AccueilđŸ‡«đŸ‡·Chercher

Anonymisation

L' anonymisation de donnĂ©es (a fortiori personnelles) consiste Ă  modifier le contenu ou la structure de ces donnĂ©es afin de rendre trĂšs difficile ou impossible la « rĂ©-identification » des personnes (physiques ou morales) ou des entitĂ©s concernĂ©es (ce qui implique de bien dĂ©finir ce que signifie dans ce cadre le concept d’identifiabilitĂ©[1]). Les anglophones parlent aussi parfois de De-Identification (DE-ID)[2].

Le choix d'anonymiser des donnĂ©es rĂ©sulte souvent d'un compromis dĂ©ontologique, juridique et Ă©thique, entre une volontĂ© ou une obligation de protĂ©ger les individus et leurs donnĂ©es personnelles. L'anonymisation est en particulier employĂ©e pour la diffusion et le partage[3] de donnĂ©es jugĂ©es d'intĂ©rĂȘt public, comme les donnĂ©es ouvertes (Open data).

L'utilisation de donnĂ©es anonymisĂ©es soulĂšve encore des questions juridiques et Ă©thiques car elle peut aussi ĂȘtre une « barriĂšre » ou un frein[4] Ă  la recherche mĂ©dicale, « observationnelle »[5]. De mĂȘme, de nombreuses exceptions Ă  cette rĂšgle (par exemple pour certaines donnĂ©es mĂ©dicales, concernant la dĂ©fense ou la sĂ©curitĂ© intĂ©rieure) sont intĂ©grĂ©es dans le droit des pays dĂ©mocratiques. Cette utilisation s'accompagne parfois d'une limite Ă  la durĂ©e de conservation.

Histoire

Si la notion de confidentialitĂ© des donnĂ©es personnelles — en particulier mĂ©dicales – remonte Ă  Hippocrate[6], le stockage et traitement informatique Ă  large Ă©chelle de donnĂ©es personnelles ont rĂ©cemment bouleversĂ© cette question.

Les États-Unis et les États membres de l'Union europĂ©enne se sont peu Ă  peu dotĂ© d'une lĂ©gislation nationale ou supranationale sur la protection de la confidentialitĂ© des donnĂ©es, y compris des donnĂ©es informatisĂ©es (en Europe depuis la Directive 95/46/CE sur la protection des donnĂ©es personnelles) qui a imposĂ© aux États membres d'harmoniser leur lĂ©gislation en la matiĂšre avant le , y compris concernant le transfert de donnĂ©es vers des pays hors-Union europĂ©enne par exemple (enjeu important puisque pour des raisons de coĂ»ts, le traitement ou l'exploitation de certaines donnĂ©es peuvent ĂȘtre externalisĂ©s et dĂ©localisĂ©s hors d'Europe).

La directive europĂ©enne ne concerne que les donnĂ©es non anonymisĂ©es et stipule que l'utilisation de « donnĂ©es anonymes » ne relĂšve pas de sa compĂ©tence : selon le considĂ©rant 26 de la directive, « les principes de la protection des donnĂ©es ne s'appliquent pas aux donnĂ©es rendues anonymes d'une maniĂšre telle que la personne concernĂ©e n'est plus identifiable ». ce qui a Ă©tĂ© confirmĂ© et prĂ©cisĂ© par la jurisprudence en Angleterre et au Pays de Galles (arrĂȘt de la Cour d'appel). Les premiers textes (nationaux ou europĂ©ens) Ă©taient peu prĂ©cis sur la maniĂšre dont il faut anonymiser les donnĂ©es nominatives ou personnelles.

Pour certaines données, l'anonymisation nécessite encore le consentement des personnes concernées, et de maniÚre générale, le fait de se réserver la possibilité de désanonymiser la donnée avant un certain délai (au moyen d'une ou plusieurs clés de déchiffrement en général) devrait aussi requérir le consentement préalable des personnes concernées.

On cherche maintenant Ă  amĂ©liorer la sĂ©curitĂ© des transferts de donnĂ©es sans freiner les flux de transferts ni entraver les besoins lĂ©gitimes de circulation de donnĂ©es Ă  grain fin (ce qui peut par exemple ĂȘtre crucial pour la mĂ©decine Ă  distance)[7].

Enjeux de l'anonymisation

Les enjeux sont Ă  la fois Ă©thiques, juridiques, informationnels et de bonne gouvernance[8] - [9].

En outre, des enjeux nouveaux sont nĂ©s de l'apparition de l'Internet qui a augmentĂ© l'accĂšs Ă  l'information, permis Ă  des personnes d'offrir aux autres - parfois inconsidĂ©rĂ©ment ou en Ă©tant mal informĂ© des risques - des Ă©lĂ©ments de sa vie privĂ©e (via les blogs et forums, ou pages personnelles par exemple), rendant plus difficile le « droit Ă  l'oubli ». Des efforts sont faits depuis les annĂ©es 1990 au moins pour informer les patients de l'utilisation possible de leurs donnĂ©es mĂ©dicales ou de certaines donnĂ©es plus ou moins personnelles, et de leur droit Ă  la vie privĂ©e. Ces efforts doivent ĂȘtre renforcĂ©s par une rĂ©glementation europĂ©enne unifiĂ©e a estimĂ© le parlement europĂ©en en 2013-2014 et selon la vice-prĂ©sidente Viviane Reding (commissaire Ă  la Justice de l'UE) « La protection des donnĂ©es se fait en Europe. De solides rĂšgles de protection des donnĂ©es doivent ĂȘtre la marque de l'Europe. AprĂšs des scandales d'espionnage des donnĂ©es mondiales par les AmĂ©ricains, la protection des donnĂ©es est plus que jamais un facteur de compĂ©titivitĂ©... »[10].

