Dans la perspective de l’entrée en vigueur du Règlement général sur la protection des données (RGPD) dans toute l’Europe le mois prochain, Rabobank a décidé d’utiliser des pseudonymes cryptographiques à la place des éléments d’identification (noms, dates de naissance, n° de compte, …) concernant les données personnelles de ses clients. Pour cela, Rabobank a utilisé les services d’IBM. Dans cette démarche, plusieurs éléments intéressants sont à relever.
D’abord, c’est la première application à une telle échelle des principes d’anonymat cryptographique des blockchains, que l’on retrouvera ici à terme utilisés par les systèmes d’informations globaux d’un grand établissement (les systèmes de paiement ont été les premiers désensibilisés, dans la perspective non seulement du RGPD mais aussi de la DSP2).
Ensuite, cette « désensibilisation » n’empêche pas que les données soient utilisées sous une perspective Big Data (et donc éventuellement cédées par la banque à des tiers), à la fois pour des traitements statistiques et pour des démarches publicitaires ciblées. Simplement, de tels traitements ignoreront qui sont les clients réels dont ils exploitent les données et auxquels ils peuvent s’adresser directement.
Enfin, Rabobank indique que ces mesures sécuriseront aussi bien l’usage des données en interne. De sorte que le dispositif ne correspond pas uniquement à la protection des données clients vis-à-vis de l’extérieur. Il instaure bien une nouvelle et totale relation de confidentialité et de protection vis-à-vis des clients, y compris dans leurs relations avec l’établissement.
A ce stade, il n’a pas été annoncé quel degré d’implication sera proposé aux clients. La pseudonymisation sera-t-elle transparente pour eux ou bien ira-t-on, comme sur une blockchain, vers des systèmes de clés publiques/privées, au moins pour certains services ou certains types de clients ? En toute rigueur, il semble qu’une anonymisation totale supposerait que son initiation soit confiée aux clients eux-mêmes. De plus, des questions de sécurité et de fiabilité ne manqueront pas de se poser – des bases de données mal désensibilisées peuvent être craquées, comme dans cet exemple pour les courses des taxis newyorkais.
Quoi qu’il en soit, la décision de Rabobank représente une initiative particulièrement intéressante face à un sujet qui prend – nous le voyons actuellement avec Facebook et Google – de plus en plus d’importance.
T. Lowry/Score Advisor
