Le RGPD impose que les données personnelles soient conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
Cette durée peut être déterminée par la loi sinon, il convient de déterminer des durées pour chaque phase du cycle de vie de la donnée et de pouvoir en justifier.
A l’expiration de la durée qui a été déterminée, il convient soit de supprimer ou purger les données soit de supprimer leur caractère identifiant par un processus d’anonymisation.
Qu’est ce que l’anonymisation ?
L’anonymisation consiste à utiliser un ensemble de techniques de manière à rendre impossible toute identification de la personne par quelque moyen que ce soit et ce, de façon irréversible. Il ne doit plus être possible d’aboutir à :
- L’individualisation : est-il toujours possible d’isoler un individu ?
- La corrélation : est-il toujours possible de relier entre eux des ensembles de données distincts concernant un même individu ?
- L’inférence : peut-on déduire de l’information sur un individu ?
Cette technique est utilisée pour des besoins statistiques ou en cas d’impossibilité de supprimer des données.
On distingue deux grandes approches de l'anonymisation :
La randomisation transforme les données, afin qu’elles ne se réfèrent plus à une personne réelle.
- Ajout de bruit pour modifier les données
- Permutation pour mélanger les données
- Confidentialité différentielle
La généralisation permet de diluer les données de façon à qu’elles ne soient plus spécifiques à une personne mais communes à un ensemble d’individus.
- K-anonymisation ou agrégation pour regroupe une personne concernée avec k-individus et empêcher ainsi la possibilité d’isoler un individu.
- I-diversité / T-proximité pour étendre le k-anonymat et faire en sorte qu’il ne soit plus possible d’obtenir des résultats certains au moyen d’attaques par interférence.
