Anonymat et anonymisation dans la sphère Santé-Social

Observatoire de la Sécurité des Systèmes d information et des Réseaux (OSSIR) Journée de la Sécurité des Systèmes d Information (JSSI) Journée «Anonymat, vie privée et gestion d identité» Anonymat et anonymisation dans la sphère Santé-Social Des principes et concepts de base aux applications opérationnelles Gilles Trouessin Consultant Senior OPPIDA Sud gilles.trouessin@oppida.fr Tél. : 05.61.32.17.86 Gsm : 06.72.87.67.93 Docteur des Universités (1991) Certifiés AFAI-CISM (2003) Responsable d Audit SMSI (2006) SUD Page 1 Une sensibilité particulière dans le secteur de santé et du soin Décision relative au maintien des relations avec une entreprise, après avoir eu connaissance de ses pratiques abusives autour de la collecte et l utilisation de données à caractère personnel : 83% arrêt total 16% forte réduction 1% continuation Différents critères de décision avant de choisir de travailler avec une entreprise donnée (de important à très important ) : 91% expérience antérieure 78% réputation de l entreprise 68% transparence en matière de politique privacy 62% recommandation par un proche 57% rapport d audit externe sur la politique privacy 21% actions de communication en politique de privacy Importance de la définition des politiques en privacy selon les secteurs d activités (de important à très important ) : 96% services financiers 93% fournisseurs de soins 90% pharmacie 87% télécommunications 77% distribution 68% transports 64% services d abonnement 50% publicité Page 2

Fil conducteur de la présentation PREAMBULES Préambules sur le respect de la vie privé Préambules sur la sphère Santé/Social Sûreté / Sécurité / Confidentialité / Discrétion / Séclusion Sûreté de fonctionnement d un système Protection & Sécurité de l information Confidentialité(s) des données Anonymat / Anonymisation / Pseudonymat / Pseudonymisation Anonymat des informations Anonymisation des données Pseudonymisation des identités Caractérisation / Caractéristiques Besoins / Objectifs / Exigences d anonymisation Irréversibilité / Inversibilité / Réversibilité de l anonymisation Chaînage / Robustesse / Inférence / Multiplicité d une anonymisation Illustrations en Santé & Social Exemple de double anonymisation dans la santé Exemple de simple anonymisation dans le social CONCLUSIONS vers la notion de TPC d anonymisation intimité Page 3 santé sûreté sécurité discrétion / séclusion anonymat anonymisation pseudonymisation démarche X-versibilité propriétés PMSI Obs.-RMI TPC "DMA" Vie privée (et respect de la ) Notions et périmètres variables de la «vie privée» : privative : contexte personnel, familial, intimiste et privatif publique : dans les lieux publics, lors d activités publiques citoyenne : contexte électoral, sur le lieu du bureau de vote internaute : lors des connexions à un Intranet, Extranet, Internet professionnelle : dans le cadre professionnel et sur le lieu travail Obligation commune de «respect» de la vie privée : administratif : vis-à-vis de fichiers du fisc, de la police, etc. statistique : fichiers INSEE, statistiques, enquêtes, sondages médical : dossier médical, de soins, généraliste/spécialité social : ANPE, URSSAF, DDASS/DRASS, CPAM/CRAM Page 4

Données personnelles (et notions/catégories de ) Diverses notions de «donnée personnelle» : caractère personnel : associée à une personne physique atomique (non agrégée) : significative d un individu donné agrégée (fusionnée) : relative à l ensemble d une population pseudonymisée : ayant un lien direct avec l individu physique dépersonnalisée : sans lien direct avec l individu physique Diverses catégories de «donnée personnelle» : de nature comportementale : consommations, habitudes, profils à caractère professionnel : rythmes, horaires, lieux de travail à caractère génétique : génome humain, critère génétique à caractère médical : pathologies, antécédents, symptômes à caractère social : trajectoires sociales, allocations diverses Page 5 Données personnelles nominatives (et types/catégories de ) Divers types de «données personnelles nominatives» : directement nominative : une donnée au registre d état civil indirectement nominative : le NIR (RNIPP ou n de sécu. ) très indirectement nominative : séjour d un patient en hôpital très très indirectement nominative : avec l exemple d un avion : { numéro de siège + [ rang du siège + ( numéro de vol + date du vol ) ] } anonymisée : un n de séjour d hospitalisation (patient inconnu) anonyme : la connexion au serveur vocal a eu lieu entre 17h42 et 17h44 Divers types et/ou catégories de «secret privatif» : ordinal : les professions à ordre (médecin, notaire, juge, avocat) intime / intimiste : mœurs, sexe, religion, politique, syndicat partageable / partagé : donnée médicale, élément de soin échangeable / échangé : donnée sociale, élément salarial communicable / communiqué : extrait de dossier médical Page 6

