Publicité en cours de chargement...
Anonymisation : comparatif de trois outils (partie II)
Le troisième outil est celui de WeData, et je ne vais pas y aller par quatre chemins : dans la vie d’un ingénieur, il y a très peu de moments où l’on est littéralement scotché par les solutions techniques que l’on découvre. Pour ce qui me concerne, la première fois remonte à l’achat de l’extension 16 Ko de mon ZX81, et la dernière au vendredi 17 janvier à 10 h 30, quand l’équipe de WeData m’a déroulé une présentation technique assez précise de leur solution. L’idée est que, même en supprimant les caractères directement identifiants d’une DB (nom, prénom, date de naissance, etc.), il est démontré (voir les travaux de Luc Rocher – https://www.rocher.lc/ –, qui ont fait l’objet d’un précédent article dans les colonnes de DSIH[1]) qu’à partir de six traits il est possible de remonter aux individus dans 95 % des cas (99 % avec sept traits). En gros, les approches classiques algorithmiques ne conviennent plus puisqu’il faudrait brouiller tellement de colonnes que la DB n’aurait plus aucun sens (si on supprime tellement de colonnes de la DB RH qu’à la fin il ne reste plus que les codes postaux des villes de naissance, on ne va pas pouvoir faire grand-chose du résultat).
En substance, WeData a mis au point un algorithme d’avatarisation, qui consiste, pour chaque ligne dans la base (par exemple un patient), à construire un « patient fictif » qui est le patient d’origine pour lequel, pour chaque trait, on a introduit un « bruit » aléatoire. À titre d’illustration, si un fichier contient la taille en centimètres de chaque patient, après avoir supprimé les noms et prénoms, on ajoute 2 cm au premier, 3 cm au deuxième, on enlève 2 cm au troisième, etc. Ces ajouts et retraits sont aléatoires de sorte que si l’on rejoue le film une seconde fois on n’obtiendra pas le même résultat (non-réversibilité du bruit). De plus (et c’est là que c’est fort), les propriétés statistiques du nouvel ensemble de données sont très proches des données d’origine (même courbe de Gauss, mêmes moyennes et écarts types à epsilon près) et le delta entre les deux ensembles de données (l’original et le résultat avatarisé), qui n’est forcément pas nul, est lui-même mathématiquement quantifiable. Mieux encore : les possibilités de réidentification pour un attaquant potentiel qui disposerait de l’ensemble avatarisé sont mathématiquement quantifiables, en fonction des différents paramètres utilisés lors du processus d’avatarisation (et inutile de dire qu’on est sur des queues de pouillèmes). Aucune des solutions décrites dans le précédent volet ne permet à ma connaissance de parvenir à ce résultat.
Bon, en fait, le procédé d’avatarisation est un peu plus complexe, et je laisse le soin à WeData de le décrire dans un article à paraître dans le prochain numéro de DSIH. Reprenons l’exemple d’anonymisation du fichier des adresses des agents de l’établissement, pour lequel l’approche algorithmique consistait à remplacer chaque numéro de la rue par une plage de valeurs. Dans cet exemple, ce type de mesure convient, mais l’approche WeData va plus loin car elle consiste à utiliser une adresse fictive (changement de rue et de numéro à la fois) de telle sorte que la nouvelle adresse transmise ne soit pas suffisamment éloignée de la précédente pour changer le choix de l’emplacement de l’arrêt de bus et à rendre ainsi quasi impossible la réidentification de l’adresse réelle de l’agent. En effet, à moins d’accepter de tourner au hasard pendant des heures dans tout un quartier, vous conviendrez que c’est nettement plus complexe que de remonter une rue du numéro 1 au numéro 50.
La technologie donne le vertige tant ses applications potentielles imaginables sont nombreuses. Par exemple, transmission avatarisée de codification des actes aux commissaires aux comptes dans le cadre de leurs contrôles annuels, transmission de cohortes avatarisées aux internes pour leur thèse, transmission de base avatarisée à un éditeur pour recherche de bug, etc. Si la technologie semble avoir d’abord été mise au point pour le secteur de la recherche, ses applications sont immenses et permettent de résoudre les problèmes de manipulation de grands ensembles de données sensibles (cf. les débats sur l’entrepôt de données de recherche national).
Pour clore le sujet (si tant est que cela soit possible), il faut savoir que la question de l’anonymisation se traite différemment selon au moins trois configurations bien identifiées : celle des grands ensembles de données nominatives (pour lesquels Arcad Software et WeData offrent une réponse valable), celle des données en marge (par exemple un jeu de 100 sages-femmes comprenant un unique individu masculin) et enfin celle des petits ensembles telle la population de patients atteints d’une maladie rare (dans certains cas, moins de 50 dans toute la France). Et, à titre personnel, je serais curieux de savoir si cette technique d’avatarisation conserve les propriétés de la loi de Benford (qui stipule que dans une série de nombres, le chiffre de premier rang – par exemple les milliers – qui apparaît le plus souvent est « 1 », suivi de « 2 », etc.). Si tel est le cas, je prédis un changement radical de la fonction de contrôleur financier.
[1] /article/3568/vous-prendrez-bien-un-peu-de-donnees-personnelles.html
Avez-vous apprécié ce contenu ?
A lire également.
Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée
24 avril 2025 - 15:14,
Actualité
- DSIHLa Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...
Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine
21 avril 2025 - 19:07,
Tribune
-Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...
L’arnaque à l’arrêt de travail comme source de réflexion
14 avril 2025 - 21:57,
Tribune
-Soupçonné d’avoir mis en place un site Web permettant d’acheter de « faux » arrêts de travail en quelques clics et pour 9 euros seulement, un jeune homme de 22 ans originaire des Landes est sous le coup d’une accusation et de poursuites diverses. Les faux arrêts de travail étaient générés automatiqu...
Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025
08 avril 2025 - 07:19,
Tribune
-Le temps des mails provenant d’un prince nigérian qui requiert votre aide pour toucher un héritage, ou de la petite Marie qui attend désespérément une greffe, est révolu : les techniques ont évolué, les outils aussi, les réseaux se sont structurés et professionnalisés. Petit panorama, forcément inco...