Anonymisation

L' anonymisation de données (a fortiori personnelles) consiste à modifier le contenu ou la structure de ces données afin de rendre très difficile ou impossible la « ré-identification » des personnes (physiques ou morales) ou des entités concernées (ce qui implique de bien définir ce que signifie dans ce cadre le concept d’identifiabilité[1]). Les anglophones parlent aussi parfois de De-Identification (DE-ID)[2].

Le choix d'anonymiser des données résulte souvent d'un compromis déontologique, juridique et éthique, entre une volonté ou une obligation de protéger les individus et leurs données personnelles. L'anonymisation est en particulier employée pour la diffusion et le partage[3] de données jugées d'intérêt public, comme les données ouvertes (Open data).

L'utilisation de données anonymisées soulève encore des questions juridiques et éthiques car elle peut aussi être une « barrière » ou un frein[4] à la recherche médicale, « observationnelle »[5]. De même, de nombreuses exceptions à cette règle (par exemple pour certaines données médicales, concernant la défense ou la sécurité intérieure) sont intégrées dans le droit des pays démocratiques. Cette utilisation s'accompagne parfois d'une limite à la durée de conservation.

Histoire

Si la notion de confidentialité des données personnelles — en particulier médicales – remonte à Hippocrate[6], le stockage et traitement informatique à large échelle de données personnelles ont récemment bouleversé cette question.

Les États-Unis et les États membres de l'Union européenne se sont peu à peu doté d'une législation nationale ou supranationale sur la protection de la confidentialité des données, y compris des données informatisées (en Europe depuis la Directive 95/46/CE sur la protection des données personnelles) qui a imposé aux États membres d'harmoniser leur législation en la matière avant le , y compris concernant le transfert de données vers des pays hors-Union européenne par exemple (enjeu important puisque pour des raisons de coûts, le traitement ou l'exploitation de certaines données peuvent être externalisés et délocalisés hors d'Europe).

La directive européenne ne concerne que les données non anonymisées et stipule que l'utilisation de « données anonymes » ne relève pas de sa compétence : selon le considérant 26 de la directive, « les principes de la protection des données ne s'appliquent pas aux données rendues anonymes d'une manière telle que la personne concernée n'est plus identifiable ». ce qui a été confirmé et précisé par la jurisprudence en Angleterre et au Pays de Galles (arrêt de la Cour d'appel). Les premiers textes (nationaux ou européens) étaient peu précis sur la manière dont il faut anonymiser les données nominatives ou personnelles.

Pour certaines données, l'anonymisation nécessite encore le consentement des personnes concernées, et de manière générale, le fait de se réserver la possibilité de désanonymiser la donnée avant un certain délai (au moyen d'une ou plusieurs clés de déchiffrement en général) devrait aussi requérir le consentement préalable des personnes concernées.

On cherche maintenant à améliorer la sécurité des transferts de données sans freiner les flux de transferts ni entraver les besoins légitimes de circulation de données à grain fin (ce qui peut par exemple être crucial pour la médecine à distance)[7].

Enjeux de l'anonymisation

Les enjeux sont à la fois éthiques, juridiques, informationnels et de bonne gouvernance[8],[9]. En outre, des enjeux nouveaux sont nés de l'apparition de l'Internet qui a augmenté l'accès à l'information, permis à des personnes d'offrir aux autres - parfois inconsidérément ou en étant mal informé des risques - des éléments de sa vie privée (via les blogs et forums, ou pages personnelles par exemple), rendant plus difficile le « droit à l'oubli ». Des efforts sont faits depuis les années 1990 au moins pour informer les patients de l'utilisation possible de leurs données médicales ou de certaines données plus ou moins personnelles, et de leur droit à la vie privée. Ces efforts doivent être renforcés par une réglementation européenne unifiée a estimé le parlement européen en 2013-2014 et selon la vice-présidente Viviane Reding (commissaire à la Justice de l'UE) « La protection des données se fait en Europe. De solides règles de protection des données doivent être la marque de l'Europe. Après des scandales d'espionnage des données mondiales par les Américains, la protection des données est plus que jamais un facteur de compétitivité... »[10].

Dans certains contextes ou pour des raisons personnelles, une personnes peut souhaiter l'anonymat (ou pouvoir utiliser un pseudonyme, ou refuser que son nom soit cité, son visage montré, etc.). L'anonymat est obligatoire quand la loi impose de protéger certaines données personnelles ou données sensibles en les anonymisant, ce qui peut permettre une certaine réutilisation de données d'intérêt public et général (bien commun), sans menacer la personne.

La pseudo-anonymisation provisoire (en réalité, un masquage de l'identité de son auteur) d'une copie d'examen permet à l'examinateur de moins être influencé par le nom, la classe ou la nationalité de l'élève.

Selon le contexte, l'anonymisation d'un personne dans un débat, un reportage, etc. lui permet d'échapper à d'éventuelles représailles, à une stigmatisation ou simplement à un accès non souhaitable à sa vie privée, mais elle peut en revanche parfois nuire à la crédibilité de cette personne ou à la qualité (en termes de précision) de l'information. L'anonymisation d'une donnée contenant des éléments personnels diminue parfois la valeur de cette donnée du point de vue statistique, de sa pertinence ou de son utilité pour la Recherche.