Dans certains contextes ou pour des raisons personnelles, une personne peut souhaiter l'anonymat (ou pouvoir utiliser un pseudonyme, ou refuser que son nom soit citĂ©, son visage montrĂ©, etc.). L'anonymat est obligatoire quand la loi impose de protĂ©ger certaines donnĂ©es personnelles ou donnĂ©es sensibles en les anonymisant, ce qui peut permettre une certaine rĂ©utilisation de donnĂ©es d'intĂ©rĂȘt public et gĂ©nĂ©ral (bien commun), sans menacer la personne.

La pseudo-anonymisation provisoire (en rĂ©alitĂ©, un masquage de l'identitĂ© de son auteur) d'une copie d'examen permet Ă  l'examinateur de moins ĂȘtre influencĂ© par le nom, la classe ou la nationalitĂ© de l'Ă©lĂšve.

Selon le contexte, l'anonymisation d'un personne dans un débat, un reportage, etc. lui permet d'échapper à d'éventuelles représailles, à une stigmatisation ou simplement à un accÚs non souhaitable à sa vie privée, mais elle peut en revanche parfois nuire à la crédibilité de cette personne ou à la qualité (en termes de précision) de l'information. L'anonymisation d'une donnée contenant des éléments personnels diminue parfois la valeur de cette donnée du point de vue statistique, de sa pertinence ou de son utilité pour la Recherche.

L'anonymisation des fichiers d'enquĂȘtĂ©s produits lors de sondages d'opinion est une opĂ©ration qui peut revĂȘtir un sens sociologique. La sociologue Emmanuelle Zolesio suggĂšre aux sociologues qui analysent des donnĂ©es anonymisĂ©es de ne pas envisager l'anonymisation de façon dĂ©connectĂ©e du reste de l'analyse des entretiens. Pour les cas oĂč l'enquĂȘteur « offre un retour Ă  ses enquĂȘtĂ©s en leur faisant lire les rĂ©sultats de sa recherche », il existe des mĂ©thodes pour anonymiser des donnĂ©es dans les cas oĂč les enquĂȘtĂ©s se connaissent et peuvent se reconnaĂźtre malgrĂ© les changements de noms faits par l'enquĂȘteur[11].

Des enjeux particuliers concernent la lutte contre le spam ciblĂ©[12], la protection des donnĂ©es de santĂ© et plus gĂ©nĂ©ralement biomĂ©dicales (dont code gĂ©nĂ©tique), avec par exemple l'Ă©tablissement de registres du cancer, de registres de maladie, de cartographie Ă©pidĂ©miologique, etc. Dans ce domaine, la recherche mĂ©dicale ou Ă©coĂ©pidĂ©miologique, ou les organismes de santĂ©[13], ont parfois impĂ©rativement besoin de donnĂ©es permettant d'identifier le patient (et l'obligation systĂ©matique de passer par le consentement Ă  utilisation de donnĂ©es personnelles par chaque patient induirait un biais important d'interprĂ©tation de la donnĂ©e et peut ĂȘtre un frein Ă  la recherche[14] - [15] - [16] - [17]). Les utilisateurs de ces donnĂ©es sont alors soumis Ă  des prescriptions particuliĂšres. Dans certains pays l'obligation de confidentialitĂ© est encore renforcĂ©e pour certaines maladies (ex : maladies sexuellement transmissibles).

Enjeux légaux

Dans le cadre des diffusions de certaines donnĂ©es publiques contenant des informations privĂ©es, et notamment dans le cadre de l'open data (donnĂ©es ouvertes), certaines donnĂ©es doivent obligatoirement ĂȘtre « anonymisĂ©es » pour leur rĂ©utilisation par des tiers, selon les lois en vigueur[18].

Un enjeu permanent est de mettre à jour la réglementation et les bonnes pratiques, et de préciser ses interprétations possibles[4] alors que les possibilités informatiques de croiser des données issues de l'Internet évoluent rapidement. Les contrÎleurs de données sont également particuliÚrement concernés.

Le cas particulier des maladies à déclaration obligatoire

Les déclarations de certaines maladies (dites « maladies à déclaration obligatoire » ou MDO) sont anonymisées de maniÚre irréversible (SIDA/VIH par exemple en France) afin de protéger au mieux les patients, tout en permettant d'améliorer la veille sanitaire, la prévention et les études épidémiologiques.

Le cas particulier des données de génomique

Avec les progrÚs et la diminution des coûts de l'analyse génétique, émergent de nouveaux enjeux de bioéthique[19] : à quel point une donnée anonyme est anonyme ? s'interrogeaient en 2012 Harald Schmidt Shawneequa Callier[20], et d'autres[21]. De plus le génome d'une personne contient aussi des informations a priori personnelles sur ses ascendants. Déjà en 2008, des acteurs du secteur de la génomique tels Greenbaum et al. se demandaient en 2008 si l'anonymat génétique n'est pas déjà perdu[22].

Le partage et mĂȘme la publication en open data de donnĂ©es gĂ©nomiques anonymisĂ©es se sont montrĂ©s ĂȘtre d'un grand intĂ©rĂȘt pour les avancĂ©es de la mĂ©decine en particulier et de la science en gĂ©nĂ©ral[23], mais tout en Ă©tant source d'inĂ©galitĂ©s et de risques nouveaux en cas de mauvais usage de certaines donnĂ©es.