Patient + Sujet.Objet.Droit + Responsabilité Exigences de flexibilité et de robustesse pour la SSI Ethique, déontologie, lois, décrets, directives au niveau européen Modèle de politique : DAC MAC RBAC ou OrBAC - Gilles Trouessin - 1999 Dispositifs ICD Autorités de la santé (Nat.,Rég.,Loc.) Assureurs AMO AMC Systèmes I.T. Politiques orientées D.I.C.A. Ethique, déontologie, lois, décrets, nationaux Patient sa famille ses ayant-droit Patients Offreurs de soins de santé Professionnels de Santé Acteurs de la santé (sujets) Dossier de santé informatisé Systèmes d Info. de Santé (objets) Politiques multiples statique/dynamique inférence/déduction Politique de sécurité des S.I.S (droits) public/privée ordinaire/urgence responsabilité/délégation Ethique/déontologie/lois (responsabilitiés) Réseaux de soins informatisés Contrôle des flux rigoureux d information Solutions mutliples Autres... Délégations (mono/multi niveaux) Page 7 Systèmes d Information de Santé : les domaines / missions / fonctions / métiers Gestion Administrative et Financière Santé Publique G. A. & F. à finalité S. P.?? R. C. à finalité S. P. Patient?????? Recherche Clinique MmEDS versus McEDS R. C. à finalité P. I. & P. S. Prévention Individuelle & Production de Soins Page 8

Fil conducteur de la présentation PREAMBULES Préambules sur le respect de la vie privé intimité Préambules sur la sphère Santé/Social sécurité Sûreté / Sécurité / Confidentialité / Discrétion / Séclusion Sûreté de fonctionnement d un système sûreté Protection & Sécurité de l information sécurité Confidentialité(s) des données discrétion / séclusion Anonymat / Anonymisation / Pseudonymat / Pseudonymisation Anonymat des informations anonymat Anonymisation des données anonymisation Pseudonymisation des identités pseudonymisation Caractérisation / Caractéristiques Besoins / Objectifs / Exigences d anonymisation démarche Irréversibilité / Inversibilité / Réversibilité de l anonymisation X-versibilité Chaînage / Robustesse / Inférence / Multiplicité d une anonymisation propriétés Illustrations en Santé & Social Exemple de double anonymisation dans la santé PMSI Exemple de simple anonymisation dans le social Obs.-RMI CONCLUSIONS vers la notion de TPC d anonymisation TPC "DMA" Page 9 Sûreté de Fonctionnement & Sphère Santé / Social La Sûreté de Fonctionnement d un système informatique est cette propriété générique qui permet aux utilisateurs de ce système de placer une confiance justifiée dans le service qui leur est délivré par ce système [Laprie88 (LAAS)] La Sûreté de Fonctionnement est visible/perceptible selon différentes facettes (ou attributs perceptifs), telles que : La Sécurité de l Information (dite "Sécurité-Immunité au sens de Security ) vis-à-vis de sa capacité à garantir que toute manipulation de l information est autorisée/autorisable La Sûreté du système (dite Sécurité-Innocuité au sens de Safety ) : vis-à-vis de la non-occurrence de conséquences catastrophiques sur les individus et l environnement La Fiabilité du système (au sens de Reliability ) : vis-à-vis de sa capacité à offrir une continuité de service La Maintenabilité du système (au sens de Maintainability ) : vis-à-vis de sa capacité de réparation ou d évolution" Page 10

