Selon une enquête du Ponemon Institute consacrée à l’insécurité liée aux données de test, les fichiers de clients, avec les données réelles, sont très fréquemment utilisés lors des travaux de développement et de test. Les entreprises qui prennent des mesures pour juguler les risques sont encore peu nombreuses : seuls 5% des professionnels interrogés ont connaissance des dispositifs d’anonymisation.

Ces fichiers de tests – avec données réelles – sont trop souvent transmis aux entreprises étrangères, dans le cadre de contrats d’externalisation. Lors de son audition devant une commission de l’Assemblée nationale en janvier dernier, le Président de la CNIL – Monsieur Alex Türk – a clairement évoqué les sanctions qui pourraient être infligées aux entreprises françaises surprises en situation illégale à cet égard. A court terme les contrôles devraient doubler, pour se rapprocher notamment des 700 contrôles qu’opère annuellement l’autorité espagnole.

Dans une lettre adressée le 8 février 2008 au Munci, le Président de la CNIL a invité les entreprises à revoir et améliorer la protection des données personnelles dans un contexte offshore. Dans cette optique, la Commission a créé un groupe de travail, placé sous la présidence de Didier Gasse, membre de la Cour des comptes.

L’une des approches permettant de se mettre en conformité consiste à traiter le problème à sa racine en éliminant le critère « personnel » aux données manipulées. Comment ? En les « anonymisant ». Ce processus vise à éviter qu’une personne, un individu, soit identifiable au travers des données collectées.

Cette notion est loin d’être normalisée, et l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel) s’est saisie l’an dernier de ce thème – par son groupe de réflexions « Référentiel & Labels ».

L’AFCDP a dans un premier temps publié

– Un glossaire des termes utilisés à ce sujet ;

– La liste des points que le Correspondant Informatique & Libertés, ou la personne en charge de la protection des données à caractère personnel au sein d’une organisation, doit aborder et valider dans le cadre d’un projet d’anonymisation de données.

Ces deux documents sont en libre accès sur le site :
www.afcdp.org

En complément de ces deux premiers livrables, et à l’occasion de la journée Sécurité des Systèmes d’Information organisée par l’OSSIR le 22 mai 2008 sur le thème « Anonymat, vie privée et gestion d’identité », l’AFCDP publie sa proposition de référentiel des dispositifs d’anonymisation.

Le premier objectif visé par ce référentiel est de permettre de distinguer ce qui peut être désigné sous le vocable « d’outil d’anonymisation ».

Ce référentiel vise également à favoriser la diffusion des technologies de protection des données à caractère personnel. Il s’applique notamment à la sécurisation des données de tests et de maintenance, utilisées soit en interne soit dans un contexte d’externalisation (near et offshore).

Un niveau minimal d’exigence est clairement établi (« référentiel de base »), tandis que des fonctionnalités avancées font partie d’un niveau d’exigence supérieur (« référentiel étendu »).

Le document pourra faciliter la tâche des acheteurs (conception d’un cahier des charges, constitution d’une short list, etc.) et celle des vendeurs (amélioration des offres, confiance et différentiation).

A moyen terme, le référentiel des dispositifs d’anonymisation pourrait s’inscrire dans le contexte des nouveaux pouvoirs de la CNIL, issus de la Loi d’août 2004, en matière de labellisation.