En connaissant les montants et les magasins, on peut identifier une personne à partir de seulement quatre achats

Credit cards Sean MacEntee via Flickr CC License by

Credit cards Sean MacEntee via Flickr CC License by

Un groupe de chercheurs du MIT vient de prouver qu'il était possible d'identifier une personne avec un taux de certitude de 90% en regardant seulement quatre de ses achats. Et même trois si le prix est inclus, raconte l'agence de presse américaine Associated Press. 

Et tout cela après que les entreprises ont «anonymisé» les traces de transaction: les noms, évidemment, mais aussi les numéros de carte de crédit, les adresses des magasins et même l'heure exacte des transactions ont été effacés. En clair, explique la revue scientifique Science, où l'étude a été publiée, tout ce qu'il restait, c'était les métadonnées, «c'est-à-dire les montants dépensés, le type de commerce –restaurant, salle de sport, supermarché, par exemple– et un code représentant chaque personne».

L'équipe menée par Yves-Alexandre de Montjoye ne s'était pas facilitée la tâche en choisissant d'analyser trois mois de transactions des cartes de crédit de 1,1 million de personnes dans 10.000 magasins d'un pays non précisé. Et malgré cela, elle a réussi à retrouver les personnes derrière les achats. Comme l'explique Science:

«Parce que la façon de dépenser d'un individu est propre à lui-même, les données ont une très grande "unicité". Ceci les rend plus vulnérable à ce que de Montjoye appelle une "attaque de corrélation". Pour révéler l'identité d'une personne, vous devez mettre en corrélation les métadonnées avec les informations d'une autre source sur cette personne.»

C'est d'ailleurs comme cela qu'un journaliste de Gawker avait pu identifier plusieurs célébrités à partir d'une base de données qui répertoriait chaque course de taxi à New York, croisée par exemple, rappelle le New York Times, avec des photos de célébrités sortant d'un taxi.

Interrogé par le quotidien américain, Yves-Alexandre de Montjoye estime que «le message est que nous devrions repenser et reformuler la façon dont nous pensons à la protection des données. L'ancien modèle d'anonymat ne semble pas être le bon quand on parle de métadonnées à grande échelle».

Dans son étude, l'équipe du MIT écrit ainsi:

«L'absence de noms, d'adresses, de numéros de téléphone ou d'autres identifiants évidents dans les données [...] ne les rend pas anonymes et ne permet pas de les distribuer en toute sécurité au public et aux tiers.»

Partager cet article