Sécurité de l information & exigences en Santé/Social La sécurité de l information peut être vue comme la combinaison des 4=3+1 propriétés de base qui, si elles sont fournies, permettent de garantir que les informations sont manipulées de façon autorisée La Sécurité de l Information est souvent composée de : La disponibilité (au sens de availability ) : vis-à-vis de son aptitude à être prêt à l utilisation L intégrité (au sens de integrity ) : vis-à-vis de la non-occurrence de modifications inadéquates" La confidentialité (au sens de confidentiality") : vis-à-vis de la non-occurrence de divulgations inappropriées L auditabilité du système (au sens de ability to audit ) : vis-à-vis de la capacité du système à auditer le(s) sous-système(s) mis en œuvre et à auditer la(les) sécurité(s) mise(s) en place Page 11 Confidentialité(s) & "ex- Secret médical" La confidentialité est la propriété qui permet de garantir que les informations sont divulguées de façon autorisée : Confidentialité accès à l information en justifiant du besoin d en connaître Secret médical Secret professionnel Discrétion professionnelle Mais aussi : Anonymat strict Pseudo-anonymat Vrai-faux anonymat accès légitime mais dans le respect du colloque singulier accès autorisé à l information mais obligation de réserve accès inévitable avec obligation de respect de l individu suppression (irréversible) des identités (directes ou indirectes) remplacement (inversible) des identités par des numéros (muets) modification provisoire (réversible) des informations ré-identifiantes Page 12

La confidentialité classique : ou "confidentialité-discrétion " La confidentialité-discrétion est la propriété garantissant que les informations sont divulguées en toute discrétion : Cryptographie techniques consistant à protéger l information électroniquement Chiffrement à Clés exemples : chiffrement symétrique et chiffrement asymétrique Techniques éprouvées techniques actuelles pouvant être testées mondialement Techniques réversibles exemples : protection des données durant leur transport Et aussi : En respectant la loi longtemps restreinte d utilisation, la cryptographie s est assouplie Avec l accord de l individu prendre en compte les exigences émises par la CNIL Dans le respect de l état de l art ces techniques pointues ne s improvisent pas Et donc obligation de protection et de discrétion : Les risques résident dans une mauvaise application des techniques de base Les parades consistent à pratiquer, ou à faire faire, une veille cryptographique pointue et permanente et à intégrer les outils de chiffrement le plus en amont possible de la chaîne logique de la sécurité - Gilles Trouessin - 1998 Page 13 La confidentialité non-classique : ou "confidentialité-séclusion " La confidentialité-séclusion est la volonté intime de garantir que les informations sont divulguées entièrement anonymisées de façon : Irréversible Inversible Chaînable Robuste Et aussi : Anonymisation vraie Fonction à sens unique Dimension juridique/éthique aucun retour possible depuis les anonymats vers les noms et/ou identités seul retour possible aux noms et/ou identités : la voie légale et réglementaire possibilité de relier ensemble tous les épisodes de soins et/ou de remboursement robustesse aux attaques par inférences (déductives, inductives, abductives, adductives) Et donc pas d atteinte à l intimité de la vie privée : irréversibilité totale et prouvée (juridique, organisationnelle, technologique) fonction cryptographique proche du chiffrement irréversible organisation indispensable pour garantir un anonymat vrai Les risques sont plus difficilement mesurables car une perte de confidentialité (i.e., là où il y avait volonté de préserver l intimité de l individu) est souvent irréparable Les conséquences peuvent être définitives tant pour le fautif que pour la victime Les menaces sont de 3 ordres : juridiques, organisationnels et technologiques Les solutions passent par : analyse de risques et expression des besoins précis - Gilles Trouessin - 1998 Page 14

Fil conducteur de la présentation PREAMBULES Préambules sur le respect de la vie privé intimité Préambules sur la sphère Santé/Social sécurité Sûreté / Sécurité / Confidentialité / Discrétion / Séclusion Sûreté de fonctionnement d un système sûreté Protection & Sécurité de l information sécurité Confidentialité(s) des données discrétion / séclusion Anonymat / Anonymisation / Pseudonymat / Pseudonymisation Anonymat des informations anonymat Anonymisation des données anonymisation Pseudonymisation des identités pseudonymisation Caractérisation / Caractéristiques Besoins / Objectifs / Exigences d anonymisation démarche Irréversibilité / Inversibilité / Réversibilité de l anonymisation X-versibilité Chaînage / Robustesse / Inférence / Multiplicité d une anonymisation propriétés Illustrations en Santé & Social Exemple de double anonymisation dans la santé PMSI Exemple de simple anonymisation dans le social Obs.-RMI CONCLUSIONS vers la notion de TPC d anonymisation TPC "DMA" Page 15 Classification des modes de chaînages des identifiants (nominatifs/anonymes) Chaînage Spatial Temporel Spatio-temporel Extrait de : FD S 97-560 Doc. AFNOR Nul Partiel Total Nul Partiel Total Min. Méd. Max. Page 16