En 2008, le NIH a durci ses rĂšgles de sĂ©curisation, aprĂšs qu'un article ait dĂ©montrant qu'il est possible de dĂ©tecter fiablement l'ADN d'une personne mĂȘme si cet ADN reprĂ©sente moins de 1 % du volume total d'ADN analysĂ©[24]. Peu aprĂšs l'un des haut-responsables du NIH, via une lettre au Journal Science pressait la communautĂ© scientifique de « considĂ©rer attentivement comment ces donnĂ©es Ă©taient partagĂ©es, et Ă  prendre des prĂ©cautions appropriĂ©es » pour protĂ©ger la confidentialitĂ© des donnĂ©es mĂ©dicales et la vie privĂ©e des patients ou participants Ă  des programmes d'Ă©tudes gĂ©nĂ©tiques[25].
George Church, l'un des crĂ©ateurs du Personal Genome Project (PGP) Ă©tait dĂ©jĂ  prĂ©occupĂ© par le fait que l'ADN est « l'identifiant numĂ©rique ultime de l'individu et que beaucoup de ses traits peuvent ĂȘtre ainsi identifiĂ©s », estimant donc que promettre aux donneurs d'Ă©chantillons d'ADN une totale protection de la vie privĂ©e et de la confidentialitĂ© serait impossible et malhonnĂȘte. En outre, la dĂ©sidentification de tels Ă©chantillons appauvrirait la fois des donnĂ©es gĂ©notypiques et phĂ©notypiques, c'est pourquoi ce programme est devenu selon Misha Angrist (l'un des fondateurs du projet) le plus connu pour son approche particuliĂšrement poussĂ©e (sans prĂ©cĂ©dent) de consentement Ă©clairĂ©[26] : chaque participant doit passer un examen portant sur ses connaissances des questions scientifiques et de confidentialitĂ© gĂ©nomiques et donner son accord de renonciation Ă  la vie privĂ©e et la confidentialitĂ© de leurs donnĂ©es gĂ©nomiques et des dossiers de santĂ© personnels. 100 000 participants devraient ĂȘtre concernĂ©s par ce seul programme. Ceci peut ĂȘtre source de biais d'interprĂ©tation, car le programme n'a retenu que des individus pouvant tolĂ©rer l'incertitude (acceptant de donner un consentement Ă©clairĂ©). L'ampleur de ce biais ne peut Ă  ce jour ĂȘtre mesurĂ©e, mais les rĂ©sultats finaux devront en tenir compte.

De par le monde, de nouvelles méthodes dévaluation des enjeux[27] et d'anonymisation d'analyses génétiques sont testées[28].

Le cas particulier de l'anonymisation de textes ou de corpus textuels

Une fois retirĂ© les identifiants habituels d'un texte, il peut y rester des noms de ville, de lieux, des expressions particuliĂšres qui permettraient d'identifier son auteur ou la personne dont on parle. Des logiciels spĂ©cialisĂ©s peuvent repĂ©rer ces Ă©lĂ©ments en comparant le texte Ă  des ressources linguistiques tels que des listes de lieux ou villes, noms d’hĂŽpitaux ou d’institutions de soins, expressions rationnelles, etc. Nombre de ces logiciels ont cependant Ă©tĂ© conçu pour l'anglais et doivent ĂȘtre "françisĂ©s" ou adaptĂ©s Ă  d'autres langues.

Comment anonymiser des données ?

Qui anonymise ?

L'anonymisation peut ĂȘtre rĂ©alisĂ©e « Ă  la source » par l'entitĂ© produisant les donnĂ©es, ou « en sortie », aprĂšs traitement et analyse.

Dans un nombre croissant de pays, l'anonymisation est rĂ©alisĂ©e par des entreprises agrĂ©Ă©es, « par un personnel nommĂ© et dont le contrat de travail peut ĂȘtre rĂ©voquĂ© en cas de violation de la confidentialitĂ© du patient »[29]. En Europe, une convention (European Convention for the Protection of Human Rights and Fundamental freedoms) prĂ©cise que la vie privĂ©e comprend la vie privĂ©e d'une personne, de sa famille, son domicile et aussi sa correspondance.

Étapes de l'anonymisation

Une premiÚre étape, minimale consiste à supprimer les identifiants des fiches ou des bases de données concernées ; ces identifiants sont généralement :

  • noms, prĂ©noms (pseudonymisation du patient, du mĂ©decin, d'une fratrie, etc) ;
  • sexe ;
  • Ăąge (Ă©ventuellement uniquement si supĂ©rieur Ă  90 ans)[30];
  • adresses, noms de lieux[30] ;
  • tĂ©lĂ©phone, tĂ©lĂ©copie, courriel, URLs, adresses IP[30] ;
  • numĂ©ros identifiants (ex : de sĂ©curitĂ© sociale, complĂ©mentaire santĂ©, d'assurance, de dossier mĂ©dical, de compte bancaire, de carte d’identitĂ© ou permis de conduire, etc.[30] ;
  • numĂ©ro de sĂ©rie et/ou identifiant d’appareil implantĂ©[30] ;
  • identifiants biomĂ©triques[30] ;
  • tout autre Ă©lĂ©ment permettant d'identifier la personne concernĂ©e par les donnĂ©es (ex : photographies du visage, de blessures ou de cicatrices reconnaissables, ou encore de tatouages)[30].

L'étape suivante consistera à appliquer aux fichiers ou bases de données des « filtres » et « transformations cryptographiques » (exemple : chiffrement et/ou hachage de données par un algorithme dédié, par exemple SHA pour Secure Hash Algorithm), mais avant ce travail, le gestionnaire des données procÚde ou fait procéder à une étude clarifiant son besoin d'anonymisation, ses objectifs et ses exigences (exemple : doit-il y avoir une réversibilité possible de l'anonymisation ?), hiérarchisant le cas échéant les données à protéger, selon leur degré de « sensibilité » et en fonction de la finalité du traitement que doivent ensuite subir les informations. Il peut ainsi produire et comparer plusieurs scénarios d'anonymisation pour mieux choisir la solution lui semblant la plus pertinente (en fonction de ses exigences[30], et des exigences de la Loi). Dans tous les cas l'anonymisation doit résister aux attaques par dictionnaire.

Plusieurs phases et niveaux d'anonymisation se succĂšdent parfois : par exemple l’hĂŽpital procĂšde Ă  une premiĂšre anonymisation, le centre de traitement des donnĂ©es peut ensuite complĂ©ter ce travail, et les utilisateurs secondaire (chercheurs en gĂ©nĂ©ral) peuvent encore sur-anonymiser la donnĂ©e retravaillĂ©e (avant sa publication dans une revue ou distribution Ă  d'autres utilisateurs)[30]. De nombreuses mĂ©thodes existent (effacement de certaines donnĂ©es et/ou transcodage manuel, translation mathĂ©matique, transformation automatique par un logiciel ad hoc) ; utilisation de pseudonymes par exemple pour le couple mĂ©decin/patient ; de chiffrement (gĂ©nĂ©ralement avec une clĂ© publique - Ă©ventuellement fragmentĂ©e - possĂ©dĂ©e par l'autoritĂ© compĂ©tente) ; mono-anonymisation, bi-anonymisation ou multi-anonymisation[30].