L'anonymisation des fichiers d'enquêtés produits lors de sondages d'opinion est une opération qui peut revêtir un sens sociologique. La sociologue Emmanuelle Zolesio suggère aux sociologues qui analysent des données anonymisées de ne pas envisager l'anonymisation de façon déconnectée du reste de l'analyse des entretiens. Pour les cas où l'enquêteur « offre un retour à ses enquêtés en leur faisant lire les résultats de sa recherche », il existe des méthodes pour anonymiser des données dans les cas où les enquêtés se connaissent et peuvent se reconnaître malgré les changements de noms faits par l'enquêteur[11].

Des enjeux particuliers concernent la lutte contre le spam ciblé[12], la protection des données de santé et plus généralement biomédicales (dont code génétique), avec par exemple l'établissement de registres du cancer, de registres de maladie, de cartographie épidémiologique, etc. Dans ce domaine, la recherche médicale ou écoépidémiologique, ou les organismes de santé[13], ont parfois impérativement besoin de données permettant d'identifier le patient (et l'obligation systématique de passer par le consentement à utilisation de données personnelles par chaque patient induirait un biais important d'interprétation de la donnée et peut être un frein à la recherche[14],[15],[16],[17]). Les utilisateurs de ces données sont alors soumis à des prescriptions particulières. Dans certains pays l'obligation de confidentialité est encore renforcée pour certaines maladies (ex : maladies sexuellement transmissibles).

Enjeux légaux

Dans le cadre des diffusions de certaines données publiques contenant des informations privées, et notamment dans le cadre de l'open data (données ouvertes), certaines données doivent obligatoirement être « anonymisées » pour leur réutilisation par des tiers, selon les lois en vigueur[18].

Un enjeu permanent est de mettre à jour la réglementation et les bonnes pratiques, et de préciser ses interprétations possibles[4] alors que les possibilités informatiques de croiser des données issues de l'Internet évoluent rapidement. Les contrôleurs de données sont également particulièrement concernés.

Le cas particulier des maladies à déclaration obligatoire

Les déclarations de certaines maladies (dites « maladies à déclaration obligatoire » ou MDO) sont anonymisées de manière irréversible (SIDA/VIH par exemple en France) afin de protéger au mieux les patients, tout en permettant d'améliorer la veille sanitaire, la prévention et les études épidémiologiques.

Le cas particulier des données de génomique

Avec les progrès et la diminution des coûts de l'analyse génétique, émergent de nouveaux enjeux de bioéthique[19] : à quel point une donnée anonyme est anonyme ? s'interrogeaient en 2012 Harald Schmidt Shawneequa Callier[20], et d'autres[21]. De plus le génome d'une personne contient aussi des informations a priori personnelles sur ses ascendants. Déjà en 2008, des acteurs du secteur de la génomique tels Greenbaum et al. se demandaient en 2008 si l'anonymat génétique n'est pas déjà perdu[22].

Le partage et même la publication en open data de données génomiques anonymisées se sont montrés être d'un grand intérêt pour les avancées de la médecine en particulier et de la science en général[23], mais tout en étant source d'inégalités et de risques nouveaux en cas de mauvais usage de certaines données.

En 2008, le NIH a durci ses règles de sécurisation, après qu'un article ait démontrant qu'il est possible de détecter fiablement l'ADN d'une personne même si cet ADN représente moins de 1 % du volume total d'ADN analysé[24]. Peu après l'un des haut-responsables du NIH, via une lettre au Journal Science pressait la communauté scientifique de « considérer attentivement comment ces données étaient partagées, et à prendre des précautions appropriées » pour protéger la confidentialité des données médicales et la vie privée des patients ou participants à des programmes d'études génétiques[25].
George Church, l'un des créateurs du Personal Genome Project (PGP) était déjà préoccupé par le fait que l'ADN est « l'identifiant numérique ultime de l'individu et que beaucoup de ses traits peuvent être ainsi identifiés », estimant donc que promettre aux donneurs d'échantillons d'ADN une totale protection de la vie privée et de la confidentialité serait impossible et malhonnête. En outre, la désidentification de tels échantillons appauvrirait la fois des données génotypiques et phénotypiques, c'est pourquoi ce programme est devenu selon Misha Angrist (l'un des fondateurs du projet) le plus connu pour son approche particulièrement poussée (sans précédent) de consentement éclairé[26] : chaque participant doit passer un examen portant sur ses connaissances des questions scientifiques et de confidentialité génomiques et donner son accord de renonciation à la vie privée et la confidentialité de leurs données génomiques et des dossiers de santé personnels. 100 000 participants devraient être concernés par ce seul programme. Ceci peut être source de biais d'interprétation, car le programme n'a retenu que des individus pouvant tolérer l'incertitude (acceptant de donner un consentement éclairé). L'ampleur de ce biais ne peut à ce jour être mesurée, mais les résultats finaux devront en tenir compte.

