C’est l’histoire d’un prêtre qui rentre dans un bar : de l’importance de l’anonymisation
Rédigé par Martin Biéri
-
29 juillet 2021L’article du Washington Post relate l’identification d’un prêtre utilisateur d’une application de rencontre gay à travers la récupération d’une base de données censées être « anonymisées ». Cette fois cependant, il ne s’agit pas d’une démonstration théorique par des chercheurs, mais bien d’une utilisation assez simple de croisement d’informations par des particuliers.
L’histoire pourrait n’être qu’un simple fait divers un peu étrange : un prêtre catholique américain a dû démissionner de ses fonctions après qu’un journal a enquêté sur ses mœurs, à savoir le fait d’utiliser une application de rencontre gay et de fréquenter des bars gays, parfois lors de voyages professionnels. Mais l’interrogation principale de l’article du Washington Post est le « comment » de cette enquête. Car, si le journal catholique The Pillar indique que c’est grâce à la récupération d’une base de données de données d’applications que ces journalistes ont pu identifier l’homme de foi en question, il manque quelques informations sur le contenu de cette base de données.
The Pillar précise que la base était « commercialement disponible » aux Etats-Unis, avec des données remontant à 2018. Le journal catholique explique aussi succinctement que les données des applications sont agrégées par ces mêmes applications et ensuite vendues à des data brokers (ou vendors) qui eux-mêmes revendent des bases de données… parfois à des journalistes. Ces derniers déclarent également avoir fait appel à une agence pour authentifier les données. Démontrant au passage la facilité de se procurer de telles bases aux Etats-Unis – en Europe, l’achat de bases de données et leur exploitation ne sont possibles que sous réserve de respecter le RGPD (et notamment les obligations d’information, de finalité et de proportionnalité ou encore le respect des droits des personnes).
Apps de rencontre et données personnelles : « c’est un match ! »
Nous avions parlé récemment des applications de rencontre et des enjeux liés aux données personnelles dans notre article Apps de rencontre et données personnelles : « c’est un match ! » : les données récoltées par ces applications sont nombreuses et pour certaines sensibles (à commencer par l’orientation sexuelle). Mais les applications s’inscrivent également dans une perspective marchande : « Les données personnelles jouent un rôle important pour l’écosystème économique qui sous-tend le fonctionnement des sites et applications de rencontre – à l’instar de nombreux autres services numériques. Une fois collectées sur les interfaces, celles-ci s’intègrent en effet à un vaste réseau d’entreprises, composé des différentes filiales de puissantes maisons-mères, de hubs publicitaires et de prestataires divers. »
Dans cette base, The Pillar considère que ce qui était directement identifiant a été retiré, mais en laissant un identifiant unique pour chaque utilisateur permettant par croisement et déduction d’identifier l’utilisateur final. Ici, ce sont notamment les lieux qui ont permis de réidentifier ce prêtre : ses lieux de travail, de résidence et ses déplacements ont suffi (appartement, bureau, maison de vacances, déplacements professionnels, etc.). L’enquête ne s’arrête pour autant pas là, puisque les données permettent également de faire le lien avec les endroits de rencontre visités, et The Pillar ne se gêne pas pour donner quelques lieux fréquentés par le prêtre. Cette publication suscite de nombreux débats au sein de l’église, mais également dans la communauté LGBT.
L’application en question, Grindr, s’est évidemment positionnée sur la question : pour eux, il n’est pas possible – dans le sens techniquement faisable – que de telles données puissent être récupérées via leur application, et accuserait presque The Pillar de mentir sur sa méthodologie d’enquête… profitant du flou laissé par le journal autour de cette fameuse base de données récupérée.
Pour autant, les spécialistes de la question ne sont pas aussi affirmatifs : il n’est pas nouveau de pouvoir réidentifier une personne à partir de ses déplacements, la littérature étant suffisamment riche sur le sujet (nous vous invitons à lire ici notre dossier CabAnon). Dans un article de Slate, Nat Meysenburg, chercheur au New America’s Open Technology Institute, conclut sur cette histoire : « la problématique est que désormais cette méthode va être réutilisée par n’importe qui pour n’importe quelle raison. C’est en quelque sorte une preuve de concept ».
C’est notamment une des différences dans la conception entre les Européens et les Américains sur cette notion d’anonymisation : le G29 (le groupe de l’Article 29 regroupant les autorités de protection des données européennes) a publié un avis sur l’anonymisation dès 2014, y associant des règles contraignantes. En effet, est considéré comme anonyme si à l’issue du traitement, il n’est plus possible d’identifier directement un individu, de le réidentifier par corrélation de plusieurs données ou par inférence (déduction). Aux Etats-Unis, la notion de dé-identification est souvent poussée (le fait d’enlever ce qui est directement identifiant, par exemple dans les référentiels applicables en matière de données de santé), mais celle-ci est moins protectrice des individus. Techniquement, en Europe, des données ainsi traitées ne peuvent pas être considérées comme anonymes et relèvent donc toujours du RGPD. On parle de pseudonymisation.
Il faut également rappeler que Grindr s’est vu infliger une amende de 9,6 millions d’euros par l’autorité de protection des données norvégienne début 2021, justement parce qu’elle avait partagé des informations d’utilisateurs avec des annonceurs sans leur consentement explicite. L’entreprise avait modifié ses conditions d’utilisation et sa politique de confidentialité en avril 2020.
Illustration - "Google Street View - Pan-American Trek - Historic St. Stephen's Anglican Church (Telkwa)" by kevin dooley is licensed under CC BY 2.0