Classification des modes de chaînages des identifiants (nominatifs/anonymes) Chaînage Spatial Temporel Spatio-temporel Extrait de : FD S 97-560 Doc. AFNOR Nul Partiel Total Nul Partiel Total Min. Méd. Max. Opacifié Coordonné Coopératif Perdu Pérenne Perpétuel Page 17 Classification des modes de chaînages des identifiants (nominatifs/anonymes) Chaînage Spatial Temporel Spatio-temporel Extrait de : FD S 97-560 Doc. AFNOR Nul Partiel Total Nul Partiel Total Min. Méd. Max. "Dépersonnalisation" (QB) Opacifié Coordonné Coopératif Omniprésence Rémanence Discontinuit ité Absence Perdu Pérenne Perpétuel Unique Universifié Uniforme Ubiquiste Permanence Persistence Equivalence Continuit ité Présence Universel "Pseudonymisation" (UK) "Occulation" (FOIN) pour le PMSI C.P. Page 18

Réseau des techniques de chaînages d anonymisation (irréversible) Histoire Histoire Histoire Extrait de : FD S 97-560 Doc. AFNOR Totalité Eternel el Toujours ours Perpétuel Perpetuity Uniforme Uniformity Universel Universality Partialité ité Annuel Parfois Pérenne Perenniality Universifié University Ubiquiste Ubiquity Nullité Ponctuel Jamais ais Perdu Perdition Opaque Opacity Unique Unicity Coordonné Coordination Coopératif Cooperation Nullité Local Partialité ité Régional Totalité National al Géographie Ici Autour Partout Page 19 Réseau des techniques de chaînages de pseudo-anonymisation (réversibles) Histoire Histoire Histoire Extrait de : FD S 97-560 Doc. AFNOR Totalité Eternel el Toujours ours Perpétuel Perpetuity Uniforme Uniformity Universel Universality Partialité ité Annuel Parfois Pérenne Perenniality Universifié University Ubiquiste Ubiquity Nullité Ponctuel Jamais ais Perdu Perdition Opaque Opacity Unique Unicity Coordonné Coordination Coopératif Cooperation Nullité Local Ici Partialité ité Régional Autour Totalité National al Partout Géographie Page 20

Fil conducteur de la présentation PREAMBULES Préambules sur le respect de la vie privé intimité Préambules sur la sphère Santé/Social sécurité Sûreté / Sécurité / Confidentialité / Discrétion / Séclusion Sûreté de fonctionnement d un système sûreté Protection & Sécurité de l information sécurité Confidentialité(s) des données discrétion / séclusion Anonymat / Anonymisation / Pseudonymat / Pseudonymisation Anonymat des informations anonymat Anonymisation des données anonymisation Pseudonymisation des identités pseudonymisation Caractérisation / Caractéristiques Besoins / Objectifs / Exigences d anonymisation démarche Irréversibilité / Inversibilité / Réversibilité de l anonymisation X-versibilité Chaînage / Robustesse / Inférence / Multiplicité d une anonymisation propriétés Illustrations en Santé & Social Exemple de double anonymisation dans la santé PMSI Exemple de simple anonymisation dans le social Obs.-RMI CONCLUSIONS vers la notion de TPC d anonymisation TPC "DMA" Page 21 Taxinomie de l anonymisation dédiée à la sphère Santé/Sociale of Perimeter the anonymisation Functionalities Privacy needs Anonymity objectives Anonymisation ANONYMISATION Types of anonymi process Plurality of Solutions Source : anonym levels Groupe AFNOR Sécurité des SIS Interoperablity of ano techniques Mai - Gilles 2008Trouessin - 1998 "Anonymat et anonymisation dans la sphère santé/social" - G.Trouessin JSSI-OSSIR 22 mai 2008 Page 22

