• GUIDE : LE RGPD EXPLIQUÉ
  • LE BLOG
  • CONTACT
www.audit-dpo.com
  • Accueil
  • Audit à blanc RGPD
  • Respecter le RGPD
  • Pourquoi s’inscrire ?
  • Demander un audit
Etat des lieux de la sécurisation de l’intégrité et de la confidentialité des données (pseudonymisation). dans le cadre du RGPD

Accueil » Etat des lieux de la sécurisation de l’intégrité et de la confidentialité des données (pseudonymisation). dans le cadre du RGPD

Etat des lieux de la sécurisation de l’intégrité et de la confidentialité des données (pseudonymisation). dans le cadre du RGPD

par Audit Pia | 3/Août/2020 | Actu, Etats des lieux |

La pseudonymisation est mise en avant par le Règlement Général sur la Protection des Données, souvent appelé par son acronyme RGPD. Elle permet de poster des informations publiques sur Internet, sans y exposer des données personnelles. C’est un atout essentiel de la sécurité informatique. En effet, les moyens d’accès à Internet sont nombreux et de plus en plus présents dans la vie de chacun : ordinateurs, smartphones, tablettes, montres connectées… Tous ces outils qui permettent de stocker des données sont susceptibles de subir des actes malveillants tels que le piratage de données personnelles, l’espionnage et l’usage abusif des données. L’utilisation constante des réseaux connectés tels que le Wi-fi ou le bluetooth augmente ces risques. Ceci est d’autant plus vrai depuis le développement du télétravail qui a brutalement augmenté suite au confinement de la pandémie du Covid 19 en 2020. L’emploi d’un pseudonyme pour se connecter à divers sites Internet n’est pas suffisant à protéger vos données et atteindre un niveau de sécurité optimal. C’est la raison pour laquelle il existe des techniques plus ou moins poussées de protection des informations personnelles.

La pseudonymisation, c’est quoi ?

C’est un traitement de données individuelles qui permet de détacher les données de la personne physique à qui elles appartiennent. Sans posséder des informations supplémentaires et privées, un pirate informatique ne pourra pas faire le lien entre les données et la personne à qui elles appartiennent. Dans la pratique, il s’agit d’un remplacement des données d’identification existantes par des données fictives qui permettent l’identification de la personne. Par exemple, le nom et le prénom sont remplacés par des pseudonymes, la date de naissance est définie aléatoirement, etc.
Ce processus permet d’empêcher une identification rapide des données. Néanmoins, il est souvent possible de retrouver la vraie identité de la personne grâce à des données supplémentaires. Il est donc nécessaire de garder ces informations supplémentaires confidensielles grâce à un système de protection complémentaire. Il faut garder en tête que les données pseudonymisées restent des données personnelles. Cette opération est réversible, à l’inverse, l’anonymisation, processus similaire plus radical et irréversible.

Comment ça marche ?

Ce mécanisme crée une clé d’identification qui permet de faire le lien entre les informations des différents utilisateurs. Par exemple, la clé peut être faite à partir d’un code difficile à mémoriser, long et sans signification telle qu’une combinaison aléatoire de caractères. Une clé efficace est une clé complexe. Après sa création, ce code est soumis à un algorithme informatique qui le transforme en un second code très complexe, grâce à un chemin algorithmique gardé secret. Si la personne ne souhaite jamais être ré-identifiée, il est possible de supprimer cette combinaison secrète afin de diminuer les risques de piratage. Il est néanmoins possible de garder cette clé d’identification si cela est souhaité. Dans ce cas, des mesures doivent être prises pour assurer sa confidentialité. Il est indispensable de la stocker de manière très sécurisée avec un contrôle d’accès performant et avec un accès tracé afin de garantir l’efficacité du processus.

Quel type de données peuvent nécessiter une protection ?

Il peut être intéressant voire indispensable de protéger :

  • Les données d’identité : nom, prénom, date de naissance, pseudonyme
  • Les documents audiovisuels : photos, vidéos, enregistrements audio
  • Les informations de contact : numéro de téléphone, adresse e-mail, adresse postale)
  • Les données relatives aux connections Internet : adresse IP, identifiants de cookies ou de connexion
  • Les données biologiques : empreinte digitale, caractéristiques de la main, reconnaissance optique
  • Les numéros de documents officiels : plaque d’immatriculation, sécurité sociale, pièce d’identité
  • Les données relative à l’usage des applications : likes, commentaires, postes, articles, etc

L’identification par un individu externe peut s’effectuer à partir d’une seule donnée, un nom par exemple ou à partir d’un croisement de données, une femme née à tel endroit, vivant à telle adresse et faisant parti de telle association par exemple.
Les données sont plus ou moins sensibles. Certaines le sont particulièrement et leur recueillement ou leur utilisation est interdite par le RGPD sauf consentement de la personne concernée (écrite de préférence). Cette spécificité concerne les informations de santé, les données génétiques et biométriques d’identification, l’orientation sexuelle et la vie sexuelle, l’origine et la nationalité, les opinions, les convictions et les engagements de nature politique, religieuse et syndicale.