De par le monde, de nouvelles méthodes dévaluation des enjeux[27] et d'anonymisation d'analyses génétiques sont testées[28].

Le cas particulier de l'anonymisation de textes ou de corpus textuels

Une fois retiré les identifiants habituels d'un texte, il peut y rester des noms de ville, de lieux, des expressions particulières qui permettraient d'identifier son auteur ou la personne dont on parle. Des logiciels spécialisés peuvent repérer ces éléments en comparant le texte à des ressources linguistiques tels que des listes de lieux ou villes, noms d’hôpitaux ou d’institutions de soins, expressions rationnelles, etc. Nombre de ces logiciels ont cependant été conçu pour l'anglais et doivent être "françisés" ou adaptés à d'autres langues.

Comment anonymiser des données ?

Qui anonymise ?

L'anonymisation peut être réalisée « à la source » par l'entité produisant les données, ou « en sortie », après traitement et analyse.

Dans un nombre croissant de pays, l'anonymisation est réalisée par des entreprises agréées, « par un personnel nommé et dont le contrat de travail peut être révoqué en cas de violation de la confidentialité du patient »[29]. En Europe, une convention (European Convention for the Protection of Human Rights and Fundamental freedoms) précise que la vie privée comprend la vie privée d'une personne, de sa famille, son domicile et aussi sa correspondance.

Étapes de l'anonymisation

Une première étape, minimale consiste à supprimer les identifiants des fiches ou des bases de données concernées ; ces identifiants sont généralement :

  • noms, prénoms (pseudonymisation du patient, du médecin, d'une fratrie, etc) ;
  • sexe ;
  • âge (éventuellement uniquement si supérieur à 90 ans)[30];
  • adresses, noms de lieux[30] ;
  • téléphone, télécopie, courriel, URLs, adresses IP[30] ;
  • numéros identifiants (ex : de sécurité sociale, complémentaire santé, d'assurance, de dossier médical, de compte bancaire, de carte d’identité ou permis de conduire, etc.[30] ;
  • numéro de série et/ou identifiant d’appareil implanté[30] ;
  • identifiants biométriques[30] ;
  • tout autre élément permettant d'identifier la personne concernée par les données (ex : photographies du visage, de blessures ou de cicatrices reconnaissables, ou encore de tatouages)[30].

L'étape suivante consistera à appliquer aux fichiers ou bases de données des « filtres » et « transformations cryptographiques » (exemple : chiffrement et/ou hachage de données par un algorithme dédié, par exemple SHA pour Secure Hash Algorithm), mais avant ce travail, le gestionnaire des données procède ou fait procéder à une étude clarifiant son besoin d'anonymisation, ses objectifs et ses exigences (exemple : doit-il y avoir une réversibilité possible de l'anonymisation ?), hiérarchisant le cas échéant les données à protéger, selon leur degré de « sensibilité » et en fonction de la finalité du traitement que doivent ensuite subir les informations. Il peut ainsi produire et comparer plusieurs scénarios d'anonymisation pour mieux choisir la solution lui semblant la plus pertinente (en fonction de ses exigences[30], et des exigences de la Loi). Dans tous les cas l'anonymisation doit résister aux attaques par dictionnaire.

Plusieurs phases et niveaux d'anonymisation se succèdent parfois : par exemple l’hôpital procède à une première anonymisation, le centre de traitement des données peut ensuite compléter ce travail, et les utilisateurs secondaire (chercheurs en général) peuvent encore sur-anonymiser la donnée retravaillée (avant sa publication dans une revue ou distribution à d'autres utilisateurs)[30]. De nombreuses méthodes existent (effacement de certaines données et/ou transcodage manuel, translation mathématique, transformation automatique par un logiciel ad hoc) ; utilisation de pseudonymes par exemple pour le couple médecin/patient ; de chiffrement (généralement avec une clé publique - éventuellement fragmentée - possédée par l'autorité compétente) ; mono-anonymisation, bi-anonymisation ou multi-anonymisation[30].

Dans le domaine médical, la notion d'identité anonymisée et de ré-identification du patient concerne les moyens directs et indirects de ré-identification (ex : nom, adresse...)[31] mais également les données chiffrées si le moyen de décryptage est disponible[32].

Pour limiter les risques de fuites d'informations, une personnes (ex : un patient) ne figure dans une base de données anonymes que si cela est obligatoire ou vraiment utile[30], et à un projet peut n'être associé qu'une seule base anonymisée. Une sécurité juridique accrue est obtenue si toutes les personnes y figurant ont donné leur consentement (par écrit ou via la fourniture de son identifiant, pour une étude de nature médico-commerciale, par exemple)[30], mais ce type de base induit des biais d'interprétation.