Dans le domaine médical, la notion d'identité anonymisée et de ré-identification du patient concerne les moyens directs et indirects de ré-identification (ex : nom, adresse...)[31] mais également les données chiffrées si le moyen de décryptage est disponible[32].

Pour limiter les risques de fuites d'informations, une personne (ex : un patient) ne figure dans une base de donnĂ©es anonymes que si cela est obligatoire ou vraiment utile[30], et Ă  un projet peut n'ĂȘtre associĂ©e qu'une seule base anonymisĂ©e. Une sĂ©curitĂ© juridique accrue est obtenue si toutes les personnes y figurant ont donnĂ© leur consentement (par Ă©crit ou via la fourniture de son identifiant, pour une Ă©tude de nature mĂ©dico-commerciale, par exemple)[30], mais ce type de base induit des biais d'interprĂ©tation.

Bien entendu, à chaque niveau de production ou stockage de données :

  • les personnels internes doivent ĂȘtre soumis Ă  des mĂ©canismes de contrĂŽles d’accĂšs devant interdire tout accĂšs non autorisĂ© ;
  • des mĂ©canismes doivent ĂȘtre prĂ©vus pour dĂ©tecter et bloquer les tentatives d'intrusion (par l'Internet ou d'autres moyens) et en particulier les tentatives malveillantes d'infĂ©rence de donnĂ©es, d'abus de pouvoir, etc.[30]

Quelques concepts associés
  • Non-chaĂźnabilitĂ© : elle vise Ă  rendre impossible (pour d'autres) l'Ă©tablissement ou la reconstruction d'un lien entre diffĂ©rentes informations concernant une mĂȘme personne ; en interdisant par exemple la fusion ou le croisement d’informations Ă  partir de diffĂ©rents fichiers ou bases de donnĂ©es (non-interopĂ©rabilitĂ©) ;
  • Non-observabilitĂ© : elle empĂȘche un tiers d'utiliser ou mĂȘme de voir une donnĂ©e, une base de donnĂ©es (ou un service de donnĂ©es) sans contrĂŽle.

Utilisation de données anonymisées

De telles données sont de plus en plus utilisées dans de nombreux domaines (Recherche, statistique, gestion administrative, études de marché...), Ces données appartiennent par exemple aux catégories suivantes :

  • donnĂ©es de santĂ© (notamment pour les donnĂ©es sensibles ou pour les grands jeux de donnĂ©es oĂč le consentement des patients (Ă©ventuellement dĂ©cĂ©dĂ©s ou en incapacitĂ©) ne peut ĂȘtre demandĂ© ;
  • donnĂ©es sur la consommation des mĂ©nages (consommations domestiques d'Ă©nergie et d'eau notamment) ;
  • donnĂ©es judiciaires et sur certaines dĂ©cisions de justice[33] ;
  • donnĂ©es de recensements dĂ©mographiques ;
  • donnĂ©es de commerce Ă©lectronique ;
  • donnĂ©es issues de certains votes Ă©lectroniques ;
  • donnĂ©es sur le niveau de vie et le patrimoine personnel ou familial ;
  • donnĂ©es sur les facteurs de rĂ©ussite scolaire[34] et d'examens ;
  • donnĂ©es sociologiques psychologiques sur la personne (adulte, enfant, handicapĂ©, etc.) ;
  • donnĂ©es sur les violences familiales[35] ;
  • donnĂ©es sur le suicide[36] ;
  • donnĂ©es d'intĂ©rĂȘt statistique ;
  • certaines donnĂ©es d'intĂ©rĂȘt commercial


Parfois, il faut interdire toute possibilitĂ© de rĂ©-identification, ce qui implique un processus irrĂ©versible d'anonymisation, par une mĂ©thode ayant prouvĂ© sa robustesse aux infĂ©rences[37] - [38] - [39] (par infĂ©rence on entend ici la reconstitution illĂ©gale de donnĂ©es confidentielles non directement accessibles, par le moyen de recherche et mise en correspondance de plusieurs donnĂ©es lĂ©gitimement accessibles, rĂ©vĂ©lant certaines informations sur une personne. Le type d'infĂ©rence concernĂ© peut ĂȘtre inductif, dĂ©ductif, abductif ou probabiliste[40] ;

Des moyens sophistiqués semblent néanmoins pouvoir dans certains cas au moins permettre non pas une ré-identification certaine mais d'établir des probabilités que telle personne corresponde à un certain jeu de données[41]. Des logiciels permutant certaines valeurs des tables de données (de maniÚre que les données personnelles deviennent fausses, sans que la statistique globale soit faussée) et/ou introduisant aléatoirement du bruit peuvent rendre le recoupement a posteriori beaucoup plus difficile[30].

L'anonymisation de textes (ex : corpus de courriels, ou corpus de réponse à un questionnaire d'entretien
) ayant un coût significatif, les corpus anonymisés réutilisables sont assez rares[42].

Limites

Ré-identification indésirée

Certains auteurs comme Pete Warden estiment qu'il est devenu impossible de rĂ©ellement tout Ă  fait anonymiser certaines donnĂ©es et qu'il va falloir apprendre Ă  travailler avec cette limite. En effet, les chercheurs ont montrĂ© qu'un individu pouvait ĂȘtre retrouvĂ© dans une base de donnĂ©es mĂ©dicales en connaissant son sexe, code postal et sa date de naissance[43], dans une base de donnĂ©es tĂ©lĂ©phoniques sur base de quatre points de gĂ©olocalisation[44] ou encore dans une base de donnĂ©es de cartes bleues en connaissant quatre magasins et jours oĂč celui-ci a utilisĂ© sa carte[45].

Selon lui, prétendre qu'une donnée est totalement anonymisée peut en outre procurer un « faux sentiment de sécurité »[46].