Taxinomie de l anonymisation dédiée à la sphère Santé/Sociale Identification Authentication Authorisation Accreditation of Perimeter the anonymisation Functionalities Privacy needs Anonymity objectives Depersonnalisation Anonymisation#1 Irreversibility objective??? Anonymisation#2 Reversibility objective??? Anonymisation#8 Ineversibility objective Pseudonymisation Anonymisation#9 Chaining ANONYMISATION Anonymisation Robustness Reversion (robustness to) Inference (robustness to) Directe (inverted reversion) Indirecte (reconstructed rev.) Deductive Inductive inference Abductive inference Adductive inference inference Types of anonymi process Procedures (organisational) Mechanisms (cryptographic) Functions (mathematical) Solutions Plurality of anonym levels Simple (monoanonymis ) Double (bi-anonymisation) Multiple (multi-anonymisa ) Source : Groupe AFNOR Sécurité des SIS Interoperablity Transcoding Translation Transposition of ano techniques Mai - Gilles 2008Trouessin - 1998 interoprability interoperability interoperability "Anonymat et anonymisation dans la sphère santé/social" - G.Trouessin JSSI-OSSIR 22 mai 2008 Page 23 Taxinomie de l anonymisation dédiée à la sphère Santé/Sociale Identification Authentication Authorisation Accreditation of Perimeter the anonymisation Functionalities Privacy needs Anonymity objectives Depersonnalisation Anonymisation#1 Irreversibility objective??? Anonymisation#2 Reversibility objective Perpetuity time-total space-null??? Anonymisation#8 Ineversibility objective Uniformity time-total space-partial Pseudonymisation Anonymisation#9 Universality time-total space-total ANONYMISATION Anonymisation Chaining Robustness Perenniality time-partiel space-null Perdition Unicity Opacity Reversion (robustness to) Inference (robustness to) University time-partial space-partial Coordination time-null space-partial Directe (inverted reversion) Ubiquity time-partial space-total Cooperation time-null space-total Indirecte (reconstructed rev.) Deductive Inductive inference Abductive inference Adductive inference inference Types of anonymi process Procedures (organisational) Mechanisms (cryptographic) Functions (mathematical) Solutions Plurality of anonym levels Simple (monoanonymis ) Double (bi-anonymisation) Multiple (multi-anonymisa ) Source : Groupe AFNOR Sécurité des SIS Interoperablity Transcoding Translation Transposition of ano techniques Mai - Gilles 2008Trouessin - 1998 interoprability interoperability interoperability "Anonymat et anonymisation dans la sphère santé/social" - G.Trouessin JSSI-OSSIR 22 mai 2008 Page 24

Fil conducteur de la présentation PREAMBULES Préambules sur le respect de la vie privé intimité Préambules sur la sphère Santé/Social sécurité Sûreté / Sécurité / Confidentialité / Discrétion / Séclusion Sûreté de fonctionnement d un système sûreté Protection & Sécurité de l information sécurité Confidentialité(s) des données discrétion / séclusion Anonymat / Anonymisation / Pseudonymat / Pseudonymisation Anonymat des informations anonymat Anonymisation des données anonymisation Pseudonymisation des identités pseudonymisation Caractérisation / Caractéristiques Besoins / Objectifs / Exigences d anonymisation démarche Irréversibilité / Inversibilité / Réversibilité de l anonymisation X-versibilité Chaînage / Robustesse / Inférence / Multiplicité d une anonymisation propriétés Illustrations en Santé & Social Exemple de double anonymisation dans la santé PMSI Exemple de simple anonymisation dans le social Obs.-RMI CONCLUSIONS vers la notion de TPC d anonymisation TPC "DMA" Page 25 Familles de flux d information à sécuriser dans la sphère Santé/Social M.E.S. C.N.A.M.T.S. U.R.C.A.M. U.R.M. A.R.H. Soins/Médical Professionnels de Santé Etablissements de Soins Médecine de Ville Hôpitaux Publiques Organismes x-evaluation Organismes x-vigilence Patients et Ayant-droits Organismes Payeurs Page 26