Bien entendu, à chaque niveau de production ou stockage de données :

  • les personnels internes doivent être soumis à des mécanismes de contrôles d’accès devant interdire tout accès non autorisé ;
  • des mécanismes doivent être prévus pour détecter et bloquer les tentatives d'intrusion (par l'Internet ou d'autres moyens) et en particulier les tentatives malveillantes d'inférence de données, d'abus de pouvoir, etc.[30]

Quelques concepts associés
  • Non-chaînabilité : elle vise à rendre impossible (pour d'autres) l'établissement ou la reconstruction d'un lien entre différentes informations concernant une même personne ; en interdisant par exemple la fusion ou le croisement d’informations à partir de différents fichiers ou bases de données (non-interopérabilité) ;
  • Non-observabilité : elle empêche un tiers d'utiliser ou même de voir une donnée, une base de données (ou un service de données) sans contrôle.

Utilisation de données anonymisées

De telles données sont de plus en plus utilisées dans de nombreux domaines (Recherche, statistique, gestion administrative, études de marché...), Ces données appartiennent par exemple aux catégories suivantes :

  • données de santé (notamment pour les données sensibles ou pour les grands jeux de données où le consentement des patients (éventuellement décédés ou en incapacité) ne peut être demandé ;
  • données sur la consommation des ménages (consommations domestiques d'énergie et d'eau notamment) ;
  • données judiciaires et sur certaines décisions de justice[33] ;
  • données de recensements démographiques ;
  • données de commerce électronique ;
  • données issues de certains votes électroniques ;
  • données sur le niveau de vie et le patrimoine personnel ou familial ;
  • données sur les facteurs de réussite scolaire[34] et d'examens ;
  • données sociologiques psychologiques sur la personne (adulte, enfant, handicapé, etc. ) ;
  • données sur les violences familiales[35] ;
  • données sur le suicide[36] ;
  • données d'intérêt statistique ;
  • certaines données d'intérêt commercial…

Parfois, il faut interdire toute possibilité de ré-identification, ce qui implique un processus irréversible d'anonymisation, par une méthode ayant prouvé sa robustesse aux inférences[37],[38],[39] (par inférence on entend ici la reconstitution illégale de données confidentielles non directement accessibles, par le moyen de recherche et mise en correspondance de plusieurs données légitimement accessibles, révélant certaines informations sur une personne. Le type d'inférence concerné peut être inductif, déductif, abductif ou probabiliste[40] ;
Des moyens sophistiqués semblent néanmoins pouvoir dans certains cas au moins permettre non pas une ré-identification certaine mais d'établir des probabilités que telle personne corresponde à un certain jeu de données[41]. Des logiciels permutant certaines valeurs des tables de données (de manière que les données personnelles deviennent fausses, sans que la statistique globale soit faussée) et/ou introduisant aléatoirement du bruit peuvent rendre le recoupement a posteriori beaucoup plus difficile[30].

L'anonymisation de textes (ex : corpus de courriels, ou corpus de réponse à un questionnaire d'entretien...) ayant un coût significatif, les corpus anonymisés réutilisables sont assez rares[42].

Limites

Ré-identification indésirée

Certains auteurs comme Pete Warden estiment qu'il est devenu impossible de réellement tout à fait anonymiser certaines données et qu'il va falloir apprendre à travailler avec cette limite. En effet, les chercheurs ont montré qu'un individu pouvait être retrouvé dans une base de données médicales en connaissant son sexe, code postal et sa date de naissance[43], dans une base de données téléphoniques sur base de quatre points de géolocalisation[44] ou encore dans une base de données de cartes bleues en connaissant quatre magasins et jours où celui-ci a utilisé sa carte[45].

Selon lui, prétendre qu'une donnée est totalement anonymisée peut en outre procurer un « faux sentiment de sécurité »[46].

Il recommande de ne pas abandonner l'anonymisation (car elle freine et rend couteux le processus de reconstruction), mais il faut aussi diffuser plus intelligemment les données, en limitant si possible leur niveau de précision, et en apprenant des experts (des sociologues, médecins, économistes et d'autres travaillent sur ces questions depuis plusieurs décennies).

Les chercheurs Luc Rocher, Julien M. Hendrickx et Yves-Alexandre de Montjoye estiment quant à eux que les standards d'anonymisation en vigueur en 2019 sont insuffisants, notamment du point de vue du règlement général sur la protection des données de l'Union européenne, car ils permettent une réidentification par recoupement avec d'autres bases de données. Selon leur modèle, 99,98 % des résidents des États-Unis pourraient être ré-identifiés dans n'importe quel jeu de données à partir de quinze variables démographiques[47].

Ré-identification volontaire ou provisoire

L'anonymisation peut être organisationnelle, cryptographique ou irréversible (fonction à sens unique). L'anonymisation est par définition irréversible, s'il est possible de remonter à la personne originelle, on appelle cela de la pseudonymisation. L'un des moyens de sécuriser une donnée en conservant la possibilité d'une ré-identification ultérieure est d'utiliser une carte à puce qui peut aléatoirement générer et mémoriser plusieurs identifiants anonymes secondaires[30].

L'opinion du public sur l'anonymisation

Mesurer les évolutions de la perception du public concernant les procédures actuelles et les scénarios futurs d'usages secondaires et partagés de données personnelles, dans le domaine de la santé notamment (et leurs conditions d'usage), est important pour cadrer ou faire évoluer les structures éthiques et juridiques de surveillance de l'utilisation de ces données (ex CNIL en France).

