Rendre les données des smartphones anonymes ne suffit plus : étude – Actualités

Les chercheurs disent que les gens peuvent désormais être identifiés avec seulement quelques détails sur la façon dont ils communiquent avec une application comme WhatsApp

Photo d’archive

Les mesures de confidentialité censées préserver l’anonymat des utilisateurs de smartphones ne sont plus adaptées à l’ère numérique, a suggéré mardi une étude.

De grandes quantités de données sont récupérées à partir d’applications pour smartphones par des entreprises qui cherchent à développer des produits, à mener des recherches ou à cibler les consommateurs avec des publicités.

En Europe et dans de nombreuses autres juridictions, les entreprises sont légalement tenues de rendre ces données anonymes, souvent en supprimant des détails révélateurs tels que des noms ou des numéros de téléphone.

Mais l’étude publiée dans la revue Nature Communications indique que cela ne suffit plus pour garder les identités privées.

Les chercheurs disent que les gens peuvent désormais être identifiés avec seulement quelques détails sur la façon dont ils communiquent avec une application comme WhatsApp.

L’un des auteurs de l’article, Yves-Alexandre de Montjoye de l’Imperial College de Londres, a déclaré à l’AFP qu’il était temps de « réinventer ce que signifie l’anonymisation ».

Son équipe a recueilli des données anonymisées auprès de plus de 40 000 utilisateurs de téléphones mobiles, dont la plupart étaient des informations provenant d’applications de messagerie et d’autres données « d’interaction ».

Ils ont ensuite « attaqué » les données à la recherche de modèles dans ces interactions – une technique qui pourrait être utilisée par des acteurs malveillants.

Avec seulement les contacts directs de la personne inclus dans l’ensemble de données, ils ont découvert qu’ils pouvaient identifier la personne 15 % du temps.

Lorsque d’autres interactions entre ces contacts principaux étaient incluses, ils pouvaient identifier 52% des personnes.

« Nos résultats fournissent la preuve que les données d’interaction déconnectées et même re-pseudonymisées restent identifiables même sur de longues périodes », ont écrit les chercheurs du Royaume-Uni, de Suisse et d’Italie.

« Ces résultats suggèrent fortement que les pratiques actuelles pourraient ne pas satisfaire à la norme d’anonymisation établie par (les régulateurs européens), notamment en ce qui concerne les critères de possibilité de liaison. »

De Montjoye a souligné que l’intention n’était pas de critiquer une entreprise individuelle ou un régime juridique.

Il a plutôt déclaré que l’algorithme qu’ils utilisaient fournissait simplement un moyen plus robuste de tester ce que nous considérons comme des données anonymisées.

« Cet ensemble de données est si riche que la manière traditionnelle dont nous avions l’habitude de penser à l’anonymisation… ne fonctionne plus vraiment », a-t-il déclaré.

« Cela ne signifie pas que nous devons renoncer à l’anonymisation. »

Il a déclaré qu’une nouvelle méthode prometteuse consistait à restreindre fortement l’accès aux grands ensembles de données à de simples interactions de questions et réponses.

Cela éliminerait la nécessité de classer un ensemble de données comme « anonymisé » ou non.