Question:
Le hachage d'un nom d'utilisateur est-il toujours des données personnelles?
selfisekai
2018-06-24 18:52:11 UTC
view on stackexchange narkive permalink

Je crée un script, qui demande à un utilisateur qui télécharge un GIF sur un site Web de médias sociaux, s'il peut le télécharger à nouveau sur un autre site Web (pour réduire l'utilisation d'Internet par d'autres utilisateurs). Je souhaite maintenant donner aux utilisateurs la possibilité de conserver leur consentement plus longtemps, afin qu'ils n'aient pas besoin de cliquer sur un lien à chaque fois qu'ils téléchargent un GIF. Les utilisateurs n'ont pas d'identifiant aléatoire, je ne peux utiliser que leurs noms d'utilisateur, qui sont sûrement des données personnelles (de nombreux utilisateurs utilisent leur compte Facebook pour créer leur compte, puis leurs noms d'utilisateur sont créés à partir de leur prénom et nom).

Ma question est donc la suivante: si je stocke un hachage des noms d'utilisateurs (forme irréversible), est-ce toujours considéré comme leurs données personnelles?

Deux réponses:
wimh
2018-10-08 23:23:15 UTC
view on stackexchange narkive permalink

Le Art. 29 WP a publié l ' avis 05/2014 sur les techniques d'anonymisation. Là, il définit une fonction de hachage comme celle-ci:

Fonction de hachage: cela correspond à une fonction qui renvoie une sortie de taille fixe à partir d'une entrée de n'importe quelle taille (l'entrée peut être un seul attribut ou un ensemble d'attributs) et ne peut pas être inversé; cela signifie que le risque d'inversion vu avec le cryptage n'existe plus. Cependant, si la plage de valeurs d'entrée de la fonction de hachage est connue, elles peuvent être relues via la fonction de hachage afin de dériver la valeur correcte pour un enregistrement particulier. Par exemple, si un ensemble de données a été pseudonymisé en hachant le numéro d'identification national, cela peut être dérivé simplement en hachant toutes les valeurs d'entrée possibles et en comparant le résultat avec ces valeurs dans l'ensemble de données. Les fonctions de hachage sont généralement conçues pour être relativement rapides à calculer et sont sujettes à des attaques par force brute. Des tables précalculées peuvent également être créées pour permettre l'inversion en masse d'un grand ensemble de valeurs de hachage.

L'utilisation d'une fonction de hachage salé (où une valeur aléatoire, connue sous le nom de «sel», est ajouté à l'attribut en cours de hachage) peut réduire la probabilité de dériver la valeur d'entrée, mais néanmoins, le calcul de la valeur d'attribut d'origine cachée derrière le résultat d'une fonction de hachage salée peut toujours être faisable avec des moyens raisonnables.

Une fonction de hachage est donc considérée comme une pseudonymisation, pas une anonymisation. Les données pseudonymisées sont toujours des données personnelles. Voir également l ' article 4 du RGPD qui contient les définitions de «données personnelles» et de «pseudonymisation».

Dans votre question, vous dites que vous souhaitez donner aux utilisateurs la possibilité de conserver leur consentement plus longtemps. Vous utilisez donc un hachage pour identifier un tel utilisateur. Cela implique que vous êtes en mesure d'identifier un utilisateur, il s'agit donc de données personnelles. Cela ne signifie pas que votre traitement est illégal. Si vous indiquez clairement aux utilisateurs que vous enregistrez leur consentement lorsqu'ils sélectionnent cette option, ils consentent implicitement également à l'enregistrement lui-même, donc art. 6 (1) a) s'applique. Mais aussi l'art. 6 (1) (b) s'appliquerait probablement.

Art. 25 et Art. 32 encourager l'utilisation de la pseudonymisation lors du traitement des données personnelles.

Ce qui précède ne s'appliquerait que si la fonction de hachage génère un hachage unique pour chaque entrée. Si vous utilisez une fonction de hachage où différentes entrées génèrent le même hachage, cela ne sera pas considéré comme une agrégation (ou une généralisation). Art. 29 WP a également écrit à ce sujet dans son Avis 05/2014 sur les techniques d'anonymisation. Voir le sujet «Agrégation et K-anonymat» (3.2.1). Donc même l'agrégation ne permet pas une anonymisation efficace dans tous les cas.

