A l’occasion de la journée Sécurité des Systèmes d’Information organisée par l’OSSIR le 22 mai 2008 sur le thème « Anonymat, vie privée et gestion d’identité », l’AFCDP publie sa proposition de référentiel des outils d’anonymisation, résultats des travaux issus de l’un de ses groupes de travail, « Référentiels & Labels ».
Cette initiative relaie les efforts de la CNIL pour une meilleure protection des données à caractère personnel manipulées par les informaticiens, notamment en cas de recours à l’offshore.
- Référentiel des Outils d’Anonymisation
Selon une enquête du Ponemon Institute consacrée à l’insécurité liée aux données de test, les fichiers de clients, avec les données réelles, sont très fréquemment utilisés lors des travaux de développement et de test. Les entreprises qui prennent des mesures pour juguler les risques sont encore peu nombreuses : seuls 5% des professionnels interrogés ont connaissance des dispositifs d’anonymisation.
Par ailleurs, dans une lettre adressée le 8 février 2008 au Munci , le Président de la CNIL a invité les entreprises à revoir et améliorer la protection des données personnelles dans un contexte offshore. Dans cette optique, la Commission a créé un groupe de travail, placé sous la présidence de Didier Gasse, membre de la Cour des comptes.
L’une des approches permettant d’atteindre cet objectif consiste à traiter le problème à sa racine en éliminant le critère « personnel » aux données manipulées. Comment ? En les « anonymisant ». Ce processus vise à éviter qu’une personne, un individu, soit identifiable au travers des données collectées.
Cette notion est loin d’être normalisée, et l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel) s’est saisie l’an dernier de ce thème – par son groupe de réflexions « Référentiel & Labels ».
L’AFCDP a dans un premier temps publié
un glossaire des termes utilisés à ce sujet ;
la liste des points que le Correspondant Informatique & Libertés, ou la personne en charge de la protection des données à caractère personnel au sein d’une organisation, doit aborder et valider dans le cadre d’un projet d’anonymisation de données.
Ces deux documents sont en libre accès sur ce site Web, à la rubrique "Groupe de travail Référentiels & Labels".
En complément de ces deux premiers livrables, et à l’occasion de la journée Sécurité des Systèmes d’Information organisée par l’OSSIR le 22 mai 2008 sur le thème « Anonymat, vie privée et gestion d’identité » , l’AFCDP publie sa proposition de référentiel des dispositifs d’anonymisation.
Le premier objectif visé par ce référentiel est de permettre de distinguer ce qui peut être désigné sous le vocable « d’outil d’anonymisation ».
Ce référentiel vise également à favoriser la diffusion des technologies de protection des données à caractère personnel. Il s’applique notamment à la sécurisation des données de tests et de maintenance, utilisées soit en interne soit dans un contexte d’externalisation (near et offshore).
Un niveau minimal d’exigence est clairement établi (« référentiel de base »), tandis que des fonctionnalités avancées font partie d’un niveau d’exigence supérieur (« référentiel étendu »).
Le document pourra faciliter la tâche des acheteurs (conception d’un cahier des charges, constitution d’une short list, etc.) et celle des vendeurs (amélioration des offres, confiance et différentiation).
A moyen terme, le référentiel des dispositifs d’anonymisation pourrait s’inscrire dans le contexte des nouveaux pouvoirs de la CNIL, issus de la Loi d’août 2004, en matière de labellisation.