Au début des années 2000, la plupart des citoyens européens font généralement confiance aux fournisseurs de soins de santé pour traiter leurs données dans le respect de la confidentialité : selon un sondage Eurobaromètre, 84 % des citoyens de l'UE ont déclaré qu'ils faisaient confiance à la profession médicale pour cela, mais seulement 42 % des sondés connaissaient la nécessité de fournir leur accord pour que quelqu'un puisse utiliser leurs renseignements personnels, de même pour leur droit à s'opposer à certains usages de ces données[48].

Diverses enquêtes d'opinion ou études scientifiques montrent que, depuis l'avènement de l'informatisation des données, le public est au début des années 2000 prêt à accepter l’informatisation des dossiers médicaux[49], mais en restant de manière générale, et avec peu de distinction selon l'origine géographique, ethnique ou le sexe, très soucieux de la protection de la vie privée et des données personnelles. Ainsi en 2014, « Neuf Européens sur dix (92%) disent qu'ils sont préoccupés par les applications mobiles (App) susceptibles de collecter leurs données sans leur consentement »[10] et « Sept Européens sur dix sont préoccupés par l'utilisation potentielle que les entreprises peuvent faire de l'information divulguée »[10].

Selon une étude nord-américaine publiée en 2013, plus qu'à l'utilisateur ou à la nature plus ou moins sensible de l'information partagée, le public interrogé souhaitait d'abord et surtout savoir ce qui sera spécifiquement fait avec ces données personnelles.

Une autre étude de 2013 montre que le « grain » d'anonymisation (degré de floutage en quelque sorte) est aussi un souci pour le public[50]

Concernant la santé, alors que l'informatisation de la médecine se développe rapidement[51], le public admet l'importance de l'accès à la donnée non anonymisée au personnel médical responsable des soins primaires, et au patient lui-même, mais il est soucieux d'une bonne anonymisation de ces données quand elles doivent faire l'objet d'usages secondaires[52]. La propriété de l'information médicale n'est pas toujours claire[53].
Une enquête de 2004 basée sur des groupes de discussion mêlant du personnel médical et quelques personnes non-personnel de santé de « community health councils » anglais a montré qu'on ne pouvait pas a priori présumer l'acceptabilité par le public anglais d'une utilisation du contenu du dossier médical sans consentement préalable du patient. Tous soutenaient la recherche à partir de ces données, mais tout en se montrant préoccupées par les risques de diffusion indue à partir de la collecte de données faites à partir des dossiers médicaux sans consentement du patient (collecte vécue comme un manque de respect induit par la perte de contrôle du patient sur ces données). Dans les groupes interrogés lors de cette étude, l'accès aux données personnelles par des organismes externes non autorisés était une crainte communément émise. Et les informateurs-clés s'y sont montrés plus critiques vis-à-vis des scénarios et moins bien accepter les risques de dérives[54].
L'anonymisation doit donc être prise en compte, en amont dans la planification des soins et des politiques médicales[55] et les procédures d'essais cliniques, de médicaments notamment[56] et lors de la constitution de bases de données destinées à la recherche médicale[57]

