer eget eros arcu. Etiam felis lorem, faucibus sagittis nulla vel, vestibulum rhoncus ipsum. Quisque mi felis, consectetur vitae justo vel, maximus dignissim velit. Donec leo ligula, auctor posuere tincidunt sed, placerat sit amet ex. Nunc non fringilla ipsum, sit amet pulvinar felis. Etiam ut lectus dui. Cras elementum velit eu blandit laoreet. Sed bibendum hendrerit lectus, eu sollicitudin nisl malesuada et.

Découvrir document ATélécharger document B

Restez informés

Recevez par mail les actualités du projet RUDI et les informations sur nos futures rencontres en vous inscrivant à la newsletter :

[mailjet_subscribe widget_id= »2″]


bandeau consortium partenaires RUDI

Restez informés

Recevez par mail les actualités du projet RUDI et les informations sur nos futures rencontres en vous inscrivant à la newsletter :

[mailjet_subscribe widget_id= »2″]


bandeau consortium partenaires RUDI
bandeau financement union europenne