• remplacer les noms de famille par XXX[..]XXX.
• remplacer les noms de ville par 1, 2, 3, 4, 5, ... pour pouvoir faire des statistiques sur le nombre d'habitants sans pouvoir identifier les villes.

• l'anonymisation statique qui est irréversible : la donnée est définitivement perdue.
• l'anonymisation dynamique, aussi appelée "pseudonymisation". Cette anonymisation est réalisée à la volée par le serveur de base de données : elle est donc réversible. La donnée initiale est accessible selon les droits utilisateur.

• Dans un fichier anonymisé statiquement, les données personnelles n'existent plus : le fichier sort donc du champ d'application du RGPD. Le fichier peut alors être traité, conservé et transmis sans limitation.
• Dans le cas d'une anonymisation dynamique, les données personnelles existent encore : le fichier reste donc concerné par le RGPD (par exemple en ce qui concerne les durées de conservation).

Conditions d'utilisation

Principe

• définir des règles d'anonymisation (également appelées "Masques"). Une règle permet de définir le mode d'anonymisation utilisé et ses caractéristiques. Ces règles peuvent être mises en place :
  • dans l'éditeur d'analyses, au niveau de chaque rubrique concernée.
  • via des commandes SQL.
  Attention : Une seule règle peut être définie par rubrique. Il n'est pas possible de combiner plusieurs règles.
• définir les droits des utilisateurs concernant l'anonymisation. Un utilisateur possède un droit de voir ou non les rubriques anonymisées. Ces droits peuvent être définis :
  • dans le Centre de Contrôle HFSQL.
  • par programmation via les fonctions HFSQL.
  • par programmation via les commandes SQL.

Modification de l'analyse

1. Dans l'éditeur d'analyses, sélectionnez le fichier concerné.
2. Dans le menu contextuel du fichier, sélectionnez l'option "Description des rubriques".
3. Sélectionnez la rubrique à anonymiser.
4. Affichez le volet "Anonymisation".
   
   Par défaut, l'option "Aucune règle (la rubrique n'est pas anonymisée)" est sélectionnée.
5. Sélectionnez la règle voulue et définissez ses paramètres :
   • un texte aléatoire (lorem ipsum), pour générer plusieurs mots aléatoires,
   • une valeur constante, à définir,
   • un bruitage aléatoire (une variation de plus ou moins x %) pour les valeurs entières,
   • une valeur renvoyée par une procédure stockée, pour une anonymisation spécifique (par exemple, si vous avez besoin d'anonymiser une partie spécifique d'un code interne tout en conservant une partie de l'information),
   • un brouillage partiel, pour afficher quelques caractères réels en début et fin de valeurs et en appliquant une chaîne constante pour le reste.
6. Validez la fenêtre de description des rubriques.
7. Générez l'analyse et effectuez la modification automatique des données.

Activation du chiffrement des fichiers de données

1. Sélectionnez le fichier de données.
2. Dans le menu contextuel, sélectionnez l'option "Description du fichier de données".
3. Dans l'onglet "Détail", dans la zone "Protection des données", indiquez le mode de cryptage voulu pour le fichier de données, le fichier d'index et/ ou le fichier de mémo.
   Par défaut, l'algorithme de chiffrement à utiliser est du RC5 sur 16 boucles.

• au niveau de la base de données,
• au niveau du fichier de données,
• au niveau de la rubrique.

• depuis le Centre de Contrôle HFSQL,
• par programmation.

Centre de Contrôle HFSQL

Pour donner le droit au niveau de la rubrique, il suffit de cliquer sur le picto "clé" de la rubrique depuis le volet "Description" du fichier.

Dans la fenêtre qui s'affiche, il est possible de modifier le droit sur la rubrique.