Notes et références
  1. Hull SC, Wilfond BS (2008), What does it mean to be identifiable. Am J Bioeth. 2008 Oct; 8(10):W7-8 (lien, sans résumé)
  2. Neamatullah, I., Douglass, M. M., Lehman, L.-W. H., Reisner, A., Villarroel, M., Long, W. J., Szolovits, P., Moody, G. B., Mark, R. G., and Clifford, G. D. (2008). Automated de-identification of free-text medical records. BMC Medical Informatics and Decision Making , 8
  3. Happe, A., Burgun, A., & Brémond, M. (2000). Le partage de l’information: une étape indispensable pour accroître l’efficience de notre système de santé. L'informatique au service du patient: Comptes rendus des huitièmes Journées Francophones d'informatique Médicale, Marseille, 30 et 31 mai 2000, 12, 101 (Lien vers Google Livre)
  4. Strobl J, Cave E, Walley T (2000), Data protection legislation : interpretation and barriers to research. BMJ . 321890–892.892
  5. Al‐Shahi R, Warlow C. Using patient‐identifiable data for observational research and audit. BMJ 2000. 3211031–1032.1032
  6. Edelstein L. (1943) The Hippocratic Oath, Text, Translation and Interpretation. VII. The Johns Hopkins Press; MD, USA: 1943. voir page 64
  7. Agrawal R, Johnson C. (2007), Securing electronic health records without impeding the flow of information ; Int J Med Inform. 2007 May-Jun; 76(5-6):471-9. (résumé)
  8. Graeme Laurie, Nayha Sethi Eur J (2014), Towards Principles-Based Approaches to Governance of Health-related Research using Personal Data Risk Regul. Author manuscript; available in PMC 2014 January 9. Published in final edited form as: Eur J Risk Regul. 2013 January 1; 4(1): 43–57. PMCID:PMC3885861 (résumé)
  9. Nayha Sethi, Graeme T. Laurie (2013), Delivering proportionate governance in the era of eHealth: Making linkage and privacy work together ; Med Law Int. 2013 June; 13(2-3): 168–204. doi: 10.1177/0968533213508974 PMCID:PMC3952593 (résumé)
  10. Commission européenne (2014) Progress on EU data protection reform now irreversible following European Parliament vote, Strasbourg, 12 mars 2014
  11. Emmanuelle Zolesio (2011), Anonymiser les enquêtés. Interrogations ?, p. 174-183. <halshs-00739600> (résumé)
  12. Commission européenne (2006) Protecting privacy and fighting spam ; Fact sheet 24 (January 2006), PDF, 2 pages
  13. Brown P. Health bodies defend their right to access patient data. BMJ 2002. 3241236
  14. Verity C, Nicoll A (2002), Consent, confidentiality, and the threat to public health Surveillance. BMJ. 3241210–1213.1213
  15. Iversen A, Liddell K, Fear N. et al. (2006) Consent, confidentiality, and the Data Protection Act. BMJ. 332165–169.169
  16. Morrow J. Data protection and patient's consent. BMJ 2001. 322549
  17. Warlow CP, Al-Shahi R. (2000), Differentiating between audit and research. Undue protection of patient confidentiality jeopardises both research and audit BMJ. 2000-03-11 ; 320(7236):713 (lien, sans résumé)
  18. Les collectivités peuvent-elles refuser la mise à disposition de données ?, interview d'Anne Josso, secrétaire générale adjointe de la CADA, La gazette des communes, Dossier « Open data », consulté 2011/05/04
  19. Lowrance WW, Collins FS (2007), Ethics. Identifiability in genomic research ; Science. 3 août 2007 ; 317(5838):600-2.
  20. Harald Schmidt, Shawneequa Callier (2012), How anonymous is ‘anonymous’? Some suggestions towards a coherent universal coding system for genetic samples ; J Med Ethics. Author manuscript ; J Med Ethics. 2012 May; 38(5): 304–309. En ligne le 16 février 2012 ; doi:10.1136/medethics-2011-100181 (résumé)
  21. Misha Angrist (2012) Eyes wide open: the personal genome project, citizen science and veracity in informed consent, Per Med. Author manuscript; available in PMC 2012 February 9. Published in final edited form as: Per Med. 2009 November; 6(6): 691–699. doi: 10.2217/pme.09.48 PMCID:PMC3275804
  22. Greenbaum D, Du J, Gerstein M. (2008), Genomic anonymity: have we already lost it? Am J Bioeth. 2008 Oct; 8(10):71-4.
  23. « The ability to share, and the richness of the data for maximizing the usefulness of future research, may be considered … as part of award decisions » il National Institute of Health. NIH Genome-Wide Association Studies Data Sharing Plan. 2007 November 27; http://grants.nih.gov/grants/gwas/gwas_data_sharing_plan.pdf.
  24. Homer N, Szelinger S, Redman M, et al. () Resolving individuals contributing trace amounts of DNA to highly complex mixtures using high-density SNP genotyping microarrays. PLoS Genet. 2008;4:E1000167
  25. Zerhouni EA, Nabel EG. (2008) Protecting aggregate genomic data. Science ;322:44
  26. (en) « The Personal Genome Project : Fonctionnement duprogramme »
  27. C. Heeney, N. Hawkins, J. de Vries, P. Boddington, J. Kaye (2010), Assessing the Privacy Risks of Data Sharing in Genomics  ; Public Health Genomics. 2010 December; 14(1): 17–25. En ligne 29 mars 2010 ; Doi: 10.1159/000294150 ; PMCID:PMC2872768
  28. Hara K, Ohe K, Kadowaki T, Kato N, Imai Y, Tokunaga K, Nagai R, Omata M (2003), Establishment of a method of anonymization of DNA samples in genetic research. J Hum Genet. ; 48(6):327-30. Epub 2003 May 15.
  29. Wilson, P. (2004). Legal issues of data anonymisation in research. Bmj, 328(7451), 1300-1301 ; doi: 10.1136/bmj.328.7451.1300
  30. El Kalam A.A, Deswarte Y, Trouessin G & Cordonnier (2004) Une démarche méthodologique pour l’anonymisation de données personnelles sensibles. In 2e Conférence Francophone en Gestion et Ingénierie des Systèmes Hospitaliers (résumé)
  31. Charlotte L Haynes, Gary A Cook, and Michael A Jones (2007), Legal and ethical considerations in processing patient‐identifiable data without patient consent: lessons learnt from developing a disease register ; J Med Ethics. mai 2007; 33(5): 302–307. doi: 10.1136/jme.2006.016907 PMCID: PMC2598125 (résumé)
  32. Information Commissioner's Office Data Protection 1998, Legal Guidance. Version1. « http://www.informationcommissioner.gov.uk/cms/ »(ArchiveWikiwixArchive.isGoogle • Que faire ?) DocumentUploads/Data%20Protection%20Act% 201998%20Legal%20Guidance.pdf