"Ce qui précède ne s'appliquerait que si la fonction de hachage génère un hachage unique pour chaque entrée. Si vous utilisez une fonction de hachage où différentes entrées génèrent le même hachage, cela ne sera pas considéré comme une agrégation (ou une généralisation)." La plupart des fonctions de hachage ne peuvent pas générer de hachages uniques pour toutes les entrées possibles car la sortie est plus petite que l'entrée possible.
@JAB Vrai, mais un nom d'utilisateur est une entrée relativement petite. Dans ce cas, un hachage est utilisé pour un identifiant unique identifiant une personne. On estime que la population mondiale est de 7,6 milliards de personnes. Si tout le monde a un seul nom d'utilisateur unique, l'entrée serait essentiellement de 33 bits. Par exemple, SHA-256 produit une sortie de 256 bits, ce qui est bien plus. Les collisions sont encore possibles, mais peu probables.
Mais c'est plus probable qu'il n'y paraît: https://en.m.wikipedia.org/wiki/Birthday_problem
Greendrake
2018-06-24 19:15:07 UTC
view on stackexchange narkive permalink

Cela dépend si vous pouvez identifier la personne à laquelle appartient un hachage de nom d'utilisateur.

Si vous stockez à la fois le nom d'utilisateur et son hachage dans la même ligne de base de données, alors oui.

Si il est impossible pour vous d'identifier la personne uniquement par son hachage, alors non.

Cela vient de la définition des données personnelles - " toute information relative à un ou personne physique identifiable ", et Considérant 26: Non applicable aux données anonymes. Le hachage est essentiellement une donnée anonyme quand il ne permet pas à lui seul d'identifier la personne (avec des efforts raisonnables, c'est-à-dire sans dépenser $$$ en détectives ou en criminalistique).

Greendrake, cette réponse me trouble encore car si vous connaissez un nom d'utilisateur particulier, vous pouvez identifier le compte de l'utilisateur. Ce n'est que si vous connaissez le hachage que vous ne pouvez pas identifier le nom d'utilisateur (en théorie). Serait-il également possible de citer à quelle partie du règlement du RGPD vous parlez justifie votre réponse?
Réponse @Viktor mise à jour.
merci pour la référence +1. Après avoir lu les règlements, j'ai l'impression qu'il existe encore une possibilité qu'un tribunal (pas sûr qu'il s'agisse d'une affaire judiciaire ou administrative) puisse interpréter le fait de stocker un hachage puis de le relier à plus de données pour ne pas être des données anonymes parce que le considérant 26 Le document auquel vous vous êtes lié semble indiquer des données anonymes car cela n'a jamais été apprécié de l'utilisateur, un hachage pourrait toujours être utilisé pour établir un lien vers des données personnelles en utilisant d'autres données telles qu'une liste d'utilisateurs. Je ne veux pas être sémantique, mais au moins dans la jurisprudence américaine, cela semble possible.
@Viktor oui, lier le hachage à d'autres données indiquant qui est la personne en fait des données personnelles.
Je pense que je n'étais pas clair. Ce que je voulais dire, c'est que si vous stockez le hachage et le liez avec d'autres données (comme les images publiées par cet utilisateur) et le stockez dans une base de données, cela serait toujours couvert car cela serait possible à l'avenir (même si vous ne le faites pas) l'intention de le faire) pour que quelqu'un d'autre prenne une liste d'utilisateurs et les hachages, puis associe les images aux utilisateurs.
@Viktor Je dirais que si les liens entre les utilisateurs et les images sont conservés en dehors de votre organisation (qui garde les liens entre les hachages et les images), l'effort nécessaire pour mapper les hachages aux utilisateurs serait suffisamment élevé pour que les hachages ne soient pas considérés comme des données personnelles . Mais ce serait au cas par cas et aux juges de décider.
Je ne suis pas d'accord avec le commentaire ci-dessus. Il est impossible par calcul de déterminer l'entrée qui produit un hachage particulier, en supposant une connaissance nulle de l'entrée. Si vous savez que l'entrée est un nom d'utilisateur Facebook, alors il est assez facile de hacher tous les noms d'utilisateur existants (il n'y en a que quelques milliards). Il peut être difficile de compiler une liste de tous les noms d'utilisateur Facebook, mais vous pourriez certainement en récupérer quelques centaines de millions. Je serais très mécontent si mes données personnelles étaient pseudonymisées en utilisant cette méthode.
@sjy 1) Vous auriez besoin de connaître la fonction de hachage + sel utilisé; et 2) Qui a dit que c'était Facebook? Mais oui, il peut y avoir des cas où trouver des personnes à partir de hachages est assez simple pour être inquiet.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...