L’ISEP lance la toute première formation qui permet de piloter un projet d’anonymisation de données à caractère personnel, que ce soit dans le cadre d’une sous-traitance classique avec une SSII basée en Europe, dans un contexte nearshore/offshore ou dans le cadre de la loi dite « CADA » sur la réutilisation des données publiques (Open Data).

Dès qu’une entreprise ou une collectivité détient ou traite des données à caractère personnel, des règles et des contraintes très précises s’imposent à elle au titre de la loi Informatique et Libertés. Parmi les obligations, la sécurisation des données, entre autres pour empêcher « que des tiers non autorisés y aient accès », avec à la clé des risques d’ordre pénal pour le dirigeant et/ou des sanctions de la part de la CNIL.

L'anonymisation des données est l’une des démarches qui permet de respecter ce cadre.

Mais comment s'y prendre ?

Pour faire le point sur ce sujet, l’ISEP propose une journée de spécialisation, une première en son genre.

Elle décrit l'approche projet à adopter pour réussir l'anonymisation de données personnelles et sécuriser la démarche, en apprenant à éviter les pièges propres à cette approche, en découvrant les principes, les stratégies et les techniques d'anonymisation, en prenant connaissance des outils à disposition, en apprenant à auditer une démarche d'anonymisation et découvrir les failles qui permettraient de "ré-identifier" les données.

« L’anonymisation doit être considérée dans tous les projets offshore, car les transferts de données personnelles hors de l’Europe sont soumis à demande d’autorisation préalable auprès de la CNIL » indique Denis Beautier, le Responsable des programmes de la Formation Continue de l’ISEP, qui précise que « si les données personnelles sont généralement bien protégées dans les zones de production, il n’en va pas de même pour les environnements de développement ou de pré-production, sans parler de ceux de formation. Trop souvent, des données réelles sont utilisées pour s'assurer du bon fonctionnement des applications, sous forme d’extraits ou de copies complètes de données de production qui contiennent des données personnelles ou confidentielles ».

Mais de plus en plus d’entreprises mettent en œuvre des procédés d’anonymisation dans une approche d’intelligence économique. Ainsi l’un des opérateurs de téléphonie mobile prend soin de ne laisser ses développeurs travailler que sur des données totalement banalisées, et jamais sur une extraction des données clients.

De la même façon, les « producteurs de données publiques » (au sens de la Loi n° 78-753 du 17 juillet 1978 relative à la liberté d'accès aux documents administratifs et à la réutilisation des informations publiques, dite loi CADA) doivent veiller à rendre anonymes les données qu'ils transfèrent aux « réutilisateurs ». Dans une délibération très récente, la CNIL précise les informations qui doivent être rendues anonymes et indique qu’elle se réserve le droit de vérifier l’efficacité de la démarche.

Cette formation est assurée par un binôme constitué d’un expert en bases de données au sein d'un grand Ministère, qui réalise chaque année de multiples anonymisations, dont certains sur des bases d'une volumétrie très importante, et d’un titulaire du Mastère Spécialisé « Management et protection des données à caractère personnel » de l’ISEP.

Ces intervenants ont pris soin d’intégrer les aspects budgétaires, notamment pour permettre aux Collectivités d’évaluer les coûts induits par l’anonymisation, coûts qu’elles peuvent inclurent dans les licences qu’elles imposent aux « réutilisateurs » de données publiques.

La première session de cette nouvelle formation se tient le 16 mars 2011.