  33. Plamondon, L., Lapalme, G., & Pelletier, F. (2004, May). Anonymisation de décisions de justice. In XIe Conférence sur le Traitement Automatique des Langues Naturelles (TALN 2004) (p. 367-376).
  34. Study Hayley A. Hutchings, Annette Evans, Peter Barnes, Joanne Demmler, Martin Heaven, Melanie A. Hyatt, Michelle James-Ellison, Ronan A. Lyons, Alison Maddocks, Shantini Paranjothy, Sarah E. Rodgers, Frank Dunstan (2013), Do Children Who Move Home and School Frequently Have Poorer Educational Outcomes in Their Early Years at School? An Anonymised Cohort ; PLoS One; 8(8): e70601. Published online 2013 August 5. doi: 10.1371/journal.pone.0070601 PMCID:PMC3734306
  35. Curtis Florence, Jonathan Shepherd, Iain Brennan, Thomas Simon (2011), Effectiveness of anonymised information sharing and use in health service, police, and local government partnership for preventing violence related injury: experimental study and time series analysis BMJ. 2011; 342: d3313. Online 2011 June 16. doi: 0.1136/bmj.d3313 PMCID: PMC3116927 (https://www.ncbi.nlm.nih.gov/pmc/articles/PMC3116927/ résumé])
  36. Ann John, M Dennis, L Kosnes, D Gunnell, J Scourfield, D V Ford, K Lloyd (2014), Suicide Information Database-Cymru: a protocol for a population-based, routinely collected data linkage study to explore risks and patterns of healthcare contact prior to suicide to identify opportunities for intervention  ; BMJ Open. ; 4(11): e006780. En ligne : 25 novembre 2014. doi:10.1136/bmjopen-2014-006780 ()
  37. D. Denning et P. Denning, “Data Security”. ACM Computer Survey, vol. 11, no 3, septembre 1979, ACM Press, (ISSN 0360-0300), p. 227-249
  38. F. Cuppens, “Sécurité des bases de données”, in Yves Deswarte (dir.) et Ludovic Mé (dir.), Sécurité des réseaux et systèmes répartis, Paris, Hermès science publications, coll. « IC2, Réseaux et télécoms », , 266 p. (ISBN 978-2-7462-0770-7 et 978-2-746-20770-7, OCLC 469862928, notice BnF no FRBNF39111226).
  39. A. Abou El Kalam, “Modèles et politiques de sécurité pour les domaines de la santé et des affaires sociales”, Thèse de doctorat, Institut National Polytechnique de Toulouse, 183 pp., 04 décembre 2003 (Rapport LAAS 03578).
  40. El Kalam A.A, Deswarte Y, Trouessin G & Cordonnier (2004) Une démarche méthodologique pour l’anonymisation de données personnelles sensibles. In 2e Conférence Francophone en Gestion et Ingénierie des Systèmes Hospitaliers (résumé), voir page 5/15, chap 3.3
  41. C. Quantin, H. Bouzelat, FA. Allaert, AM. Benhamiche, J. Faivre et L. Dusserre, “How to ensure data security of an epidemiological follow-up: quality assessment of an anonymous record linkage procedure”, International Journal of Medical Informatics 49 (1998) 117-122
  42. Reffay, C., & Teutsch, P. (2007). Anonymisation de corpus réutilisables ; soumis à la conférence EIAH'2007 : Environnements Informatiques pour l'Apprentissage Humain
  43. (en) "Anonymized" data really isn't—and here's why not
  44. (en) Yves-Alexandre de Montjoye, César A. Hidalgo, Michel Verleysen et Vincent D. Blondel, « Unique in the Crowd: The privacy bounds of human mobility », Nature SRep, no 3, (lire en ligne)
  45. (en) Yves-Alexandre de Montjoye, « Unique in the shopping mall: On the reidentifiability of credit card metadata », Science, no 347, (lire en ligne)
  46. Warden Pete "Why you can’t really anonymize your data ; It's time to accept and work within the limits of data anonymization.". O'Reilly Media, Inc. 17 mai 2011, consulté 2015-01-08
  47. (en) Luc Rocher, Julien M. Hendrickx et Yves-Alexandre de Montjoye, « Estimating the success of re-identifications in incomplete datasets using generative models », Nature Communications, vol. 10, no 1, , p. 1–9 (ISSN 2041-1723, DOI 10.1038/s41467-019-10933-3, lire en ligne, consulté le )
  48. European Opinion Research Group (2004). Special Eurobarometer 196 : data protection. (lien).
  49. Chhanabhai P, Holt A (2007), Consumers are ready to accept the transition to online and electronic records if they can be assured of the security measures.; MedGenMed. 2007 Jan 11; 9(1):8. Epub 2007 Jan 11.
  50. Caine K, Hanania R. J (2013), Patients want granular privacy control over health information in electronic medical records. ; Am Med Inform Assoc. 2013 Jan 1; 20(1):7-15. Epub 2012 Nov 26 (résumé).
  51. King J, Patel V, Furukawa M. ONC Data Brief No. 7. Washington, DC: Office of the National Coordinator for Health Information Technology; 2012. Physician adoption of electronic health record technology to meet meaningful use objectives: 2009–2012
  52. Grande D, Mitra N, Shah A, Wan F, Asch DA (2013), Public Preferences about Secondary Uses of Electronic Health Information JAMA internal medicine. 2013 Oct 28; 173(19)1798-1806
  53. Hall MA, Schulman KA. Ownership of medical information. JAMA. 2009;301(12):1282–1284.
  54. Robling M R, Hood K, Houston H. et al (2004) Public attitudes towards the use of primary care patient record data in medical research without consent: a qualitative study. J Med Ethics. 30104–109.109 (résumé)
  55. Paterson M, Jones K, Schattner P, Adaji A, Piterman L. Aust (2011) Electronic care plans and medicolegal liability ; Fam Physician. 2011 Jun; 40(6):432-4
  56. Kadek Y. E. Aryanto, André Broekema, Matthijs Oudkerk, Peter M. A. van Ooijen (2012), Implementation of an anonymisation tool for clinical trials using a clinical trial processor integrated with an existing trial patient data information system Eur Radiol. 2012 January; 22(1): 144–151. En ligne : 14 août 2011 . doi:10.1007/s00330-011-2235-y PMCID:PMC3229700 (résumé)
  57. ex : David V Ford, Kerina H Jones, Jean-Philippe Verplancke, Ronan A Lyons, Gareth John, Ginevra Brown, Caroline J Brooks, Simon Thompson, Owen Bodger, Tony Couch, Ken Leake (2009), The SAIL Databank: building a national architecture for e-health research and evaluation ; BMC Health Serv Res. 2009; 9: 157. En ligne : 4 septembre 2009 ; doi:10.1186/1472-6963-9-157 PMCID:PMC2744675 (résumé)