Il recommande de ne pas abandonner l'anonymisation (car elle freine et rend couteux le processus de reconstruction), mais il faut aussi diffuser plus intelligemment les données, en limitant si possible leur niveau de précision, et en apprenant des experts (des sociologues, médecins, économistes et d'autres travaillent sur ces questions depuis plusieurs décennies).

Les chercheurs Luc Rocher, Julien M. Hendrickx et Yves-Alexandre de Montjoye estiment quant Ă  eux que les standards d'anonymisation en vigueur en 2019 sont insuffisants, notamment du point de vue du rĂšglement gĂ©nĂ©ral sur la protection des donnĂ©es de l'Union europĂ©enne, car ils permettent une rĂ©identification par recoupement avec d'autres bases de donnĂ©es. Selon leur modĂšle, 99,98 % des rĂ©sidents des États-Unis pourraient ĂȘtre rĂ©-identifiĂ©s dans n'importe quel jeu de donnĂ©es Ă  partir de quinze variables dĂ©mographiques[47].

RĂ©-identification volontaire ou provisoire

L'anonymisation peut ĂȘtre organisationnelle, cryptographique ou irrĂ©versible (fonction Ă  sens unique). L'anonymisation est par dĂ©finition irrĂ©versible, s'il est possible de remonter Ă  la personne originelle, on appelle cela de la pseudonymisation. L'un des moyens de sĂ©curiser une donnĂ©e en conservant la possibilitĂ© d'une rĂ©-identification ultĂ©rieure est d'utiliser une carte Ă  puce qui peut alĂ©atoirement gĂ©nĂ©rer et mĂ©moriser plusieurs identifiants anonymes secondaires[30].

L'opinion du public sur l'anonymisation

Mesurer les évolutions de la perception du public concernant les procédures actuelles et les scénarios futurs d'usages secondaires et partagés de données personnelles, dans le domaine de la santé notamment (et leurs conditions d'usage), est important pour cadrer ou faire évoluer les structures éthiques et juridiques de surveillance de l'utilisation de ces données (ex CNIL en France).

Au dĂ©but des annĂ©es 2000, la plupart des citoyens europĂ©ens font gĂ©nĂ©ralement confiance aux fournisseurs de soins de santĂ© pour traiter leurs donnĂ©es dans le respect de la confidentialitĂ© : selon un sondage EurobaromĂštre, 84 % des citoyens de l'UE ont dĂ©clarĂ© qu'ils faisaient confiance Ă  la profession mĂ©dicale pour cela, mais seulement 42 % des sondĂ©s connaissaient la nĂ©cessitĂ© de fournir leur accord pour que quelqu'un puisse utiliser leurs renseignements personnels, de mĂȘme pour leur droit Ă  s'opposer Ă  certains usages de ces donnĂ©es[48].

Diverses enquĂȘtes d'opinion ou Ă©tudes scientifiques montrent que, depuis l'avĂšnement de l'informatisation des donnĂ©es, le public est au dĂ©but des annĂ©es 2000 prĂȘt Ă  accepter l’informatisation des dossiers mĂ©dicaux[49], mais en restant de maniĂšre gĂ©nĂ©rale, et avec peu de distinction selon l'origine gĂ©ographique, ethnique ou le sexe, trĂšs soucieux de la protection de la vie privĂ©e et des donnĂ©es personnelles. Ainsi en 2014, « Neuf EuropĂ©ens sur dix (92%) disent qu'ils sont prĂ©occupĂ©s par les applications mobiles (App) susceptibles de collecter leurs donnĂ©es sans leur consentement »[10] et « Sept EuropĂ©ens sur dix sont prĂ©occupĂ©s par l'utilisation potentielle que les entreprises peuvent faire de l'information divulguĂ©e »[10].

Selon une étude nord-américaine publiée en 2013, plus qu'à l'utilisateur ou à la nature plus ou moins sensible de l'information partagée, le public interrogé souhaitait d'abord et surtout savoir ce qui sera spécifiquement fait avec ces données personnelles.

Une autre étude de 2013 montre que le « grain » d'anonymisation (degré de floutage en quelque sorte) est aussi un souci pour le public[50]

Concernant la santĂ©, alors que l'informatisation de la mĂ©decine se dĂ©veloppe rapidement[51], le public admet l'importance de l'accĂšs Ă  la donnĂ©e non anonymisĂ©e au personnel mĂ©dical responsable des soins primaires, et au patient lui-mĂȘme, mais il est soucieux d'une bonne anonymisation de ces donnĂ©es quand elles doivent faire l'objet d'usages secondaires[52]. La propriĂ©tĂ© de l'information mĂ©dicale n'est pas toujours claire[53].

Une enquĂȘte de 2004 basĂ©e sur des groupes de discussion mĂȘlant du personnel mĂ©dical et quelques personnes non-personnel de santĂ© de « community health councils » anglais a montrĂ© qu'on ne pouvait pas a priori prĂ©sumer l'acceptabilitĂ© par le public anglais d'une utilisation du contenu du dossier mĂ©dical sans consentement prĂ©alable du patient. Tous soutenaient la recherche Ă  partir de ces donnĂ©es, mais tout en se montrant prĂ©occupĂ©es par les risques de diffusion indue Ă  partir de la collecte de donnĂ©es faites Ă  partir des dossiers mĂ©dicaux sans consentement du patient (collecte vĂ©cue comme un manque de respect induit par la perte de contrĂŽle du patient sur ces donnĂ©es). Dans les groupes interrogĂ©s lors de cette Ă©tude, l'accĂšs aux donnĂ©es personnelles par des organismes externes non autorisĂ©s Ă©tait une crainte communĂ©ment Ă©mise. Et les informateurs-clĂ©s s'y sont montrĂ©s plus critiques vis-Ă -vis des scĂ©narios et moins bien accepter les risques de dĂ©rives[54].

