Journal
Unique in the shopping mall: On the reidentifiability of credit card metadata
Une récidive du "MIT Human Dynamics Laboratory" sur le caractère individualisant des données personnelles.
Fin 2013, ils avaient déjà montré que les patterns de mobilité peuvent identifier un individu avec plus de certitudes que ses empreintes digitales : seules 4 positions suffisent à identifier 95% des individus dans un jeu de traces de mobilité (1.5 millions de personnes pendant 15 mois). Cette propriété se vérifie de manière globale puisque 94% des personnes du jeu de données se déplace dans un rayon de 100km seulement en moyenne.
http://www.nature.com/srep/2013/130325/srep01376/full/srep01376.html
Nous apprenons aujourd'hui que seuls 4 achats suffisent à identifier 90% des personnes dans un jeu de transactions par carte bancaire (3 mois, 10000 magasins, 1.1 million de personnes) et ce sans nécessiter de connaître l'heure exacte ; seul le jour est requis.
Tout le problème ici vient du fait que les fameux 4 achats sont assez faciles à connaître, dès lors que les individus publient leurs achats sur les réseaux sociaux. Je me demande cependant quelle est l'impact de la durée du jeu de données sur l'unicité dans ce cas de figure : est-ce que 4 points peuvent identifier une personne pour toute sa vie ?
Globalement, c'est notre manière de penser l'anonymisation des données personnelles qui doit être revue. Supprimer le nom, le prénom, le n° de téléphone et l'adresse ne suffisent pas à rendre les données anonymes.
Fin 2013, ils avaient déjà montré que les patterns de mobilité peuvent identifier un individu avec plus de certitudes que ses empreintes digitales : seules 4 positions suffisent à identifier 95% des individus dans un jeu de traces de mobilité (1.5 millions de personnes pendant 15 mois). Cette propriété se vérifie de manière globale puisque 94% des personnes du jeu de données se déplace dans un rayon de 100km seulement en moyenne.
http://www.nature.com/srep/2013/130325/srep01376/full/srep01376.html
Nous apprenons aujourd'hui que seuls 4 achats suffisent à identifier 90% des personnes dans un jeu de transactions par carte bancaire (3 mois, 10000 magasins, 1.1 million de personnes) et ce sans nécessiter de connaître l'heure exacte ; seul le jour est requis.
Tout le problème ici vient du fait que les fameux 4 achats sont assez faciles à connaître, dès lors que les individus publient leurs achats sur les réseaux sociaux. Je me demande cependant quelle est l'impact de la durée du jeu de données sur l'unicité dans ce cas de figure : est-ce que 4 points peuvent identifier une personne pour toute sa vie ?
Globalement, c'est notre manière de penser l'anonymisation des données personnelles qui doit être revue. Supprimer le nom, le prénom, le n° de téléphone et l'adresse ne suffisent pas à rendre les données anonymes.
Ce journal est basé sur Ginger, un gestionnaire de lien minimaliste développé dans le cadre d'un stage de perfectionnement. Pour plus d'informations, consulter le wiki consacré à mes projets personnels.