Programmation

// Autorise l'utilisateur MARC à désanonymiser :
// - toutes les rubriques de tous les fichiers de la base de données "Anonymisation"
HModifieDroitBaseDeDonnées(cnxMaConnexion, "MARC", hDroitDésanonymisation, hAutorisé, "Anonymisation")
// - toutes les rubriques du fichier "Adresse"
HModifieDroitFichier(cnxMaConnexion, "MARC", hDroitDésanonymisation, hAutorisé, "Anonymisation", "Adresse")
// - uniquement la rubrique "CodePostal" du fichier "Adresse"
HModifieDroitRubrique(cnxMaConnexion, "MARC", hDroitDésanonymisation, hAutorisé, "Anonymisation", "Adresse", "CodePostal")

// Vérifie si le droit est autorisé au niveau du fichier de données
SI HInfoDroitFichier(gcnxConnexion, sUtilisateur, hDroitDésanonymisation, 
		NOM_BASEDEDONNÉES, Adresse, hEffectif) = hInterdit ALORS
	RENVOYER Faux
FIN

• ADD MASKED : Combinée à la commande SQL ALTER TABLE, permet de créer un masque d'anonymisation pour une rubrique d'un fichier.
• DROP MASKED : Combinée à la commande SQL ALTER TABLE, permet de supprimer un masque d'anonymisation pour une rubrique d'un fichier.
• GRANT : Permet d'activer un masque d'anonymisation.
• REVOKE : Permet de désactiver un masque d'anonymisation.

• Il est nécessaire de posséder les droits de désanonymisation pour :
  • utiliser la fonction HLitRecherche sur une rubrique clé anonymisée.
  • utiliser une requête SQL avec une condition WHERE sur une rubrique anonymisée.
  • utiliser une requête SQL avec dans la clause ORDER BY une référence à une rubrique anonymisée.
  • utiliser les fonctions HCopieFichierDepuisServeur, HSauvegarde, HCopieFichier avec des fichiers de données.
  • utiliser la réplication sur les fichiers.

• Fonction HCopieEnreg : il n'est pas possible de récupérer les valeurs d'origine. Les valeurs anonymisées sont mises dans le buffer du nouvel enregistrement.
• Il est possible de définir une règle d'anonymisation sur une rubrique clé ou non clé. Il n'est pas possible de définir une règle d'anonymisation sur une rubrique de type clé composée.
• Dans le cas de la définition d'une règle d'anonymisation sur une rubrique de type tableau, cette règle s'applique à tous les éléments du tableau.
• Vue matérialisée :
  • Il est nécessaire de posséder les droits de désanonymisation pour définir une vue matérialisée sur un fichier.
  • Même en possédant le droit de désanonymisation, les rubriques anonymisées conservent leurs règle d'anonimisation dans la vue matérialisée.
  • Quelques soient les droits d'anonymisation / désanonymisation, il n'est pas possible de créer une vue matérialisée avec des rubriques calculées anonymisées.
• En possédant les droits de désanonymisation, il n'est pas possible d'effectuer des sauvegardes de fichiers contenant des rubriques anonymisées.

Ajouts et des modifications d'enregistrements (fonctions HFSQL)

• Lors de l'appel de la fonction HAjoute (ou HEnregistre) pour ajouter un nouvel enregistrement, les rubriques sont initialisées soit avec leur valeur par défaut, soit avec la valeur indiquées. Les règles d'anonymisation ne sont pas appliquées.
• Lors de l'appel de la fonction HModifie (ou HEnregistre) pour modifier un enregistrement existant, seules les rubriques anonymisées pour lesquelles l'utilisateur possède un droit de désanonymisation seront modifiées.

Utilisation de requêtes SQL INSERT, UPDATE

• Lors de l'appel d'une requête SQL de type INSERT, les rubriques non affectées dans la requête sont initialisées avec la valeur par défaut décrite dans l'analyse. Les rubriques affectées sont initialisées automatiquement avec la valeur passée sans application de la règle d'anonymisation.
• Lors de l'appel d'une requête SQL de type UPDATE, les rubriques affectées sont initialisées automatiquement avec la valeur passée sans application de la règle d'anonymisation.

• Si la rubrique est affectée dans la requête SQL, si la rubrique est anonymisée, lors du 'returning' de cette rubrique, la règle d'anonymisation ne sera pas appliquée à la valeur renvoyée contenue dans la rubrique.
• Si la rubrique n'est pas affectée dans la requête SQL, si la rubrique est anonymisée, lors du 'returning' de cette rubrique, la règle d'anonymisation sera appliquée à la valeur renvoyée contenue dans la rubrique.