@djelouze @edasfr La position du service va du coup aussi beaucoup jouer avec ses 2 paramètres. Une petite boîte FR verra majoritairement du FR/UTC+2, donc la proba d’erreur va monter en flèche, plus proche du 100% que d’autre chose. À l’inverse une petite boîte US aura quasiment la certitude de l’unicité de l’individu avec la même donnée…

@djelouze @edasfr Bref « C’est compliqué », mais jusqu’à preuve du contraire (et l’analyse qui le prouve pour être conforme RGPD), une donnée a plus de chance d’être une donnée personnelle qu’autre chose.

@aeris @djelouze @edasfr Y a pas une répartition uniforme des fuseaux horaires donc le cumul en pratique devrait être un peu plus haut que ça… Dans cet exemple en tout cas.

@GeoffreyFrogeye @djelouze @edasfr Oui, il faudrait regarder les chiffres exactes, ça donne juste des ordres de grandeur 😂

@GeoffreyFrogeye @djelouze @edasfr UTC+2, c’est 459.000.000 habitants. Sur 7.5 milliard, ça fait donc 6.12%.
À l’inverse UTC+11 fait 16.850.000 habitants. On tombe à 0.22%…

@aeris 0.15% d'erreur sur 7,5 milliards, ça fait quand même 11 250 000 personnes. x)
Donc si tu stocke que ça, est-ce vraiment une donnée perso ? (sans ID, date ou quoi que ce soit)

Puisqu'il est pas possible de recroiser ces données avec d'autres…

@djelouze @edasfr

@Darks

J'allais justement de la fréquence de base :)

On a un peu le même soucis sur l'analyse de risque clinique : pour savoir si il faut faire une analyse, on doit analyser les risques. Ça ressemble à l'analyse d'impact : quand une erreur, aussi faible soit-elle te conduit à un choix parmi 1 million, l'analyse n'est p-ê pas nécessaire. Mais elle a été faite !

../..

@aeris @edasfr

@Darks @djelouze @edasfr Non, il faut le voir dans l’autre sens. Tu as 0.15% d’erreur de te planter dans l’association de 2 visiteurs avec les mêmes valeurs.

@Darks @djelouze @edasfr Et tu stockes « forcément » une donnée autre à côté, sinon cette donnée n’a aucun intérêt à être stockée (ou ne serait effectivement plus une donnée perso)

@aeris Imaginons, j'ai Fr/UTC+2 dans ma bdd.
→ Je n'ai qu'une entrée ⇒ j'identifie une personne unique parmi 11 millions. Donc en fait personne.
→ J'ai plusieurs entrées (N) ⇒ j'identifie à 1 / (0.15 * N)  % la personne. Donc si N est "grand", ma donnée n'est plus personnelle.

Ceci étant dit, en écrivant ça je trouve le truc foireux… 🤔

@djelouze @edasfr

@Darks @djelouze @edasfr Vois le truc dans l’autre sens. Un visiteur se pointe en FR/UTC+2. Tu as une db avec 12 millions de personnes. Tu n’as pas FR/UTC+2 dedans. Tu en déduis que c’est un nouveau visiteur.
Tu vois une autre personne avec FR/UTC+2. Quelle est la probabilité qu’il s’agisse de la même personne que précédemment, sachant que tu n’avais jamais vu ce motif avec 12 millions de personnes auparavant.

@Darks @djelouze @edasfr On ne cherche pas à calculer la propa d’identifier un individu parmis 12 millions, la proba qu’il s’agisse du même sachant que tu as déjà vu ce motif avant.

@aeris Je vois. Donc 1 / (p × N), où p est le taux d'identification global et N le nombre d'apparitions, si je suis bien ?

@Darks Faudrait faire les calculs exacts, les probas conditionnelles, c’est toujours le merdier à calculer 😂 #ThéorèmeDeBayes

@Darks En tout cas Am I Unique a déjà traité 1 394 986 analyses, et « fr-FR,fr;q=0.5 » n’a été vu que 0.77% du temps et mon fuseau horaire que 10.17% du temps. Rien qu’avec ces 2 paramètres, on sait m’associer à un groupe de 1092 personnes chez Am I Unique… C’est LARGEMENT plus qu’il n’en faut pour être utilisé pour du ciblage publicitaire par exemple.

@Darks Et sur la population mondiale, je serais dans un groupe de 5.8 millions de personnes. Soit « seulement » la petite couronne de l’Île de France… Ça remet des choses en perspective…