L'anonymisation doit donc ĂȘtre prise en compte, en amont dans la planification des soins et des politiques mĂ©dicales[55] et les procĂ©dures d'essais cliniques, de mĂ©dicaments notamment[56] et lors de la constitution de bases de donnĂ©es destinĂ©es Ă  la recherche mĂ©dicale[57].

Attaques

L'anonymisation peut ĂȘtre attaquĂ©e par des attaques comme l'attaque par individualisation[58].

Notes et références
  1. Hull SC, Wilfond BS (2008), What does it mean to be identifiable. Am J Bioeth. 2008 Oct; 8(10):W7-8 (lien, sans résumé)
  2. Neamatullah, I., Douglass, M. M., Lehman, L.-W. H., Reisner, A., Villarroel, M., Long, W. J., Szolovits, P., Moody, G. B., Mark, R. G., and Clifford, G. D. (2008). Automated de-identification of free-text medical records. BMC Medical Informatics and Decision Making , 8
  3. Happe, A., Burgun, A., & BrĂ©mond, M. (2000). Le partage de l’information: une Ă©tape indispensable pour accroĂźtre l’efficience de notre systĂšme de santĂ©. L'informatique au service du patient: Comptes rendus des huitiĂšmes JournĂ©es Francophones d'informatique MĂ©dicale, Marseille, 30 et 31 mai 2000, 12, 101 (Lien vers Google Livre)
  4. Strobl J, Cave E, Walley T (2000), Data protection legislation : interpretation and barriers to research. BMJ . 321890–892.892
  5. Al‐Shahi R, Warlow C. Using patient‐identifiable data for observational research and audit. BMJ 2000. 3211031–1032.1032
  6. Edelstein L. (1943) The Hippocratic Oath, Text, Translation and Interpretation. VII. The Johns Hopkins Press; MD, USA: 1943. voir page 64
  7. Agrawal R, Johnson C. (2007), Securing electronic health records without impeding the flow of information ; Int J Med Inform. 2007 May-Jun; 76(5-6):471-9. (résumé)
  8. Graeme Laurie, Nayha Sethi Eur J (2014), Towards Principles-Based Approaches to Governance of Health-related Research using Personal Data Risk Regul. Author manuscript; available in PMC 2014 January 9. Published in final edited form as: Eur J Risk Regul. 2013 January 1; 4(1): 43–57. PMCID:PMC3885861 (rĂ©sumĂ©)
  9. Nayha Sethi, Graeme T. Laurie (2013), Delivering proportionate governance in the era of eHealth: Making linkage and privacy work together ; Med Law Int. 2013 June; 13(2-3): 168–204. doi: 10.1177/0968533213508974 PMCID:PMC3952593 (rĂ©sumĂ©)
  10. Commission européenne (2014) Progress on EU data protection reform now irreversible following European Parliament vote, Strasbourg, 12 mars 2014
  11. Emmanuelle Zolesio (2011), Anonymiser les enquĂȘtĂ©s. Interrogations ?, p. 174-183. <halshs-00739600> (rĂ©sumĂ©)
  12. Commission européenne (2006) Protecting privacy and fighting spam ; Fact sheet 24 (January 2006), PDF, 2 pages
  13. Brown P. Health bodies defend their right to access patient data. BMJ 2002. 3241236
  14. Verity C, Nicoll A (2002), Consent, confidentiality, and the threat to public health Surveillance. BMJ. 3241210–1213.1213
  15. Iversen A, Liddell K, Fear N. et al. (2006) Consent, confidentiality, and the Data Protection Act. BMJ. 332165–169.169
  16. Morrow J. Data protection and patient's consent. BMJ 2001. 322549
  17. Warlow CP, Al-Shahi R. (2000), Differentiating between audit and research. Undue protection of patient confidentiality jeopardises both research and audit BMJ. 2000-03-11 ; 320(7236):713 (lien, sans résumé)
  18. Les collectivités peuvent-elles refuser la mise à disposition de données ?, interview d'Anne Josso, secrétaire générale adjointe de la CADA, La gazette des communes, Dossier « Open data », consulté 2011/05/04
  19. Lowrance WW, Collins FS (2007), Ethics. Identifiability in genomic research ; Science. 3 août 2007 ; 317(5838):600-2.
  20. Harald Schmidt, Shawneequa Callier (2012), How anonymous is ‘anonymous’? Some suggestions towards a coherent universal coding system for genetic samples ; J Med Ethics. Author manuscript ; J Med Ethics. 2012 May; 38(5): 304–309. En ligne le 16 fĂ©vrier 2012 ; doi:10.1136/medethics-2011-100181 (rĂ©sumĂ©)
  21. Misha Angrist (2012) Eyes wide open: the personal genome project, citizen science and veracity in informed consent, Per Med. Author manuscript; available in PMC 2012 February 9. Published in final edited form as: Per Med. 2009 November; 6(6): 691–699. doi: 10.2217/pme.09.48 PMCID:PMC3275804
  22. Greenbaum D, Du J, Gerstein M. (2008), Genomic anonymity: have we already lost it? Am J Bioeth. 2008 Oct; 8(10):71-4.
  23. « The ability to share, and the richness of the data for maximizing the usefulness of future research, may be considered 
 as part of award decisions » il National Institute of Health. NIH Genome-Wide Association Studies Data Sharing Plan. 2007 November 27; http://grants.nih.gov/grants/gwas/gwas_data_sharing_plan.pdf.
  24. Homer N, Szelinger S, Redman M, et al., Resolving individuals contributing trace amounts of DNA to highly complex mixtures using high-density SNP genotyping microarrays. PLoS Genet. 2008;4:E1000167
  25. Zerhouni EA, Nabel EG. (2008) Protecting aggregate genomic data. Science ;322:44
  26. (en) « The Personal Genome Project : Fonctionnement duprogramme »
  27. C. Heeney, N. Hawkins, J. de Vries, P. Boddington, J. Kaye (2010), Assessing the Privacy Risks of Data Sharing in Genomics ; Public Health Genomics. 2010 December; 14(1): 17–25. En ligne 29 mars 2010 ; Doi: 10.1159/000294150 ; PMCID:PMC2872768
  28. Hara K, Ohe K, Kadowaki T, Kato N, Imai Y, Tokunaga K, Nagai R, Omata M (2003), Establishment of a method of anonymization of DNA samples in genetic research. J Hum Genet. ; 48(6):327-30. Epub 2003 May 15.
  29. Wilson, P. (2004). Legal issues of data anonymisation in research. Bmj, 328(7451), 1300-1301 ; doi: 10.1136/bmj.328.7451.1300
  30. El Kalam A.A, Deswarte Y, Trouessin G & Cordonnier (2004) Une dĂ©marche mĂ©thodologique pour l’anonymisation de donnĂ©es personnelles sensibles. In 2e ConfĂ©rence Francophone en Gestion et IngĂ©nierie des SystĂšmes Hospitaliers (rĂ©sumĂ©)
  31. Charlotte L Haynes, Gary A Cook, and Michael A Jones (2007), Legal and ethical considerations in processing patient‐identifiable data without patient consent: lessons learnt from developing a disease register ; J Med Ethics. mai 2007; 33(5): 302–307. doi: 10.1136/jme.2006.016907 PMCID: PMC2598125 (rĂ©sumĂ©)
