La recherche a été effectuée par l'UCLouvain conjointement avec l'Imperial College of London. Les chercheurs affirment que des données rendues anonymes peuvent quand même permettre d'identifier des individus et ce, avec l'aide de l'apprentissage machine et de l'intelligence artificielle. Leurs résultats ont été publiés dans la revue scientifique Nature Communications.

Des entreprises ou des autorités qui sollicitent des données de clients ou de citoyens à des fins de traitement, sont soumises à la législation sur le respect de la vie privée, tel le GDPR. Mais dès que ces données sont rendues anonymes, elles ne tombent plus sous le coup de ces lois et peuvent en principe être vendues à des tiers. Cette anonymisation s'effectue en y ajoutant notamment un signal et en supprimant des identifications personnelles comme des noms, numéros de téléphone et adresses e-mail. Un personne n'est ainsi plus reconnaissable, acceptait-on jusqu'à présent.

Mais en utilisant des technologies modernes, les deux instituts de recherche démontrent que tel n'est pas le cas dans la pratique. Sur base de tout au plus 15 caractéristiques tel que l'âge, le sexe, l'état civil,..., ils ont en effet réussi à identifier avec une précision de 99,98 pour cent un ensemble de citoyens américains.

"S'il s'agit d'hommes trentenaires vivant à New York, cela fait beaucoup de monde, mais si l'on examine ceux qui sont nés un 5 janvier, roulent en voiture de sport rouge, ont deux filles et un chien, ils ne sont plus que très peu", indique le Dr Luc Rocher de l'UCLouvain en guise d'exemple.

Pour lui, le danger se situe surtout dans des situations, ou les données rendues anonymes sont revendues. Quiconque est capable d'identifier les personnes concernées, a alors à sa disposition un tas de données personnelles.

"Il est plutôt ordinaire que des entreprises sollicitent ce genre de données. Elles tombent dans ce cas sous le coup du GDPR. Mais elles sont libres de les revendre, dès qu'elles sont rendues anonymes. Notre recherche montre combien il est facile de pouvoir retracer des individus et avec précision", déclare le Dr Yves-Alexandre de Montoye de l'Imperial College of London.

Ce n'est pas la première fois que des données rendues anonymes peuvent quand même être tracées. Il y a des années déjà, il s'était ainsi avéré que des adresses IP anonymisées avaient permis d'identifier 1 utilisateur sur 2.

Données de patients belges

En Belgique également, des données personnelles rendues anonymes sont transférées par des autorités à des acteurs commerciaux. Dans une interview accordée à Data News l'été dernier, la ministre en charge de la santé publique, Maggie De Block, expliquait comment des données de patients étaient mises à disposition de l'industrie pharmaceutique sous la forme de 'big data' (données massives). Il s'agissait certes uniquement de renseignements rendus anonymes. Maggie De Block et Philippe De Backer (à l'époque secrétaire d'Etat pour le respect de la vie privée, puis ministre) avaient alors affirmé qu'il y aurait des conditions strictes supplémentaires, notamment une finalité des données. En théorie, ces données ne peuvent donc plus être utilisées à d'autres fins.