Dans quel cas protéger ses données ?

Le Règlement Général sur la Protection des Données n’impose pas de pseudonymiser les informations et les données aux administrations. Il faut le considérer comme une solution possible mise à disposition pour exploiter des données personnelles tout en respectant les droits et les libertés des individus. Cependant, pour diffuser ces documents ou leur contenu, en les publiant en ligne par exemple, les administrations ont l’obligation légale de les anonymiser d’après le CRPA, le Code des relations entre le public et l’administration (article L. 312-1-2). Ainsi, des documents administratifs contenant des données personnelles peuvent être rendus publics après avoir subi un traitement des données pour empêcher l’identification de ces personnes. Ainsi, la vie privée des individus est protégée et les potentielles conséquences de la diffusion ou de l’utilisation des données est grandement réduite.

Les avantages de la pseudonymisation

  • Il offre une protection des données personnelles contre le piratage, l’espionnage et l’utilisation abusive des données.
  • Ce processus est un compromis entre conservation de données et protection des données
  • Contrairement à l’anonymisation, l’identité de la personne physique peut être retrouvée grâce à des données supplémentaires
  • Cette opération est réversible

Comment vérifier son efficacité ?

D’après les autorités de protection des données européennes, trois grands critères permettent de s’assurer que des données sont effectivement protégées et rendues peu accessibles aux personnes malveillantes :

  • La non-individualisation : il s’agit de l’impossibilité d’isoler un individu parmi un ensemble de données sans posséder des données supplémentaires, conservées secrètement. Par exemple, dans une banque de curriculum vitae, les noms et prénoms des personnes peuvent être remplacés par un numéro d’identification qui ne correspond qu’à cette candidature permettant de l’individualiser tout en protégeant ses données.
  • La non-corrélation : il s’agit de l’impossibilité de faire le lien entre deux ensembles distincts de données qui concernent un même individu. Par exemple, si une carte indique les adresses de domicile de particuliers et si ces mêmes adresses sont reliées à des individus par ailleurs. Il est alors possible d’identifier les personnes et leur adresse, leurs données ne sont donc pas protégées.
  • La non-inférence : il s’agit de l’impossibilité de déduire de nouvelles informations sur une personne. Par exemple, si une base de données contient les résultats d’un questionnaire sur le montant des impôts, d’après les caractéristiques du système d’imposition, il est possible de déduire si une personne ayant répondu au questionnaire est imposable ou non.

Cependant, il faut veiller régulièrement à la pérennité des différentes techniques permettant de rendre les données anonymes. En effet, ces dernières sont régulièrement mises à jour afin de les optimiser et il est indispensable de prêter une attention toute particulière afin de préserver la confidentialité des données précédentes.
De manière générale, il est assez complexe de choisir et d’évaluer les techniques de protection des données. C’est pour cela qu’il est conseillé aux collectivités publiques de se concerter pour travailler sur le sujet. Par exemple, en réunissant les principaux concernés : les réseaux de professionnels spécialement concernés et les délégués à la protection des données. En cas de doute, la CNIL peut faire une expertise sur les défauts fréquemment rencontrés.

  • LinkedIn
  • Twitter
  • Google+
  • Facebook

Demander une étude personnalisée

Vous souhaitez une mise en conformité de votre entreprise au RGPD applicable le 25 mai 2018 ?
  • Usages des données / finalités de traitements : les données collectées seront utilisées pour vous envoyer un e-mail à l'ouverture du service ou pour la création d'un devis dans le cadre d'une demande de prestation.
  • Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Catégories

  • Actu
  • DPO
  • Etats des lieux
  • La protection des données
  • Le RGPD
  • Le RGPD article par article
  • tweets du jour

Articles récents

  • Checklist des éléments à vérifier en 2021 pour l’audit de sa compliance RGPD
  • Article 100 – Les obligations des contractants définies
  • Etat des lieux de la mise en place un PCA et PRA dans le cadre du RGPD
  • Article 97 – Rapports de la commission
  • Etat des lieux de la gestion de la sous-traitance dans le cadre du RGPD
2018 © Audit-Pia.com | Tous droits réservés |Plan du site | Données personnelles
Posting....
Share This
  • LinkedIn
  • Twitter
  • Google+
  • Facebook