  32. Information Commissioner's Office Data Protection 1998, Legal Guidance. Version1. « http://www.informationcommissioner.gov.uk/cms/ »(Archive.org ‱ Wikiwix ‱ Archive.is ‱ Google ‱ Que faire ?) DocumentUploads/Data%20Protection%20Act% 201998%20Legal%20Guidance.pdf
  33. Plamondon, L., Lapalme, G., & Pelletier, F. (2004, May). Anonymisation de décisions de justice. In XIe Conférence sur le Traitement Automatique des Langues Naturelles (TALN 2004) (p. 367-376).
  34. Study Hayley A. Hutchings, Annette Evans, Peter Barnes, Joanne Demmler, Martin Heaven, Melanie A. Hyatt, Michelle James-Ellison, Ronan A. Lyons, Alison Maddocks, Shantini Paranjothy, Sarah E. Rodgers, Frank Dunstan (2013), Do Children Who Move Home and School Frequently Have Poorer Educational Outcomes in Their Early Years at School? An Anonymised Cohort ; PLoS One; 8(8): e70601. Published online 2013 August 5. doi: 10.1371/journal.pone.0070601 PMCID:PMC3734306
  35. Curtis Florence, Jonathan Shepherd, Iain Brennan, Thomas Simon (2011), Effectiveness of anonymised information sharing and use in health service, police, and local government partnership for preventing violence related injury: experimental study and time series analysis BMJ. 2011; 342: d3313. Online 2011 June 16. doi: 0.1136/bmj.d3313 PMCID: PMC3116927 (https://www.ncbi.nlm.nih.gov/pmc/articles/PMC3116927/ résumé])
  36. Ann John, M Dennis, L Kosnes, D Gunnell, J Scourfield, D V Ford, K Lloyd (2014), Suicide Information Database-Cymru: a protocol for a population-based, routinely collected data linkage study to explore risks and patterns of healthcare contact prior to suicide to identify opportunities for intervention ; BMJ Open. ; 4(11): e006780. En ligne : 25 novembre 2014. doi:10.1136/bmjopen-2014-006780 ()
  37. D. Denning et P. Denning, “Data Security”. ACM Computer Survey, vol. 11, no 3, septembre 1979, ACM Press, (ISSN 0360-0300), p. 227-249
  38. F. Cuppens, “SĂ©curitĂ© des bases de donnĂ©es”, in Yves Deswarte (dir.) et Ludovic MĂ© (dir.), SĂ©curitĂ© des rĂ©seaux et systĂšmes rĂ©partis, Paris, HermĂšs science publications, coll. « IC2, RĂ©seaux et tĂ©lĂ©coms », , 266 p. (ISBN 978-2-7462-0770-7 et 978-2-746-20770-7, OCLC 469862928, BNF 39111226).
  39. A. Abou El Kalam, “ModĂšles et politiques de sĂ©curitĂ© pour les domaines de la santĂ© et des affaires sociales”, ThĂšse de doctorat, Institut National Polytechnique de Toulouse, 183 p., 04 dĂ©cembre 2003 (Rapport LAAS 03578).
  40. El Kalam A.A, Deswarte Y, Trouessin G & Cordonnier (2004) Une dĂ©marche mĂ©thodologique pour l’anonymisation de donnĂ©es personnelles sensibles. In 2e ConfĂ©rence Francophone en Gestion et IngĂ©nierie des SystĂšmes Hospitaliers (rĂ©sumĂ©), voir page 5/15, chap 3.3
  41. C. Quantin, H. Bouzelat, FA. Allaert, AM. Benhamiche, J. Faivre et L. Dusserre, “How to ensure data security of an epidemiological follow-up: quality assessment of an anonymous record linkage procedure”, International Journal of Medical Informatics 49 (1998) 117-122
  42. Reffay, C., & Teutsch, P. (2007). Anonymisation de corpus réutilisables ; soumis à la conférence EIAH'2007 : Environnements Informatiques pour l'Apprentissage Humain
  43. (en) "Anonymized" data really isn't—and here's why not
  44. (en) Yves-Alexandre de Montjoye, CĂ©sar A. Hidalgo, Michel Verleysen et Vincent D. Blondel, « Unique in the Crowd: The privacy bounds of human mobility », Nature SRep, no 3,‎ (lire en ligne)
  45. (en) Yves-Alexandre de Montjoye, « Unique in the shopping mall: On the reidentifiability of credit card metadata », Science, no 347,‎ (lire en ligne)
  46. Warden Pete "Why you can’t really anonymize your data ; It's time to accept and work within the limits of data anonymization.". O'Reilly Media, Inc. 17 mai 2011, consultĂ© 2015-01-08
  47. (en) Luc Rocher, Julien M. Hendrickx et Yves-Alexandre de Montjoye, « Estimating the success of re-identifications in incomplete datasets using generative models », Nature Communications, vol. 10, no 1,‎ , p. 1–9 (ISSN 2041-1723, DOI 10.1038/s41467-019-10933-3, lire en ligne, consultĂ© le )
  48. European Opinion Research Group (2004). Special Eurobarometer 196 : data protection. (lien).
  49. Chhanabhai P, Holt A (2007), Consumers are ready to accept the transition to online and electronic records if they can be assured of the security measures.; MedGenMed. 2007 Jan 11; 9(1):8. Epub 2007 Jan 11.
  50. Caine K, Hanania R. J (2013), Patients want granular privacy control over health information in electronic medical records. ; Am Med Inform Assoc. 2013 Jan 1; 20(1):7-15. Epub 2012 Nov 26 (résumé).
  51. King J, Patel V, Furukawa M. ONC Data Brief No. 7. Washington, DC: Office of the National Coordinator for Health Information Technology; 2012. Physician adoption of electronic health record technology to meet meaningful use objectives: 2009–2012
  52. Grande D, Mitra N, Shah A, Wan F, Asch DA (2013), Public Preferences about Secondary Uses of Electronic Health Information JAMA internal medicine. 2013 Oct 28; 173(19)1798-1806
  53. Hall MA, Schulman KA. Ownership of medical information. JAMA. 2009;301(12):1282–1284.
  54. Robling M R, Hood K, Houston H. et al (2004) Public attitudes towards the use of primary care patient record data in medical research without consent: a qualitative study. J Med Ethics. 30104–109.109 (rĂ©sumĂ©)
  55. Paterson M, Jones K, Schattner P, Adaji A, Piterman L. Aust (2011) Electronic care plans and medicolegal liability ; Fam Physician. 2011 Jun; 40(6):432-4
  56. Kadek Y. E. Aryanto, AndrĂ© Broekema, Matthijs Oudkerk, Peter M. A. van Ooijen (2012), Implementation of an anonymisation tool for clinical trials using a clinical trial processor integrated with an existing trial patient data information system Eur Radiol. 2012 January; 22(1): 144–151. En ligne : 14 aoĂ»t 2011. doi:10.1007/s00330-011-2235-y PMCID:PMC3229700 (rĂ©sumĂ©)
  57. ex : David V Ford, Kerina H Jones, Jean-Philippe Verplancke, Ronan A Lyons, Gareth John, Ginevra Brown, Caroline J Brooks, Simon Thompson, Owen Bodger, Tony Couch, Ken Leake (2009), The SAIL Databank: building a national architecture for e-health research and evaluation ; BMC Health Serv Res. 2009; 9: 157. En ligne : 4 septembre 2009 ; doi:10.1186/1472-6963-9-157 PMCID:PMC2744675 (résumé)
  58. https://theconversation.com/comment-anonymiser-des-donnees-personnelles-199922

