K-anonymité

❓ Questions fréquentes

Qu'est-ce que k=5 ou k=10 signifie ?

Cela signifie que chaque combinaison de quasi-identifiants (ex. âge tronqué + sexe + code postal partiel) doit apparaître au moins 5 ou 10 fois dans le jeu de données. Ainsi, même si un attaquant connaît ces informations, il ne peut pas distinguer un individu parmi les k équivalents. Plus k est élevé, plus la protection contre la réidentification est forte, mais cela peut réduire l'utilité statistique des données.

K-anonymité est-elle suffisante pour respecter la Loi 25 ?

Non, la k-anonymité seule ne suffit pas. Bien qu'elle empêche l'individualisation directe (un critère clé du CAI Québec), elle ne protège pas contre les attaques par corrélation ou inférence, surtout si k est faible ou si les données sont croisées avec d'autres sources. Une approche combinée (ex. avec la confidentialité différentielle) est souvent nécessaire.

Quels sont les quasi-identifiants ?

Les quasi-identifiants sont des attributs non uniques seuls, mais qui, combinés, peuvent identifier une personne (ex. date de naissance, sexe, code postal, profession, niveau de revenu). Contrairement aux identifiants directs (nom, NAS, courriel), ils ne désignent pas explicitement un individu, mais deviennent dangereux en combinaison — d'où la nécessité de les généraliser ou supprimer pour atteindre la k-anonymité.

Comment atteindre la k-anonymité dans Excel ?

Commencez par supprimer tous les identifiants directs (noms, numéros). Ensuite, généralisez les âges en tranches (ex. 20-29 ans), tronquez les codes postaux à 3 caractères (ex. H3A), et regroupez les catégories rares. Utilisez des tableaux croisés dynamiques pour vérifier que chaque combinaison de quasi-identifiants apparaît au moins k fois. Si ce n'est pas le cas, généralisez davantage ou supprimez les lignes problématiques.

K-anonymity vs differential privacy ?

La k-anonymité modifie les données pour cacher les individus dans des groupes, mais ne protège pas contre les attaques si l'attaquant possède des données externes. La confidentialité différentielle, elle, ajoute du bruit statistique aux résultats (pas aux données brutes) pour garantir qu'un individu ne puisse pas être détecté, même avec une connaissance auxiliaire. Cette dernière offre une garantie mathématique plus forte.

Quelle valeur de k choisir en 2026 ?

En 2026, les bonnes pratiques recommandent k>=5 minimum, et k>=10 pour les secteurs sensibles comme la santé ou les RH. La CNIL et le CAI du Québec insistent sur l'évaluation du risque : plus les données sont sensibles ou corrélables avec des sources publiques, plus k doit être élevé. Il faut aussi évaluer l'impact sur l'utilité des données.

📚 Sources

• Sweeney L. — k-Anonymity: A Model for Protecting Privacy (IJUFKS 2002) (Latanya Sweeney, Carnegie Mellon University, 2002)
• CNIL — Techniques d'anonymisation (CNIL, 2024)
• ENISA — Pseudonymisation Techniques and Best Practices (FR PDF) (ENISA, 2022)
• NIST — Privacy Preserving Techniques (NIST, 2024)
• CAI Québec — Anonymisation Loi 25 (Commission d'accès à l'information du Québec, 2024)

🔗 Termes liés