M.E.S. R161-33 Exemple-1 : flux entrants/sortants d une Caisse Primaire d Assurance Maladie Organismes A.M.O. national : CNAMTS régional : URCAM Régularisation des paiements passés Paiement par l A.C. F.S. Electronique (sans code path.) (avec code path.) F.S. Flux bi- Papier anonymisés Droit d accès - CNIL (sans codage) Dir. M.C. (données codées) Obligation d information (vers U.R.M.) (vers PS individ.) A.C. Dir. et M.C. Patients & Ayants-droit R161-30 Médecine de ville Etabl. t de soins (priv.) Laboratoires biolog. Pharmacies (org. conc.) Tous P.S. Avis CNIL R321-1 R161-31.4 R161-31.3 L161-29 R161-31.4 L161-29.4 è al. L161-29.4 è al. Instances L161-28 et 29.2 è al. et L183-1 (URCAM) R161-30.3 è al. Ordonnancement par le Directeur Régularisation des paiements passés Interrogation à l aide de SIAM M.M.E.D.S. Vérification comptable Contrôle après paiement Procédure contentieuse Mission de contrôle du service médical Avis CNIL L161-29.1 er al. Art.35 du Code de Déontologie Mai A.M.C. 2008 "Anonymat et anonymisation conventionnelles dans la sphère santé/social" - G.Trouessin JSSI-OSSIR 22 mai 2008 Page 27 Gilles TROUESSIN 1998 U.R.M. L162-5.9 5 J. 1 an 3 ans C. P. A. M. Exemples-2 & -3 : sécurisation des données / flux pour les Systèmes d Informations de Santé/Social Anonymisation (irréversible) des trajectoires de soins des assurés et bénéficiaires en hospitalier (privé, ) Anonymisation des maladies soumises à déclarations obligatoires Santé Publique Anonymisation (irrév.) du suivi des RMIstes en région parisienne (IdF) Gestion Administrative et Financière G. A. & F. à finalité S. P.?? R. C. à finalité S. P. Patient?????? Recherche Clinique MmEDS versus McEDS R. C. à finalité P. I. & P. S. Prévention Individuelle & Production de Soins Protection (authenticité) des flux électroniques CPAMs banques de remboursement aux assurés Confidentialité des échanges et des extraits de dossiers ~ entre P.S. Anonymisation (irrév.) pour réseaux de soins et la recherche Page 28

Fil conducteur de la présentation PREAMBULES Préambules sur le respect de la vie privé intimité Préambules sur la sphère Santé/Social sécurité Sûreté / Sécurité / Confidentialité / Discrétion / Séclusion Sûreté de fonctionnement d un système sûreté Protection & Sécurité de l information sécurité Confidentialité(s) des données discrétion / séclusion Anonymat / Anonymisation / Pseudonymat / Pseudonymisation Anonymat des informations anonymat Anonymisation des données anonymisation Pseudonymisation des identités pseudonymisation Caractérisation / Caractéristiques Besoins / Objectifs / Exigences d anonymisation démarche Irréversibilité / Inversibilité / Réversibilité de l anonymisation X-versibilité Chaînage / Robustesse / Inférence / Multiplicité d une anonymisation propriétés Illustrations en Santé & Social Exemple de double anonymisation dans la santé PMSI Exemple de simple anonymisation dans le social Obs.-RMI CONCLUSIONS vers la notion de TPC d anonymisation TPC "DMA" Page 29 Démarche d analyse de risques & technologies pour la confiance Besoins : Authentification? Autorisation? Authenticité? Confidentialité? Confidentialité-Discrétion? Confidentialité-Séclusion? of Perimeter the anonymisation Functionalities Privacy needs Anonymity objectives Irreversibility objective Objectifs : Uniformité? Spécificité? Particularité? ANONYMISATION Anonymisation Chaining Robustness Exigences : Chaînage des identifiants? Fiabilité des anonymats? Protection des clés d Anonym? Robustesse à l inférence(s)? Tiers de confiance (centralisé)? Source : Groupe AFNOR Sécurité des SIS Solutions Types of anonymi process Plurality of anonym levels Interoperablity of ano techniques Procedures (organisational) Simple (monoanonymis ) Transcoding interoprability Page 30

CONCLUSION vers une nouvelle famille de TPC : les tiers de confiance de gestion de l anonymat TPC de CONFIDENTIALITE ou TTP for confidentiality ou Confidentiality-TTP TPC de Certification (IGC) ou Prestataire de Service de Certification or Certification-TTP (PKI) TPC d ANONYMISATION ou Instance de Coordination des Identités or Data Matching Agency (DMA) Selon les CC (ISO15408) f_anonymat f_pseudonymat f_non-chaînabilité f_non-observabilité Ou bien selon??? OUI non applicable OUI/NON non-applicable TPC_de-Pseudo-Anonymisation réversible Pseudo-Annonym._TTP TPC_d Anonymisation irréversible Privacy_TTP TPC_Respect-de-l -Intimité inversible Anonymity_TTP combinable avec... du chaînage spatial (seul) du chaînage temporel (seul) du chaînage spatio-temporel Page 31 Je vous remercie pour votre attention Questions? Remarques? Commentaires? Avis personnels? Page 32