Anonymisation des données : de la théorie à la pratique
anonymisation des données est connue comme étant le seul traitement permettant de faire sortir les données du champ d’application du RGPD, car elle transforme les données personnelles en données qui ne le sont plus.
Cependant, l’anonymisation est également l’un des traitements les plus controversés ; en effet, des confusions existent avec d’autres traitements que sont la pseudonymisation et le chiffrement, qui, à la différence de l’anonymisation, conservent le caractère personnel des données et donc toutes les restrictions afférentes.
Ainsi, une violation de données courante est d’utiliser les données insuffisamment anonymisées en lieu et place de données anonymisées, conduisant à des sanctions et/ou mises en demeure de la CNIL.
Comment donc éviter ces erreurs tout en produisant une anonymisation conforme ? Plus précisément :
Comment faire la différence en pratique entre anonymisation, pseudonymisation et chiffrement ?
Que dit la réglementation à propos de l’anonymisation et comment l’implémenter dans un cas concret ?
Comment évaluer si une anonymisation est suffisante ainsi que le risque résiduel de réidentification ?
Quelles mesures faut-il prendre en cas de risque résiduel important afin de réduire les risques ?
Comment se protéger en cas d’incident ou de contrôle ?
Autant de questions auxquelles Louis-Philippe SONDECK, spécialiste du domaines et consultant depuis plus de 10 ans pour plusieurs groupes (Société Générale, Danone, BPCE, BNP, ...) et par ailleurs enseignant dans plusieurs grandes universités en France dont l’Institut Polytechnique de Paris, répond lors d’une journée durant laquelle les aspects opérationnels sont privilégiés.
À l’issue d’une session très interactive, avec l’intense participation des apprenants (études et travaux sur des cas concrets -dont certains de ceux signalés au préalable par les participants-, mises en situation, réponses aux questions, ...), les participants repartent forts de toutes les connaissances leur permettant de maîtriser le sujet.
En bonus, l’intervenant partage des documents opérationnels qu’il a forgé dans le cadre de sa pratique professionnelle (exemples concrets d’analyse de risque de réidentification, procédure, fiche « Reflexe », éléments de sensibilisation des parties prenantes).
Je télécharge le programme détaillé
Objectifs généraux de la formation
Au-delà de la théorie, permettre aux DPO (internes, externes), aux futurs DPO (ainsi qu'à leurs collaborateurs) et informaticiens (développeurs, Data Scientist, …) de disposer de tous les éléments pour se forger leur propre méthode de réalisation, de contrôle et de pilotage de l’anonymisation, adaptée aux contraintes de leur organisation.
Au terme de la formation, le participant sera à même de :
Faire la différence entre anonymisation, pseudonymisation et chiffrement ;
Comprendre les différentes techniques d’anonymisation et leur mise en œuvre pour réduire les risques de réidentification ;
Réaliser une analyse des risques de réidentification sur la base des critères du G29 (individualisation, corrélation et inférence) et déterminer le risque résiduel ;
Mettre en œuvre des mesures de suivi de risques ;
Produire la documentation nécessaire pour justifier de la qualité du processus d’anonymisation en cas de contrôle ;
Prendre en compte les aspects budgétaires.
En savoir plus ...
Plus d'information sur cette formation
Prochaine session
Date à venir