Annexes

Articles connexes

Bibliographie
  • Commission européenne Data protection in the European Union, PDF 15 p.
  • Emam KE, Arbuckle L (2013). Anonymizing Health Data Case Studies and Methods to Get You Started. O'Reilly Media. December 2013 ; (ISBN 978-1-449-36307-9).
  • Falcão-Reis F, Costa-Pereira A, Correia ME. (2008), Access and privacy rights using web security standards to increase patient empowerment ; Stud Health Technol Inform ; 137:275-85 (résumé)
  • Gkoulalas-Divanis A, Loukides G (2012) Anonymization of Electronic Medical Records to Support Clinical Analysis (SpringerBriefs in Electrical and Computer Engineering). Springer. (ISBN 978-1-461-45667-4).
  • Grouin, C., Rosier, A., Dameron, O., & Zweigenbaum, P. (2009) Une procédure d’anonymisation à deux niveaux pour créer un corpus de comptes rendus hospitaliers. In Risques, technologies de l’information pour les pratiques médicales PDF, 22pages (p. 23-34). Springer Paris.
  • Haynes CL, G Cook GA & Jones MA (2007), Legal and ethical considerations in processing patient‐identifiable data without patient consent: lessons learnt from developing a disease register ; J Med Ethics. ; 33(5): 302–307. doi: 10.1136/jme.2006.016907 PMCID: PMC2598125 (résumé)
  • O'Brien J, Chantler C. Confidentiality and the duties of care. J Med Ethics 2003. 2936–40.40
  • Frost J, Vermeulen IE, Beekers N. (2014), Anonymity versus privacy: selective information sharing in online cancer communities. J Med Internet Res. 2014 May 14; 16(5):e126. Epub 2014 May 14.
  • Loukides, G., & Shao, J. (2007, March). Capturing data usefulness and privacy protection in k-anonymisation. In Proceedings of the 2007 ACM symposium on Applied computing (p. 370-374). ACM.
  • Parlement européen (2014) report on the Data Protection Regulation
  • Raghunathan, Balaji (June 2013). The Complete Book of Data Anonymization: From Planning to Implementation. CRC Press. (ISBN 9781482218565).
  • Rolf H. Weber, Ulrike I. Heinrich (2012). Anonymization: SpringerBriefs in Cybersecurity. Springer. (ISBN 9781447140665).
  • Terrolle D (1996) Anonymisation et défense collective: L'usage social de l'anonymat à l'encontre des SDF. Ethnologie française, 418-425.
  • Vulliet-Tavernier, S. (2000). Réflexions autour de l'anonymat dans le traitement des données de santé. Médecine & Droit, 2000(40), 1-4.
  • Wendolsky, R., Herrmann, D., & Federrath, H. (2007, January). Performance comparison of low-latency anonymisation services from a user perspective. In Privacy Enhancing Technologies (p. 233-253). Springer Berlin Heidelberg
  • Zukas, M. (2007). To anonymise or not to anonymise: that is the question. Studies in the Education of Adults, 39(1), 1-4.
  • Portail de la sécurité de l’information
  • Portail de la sécurité informatique
  • Portail d’Internet
  • Portail du droit
Cet article est issu de Wikipedia. Le texte est sous licence Creative Commons - Attribution - Partage dans les Mêmes. Des conditions supplémentaires peuvent s'appliquer aux fichiers multimédias.