Annexes

Articles connexes

Bibliographie
  • Commission europĂ©enne Data protection in the European Union, PDF 15 p.
  • Emam KE, Arbuckle L (2013). Anonymizing Health Data Case Studies and Methods to Get You Started. O'Reilly Media. December 2013 ; (ISBN 978-1-449-36307-9).
  • FalcĂŁo-Reis F, Costa-Pereira A, Correia ME. (2008), Access and privacy rights using web security standards to increase patient empowerment ; Stud Health Technol Inform ; 137:275-85 (rĂ©sumĂ©)
  • Gkoulalas-Divanis A, Loukides G (2012) Anonymization of Electronic Medical Records to Support Clinical Analysis (SpringerBriefs in Electrical and Computer Engineering). Springer. (ISBN 978-1-461-45667-4).
  • Grouin, C., Rosier, A., Dameron, O., & Zweigenbaum, P. (2009) Une procĂ©dure d’anonymisation Ă  deux niveaux pour crĂ©er un corpus de comptes rendus hospitaliers. In Risques, technologies de l’information pour les pratiques mĂ©dicales PDF, 22pages (p. 23-34). Springer Paris.
  • Haynes CL, G Cook GA & Jones MA (2007), Legal and ethical considerations in processing patient‐identifiable data without patient consent: lessons learnt from developing a disease register ; J Med Ethics. ; 33(5): 302–307. doi: 10.1136/jme.2006.016907 PMCID: PMC2598125 (rĂ©sumĂ©)
  • O'Brien J, Chantler C. Confidentiality and the duties of care. J Med Ethics 2003. 2936–40.40
  • Frost J, Vermeulen IE, Beekers N. (2014), Anonymity versus privacy: selective information sharing in online cancer communities. J Med Internet Res. 2014 May 14; 16(5):e126. Epub 2014 May 14.
  • Loukides, G., & Shao, J. (2007, March). Capturing data usefulness and privacy protection in k-anonymisation. In Proceedings of the 2007 ACM symposium on Applied computing (p. 370-374). ACM.
  • Parlement europĂ©en (2014) report on the Data Protection Regulation
  • Raghunathan, Balaji (June 2013). The Complete Book of Data Anonymization: From Planning to Implementation. CRC Press. (ISBN 9781482218565).
  • Rolf H. Weber, Ulrike I. Heinrich (2012). Anonymization: SpringerBriefs in Cybersecurity. Springer. (ISBN 9781447140665).
  • Terrolle D (1996) Anonymisation et dĂ©fense collective: L'usage social de l'anonymat Ă  l'encontre des SDF. Ethnologie française, 418-425.
  • Vulliet-Tavernier, S. (2000). RĂ©flexions autour de l'anonymat dans le traitement des donnĂ©es de santĂ©. MĂ©decine & Droit, 2000(40), 1-4.
  • Wendolsky, R., Herrmann, D., & Federrath, H. (2007, January). Performance comparison of low-latency anonymisation services from a user perspective. In Privacy Enhancing Technologies (p. 233-253). Springer Berlin Heidelberg
  • Zukas, M. (2007). To anonymise or not to anonymise: that is the question. Studies in the Education of Adults, 39(1), 1-4.
Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplĂ©mentaires peuvent s’appliquer aux fichiers multimĂ©dias.