La taverne du testeur

Outil de test: anonymisez vos données avec DOT anonymizer

DOT anonymizer est un outil d’anonymisation de données développé par la société ARCAD Software. Ce n’est pas proprement un outil de « test » mais un outil qui peut s’avérer essentiel… particulièrement dans un contexte RGPD.

La proposition de cet outil est de récupérer l’ensemble ou une partie des données de production et de les anonymiser afin de pouvoir les utiliser en test ou dans d’autres contextes tout en respectant les données personnelles. Une anonymisation n’est pas simple car cette dernière doit laisser les données cohérentes, utilisables et représentatives ce qui n’est pas forcément aisé… surtout si l’on a des données présentes dans plusieurs tables.

Afin de faire la modification qui répond le plus au besoin il faut:

  • identifier les données à modifier (dans l’ensemble des tables)
  • sélectionner les bons algorithmes de modification (notamment les données liées entre elles)
  • recréer la base de données avec les données anonymisées
  • conserver les liens entre les différentes données

C’est ce que propose DOT anonymizer.

A noter: DOT anonymizer propose également une « pseudonymisation » qui permet un retour arrière… ce qui peut être intéressant lorsque l’on recherches de potentielles fraudes mais que les personnes faisant les recherches ne peuvent pas avoir accès à des données non anonymisées.

Points forts et points faibles de DOT Anonymizer

Points forts

  • C’est un outil très flexible
  • Il permet d’identifier l’ensemble des données potentiellement sensibles
  • Il répond à un vrai besoin afin d’avoir des données de test représentatives qui respectent la RGPD
  • C’est un outil développé en France, ce qui est un plus en termes de respect de la RGPD et dans les contextes liés à l’administration

Points faibles

  • Peut être un peu technique: notamment en termes de définition des paramètres ou de vérification des modifications apportées
  • Ne permet pas d’extraire de manière ciblée des données avec certaines spécificités ciblées. C’est soit l’ensemble soit un pourcentage (pour cela il faut avoir également l’outil DOT extract)
  • Nécessite, selon moi, une courbe d’apprentissage afin de sélectionner les meilleurs algorithmes de transformation de données

Conclusion

Les problèmes de gestion de données de test sont récurrents. DOT anonymizer est un outil qui, sur le papier, peut permettre de résoudre certains de ces problèmes en ayant une base de données de test exploitables, intègres et cohérentes: c’est à dire représentatives de la production tout en respectant la RGPD au niveau des données personnelles.

Ce n’est cependant pas une solution miracle, elle ne permet pas de bien identifier les données de test à utiliser pendant les tests ou la manière des les utiliser. Cela reste le job du testeur!

De même afin d’assurer la qualité de cette anonymisation il est également essentiel de bien sélectionner la manière dont elles seront anonymisées.

Pensez à rejoindre le groupe « Le métier du test » si vous souhaitez échanger sur le test

Merci à tous ceux qui mettent « j’aime », partagent ou commentent mes articles

N’hésitez pas à faire vos propres retours d’expérience en commentaire.

3 Responses

  1. Bonjour Marc,

    Aujourd’hui, en tant que TM sur un projet RGPD, je constate que DotA présente une complexité technique considérable pour l’anonymisation ou la pseudonymisation des données. L’équipe de test rencontre des difficultés, notamment en raison des compétences techniques requises mais aussi pour identifier les champs à analyser .
    Pour vous, quels sont les risques potentiels que vous identifies en utilisant l’outil DOTA ? Quels défis devrions-nous anticiper et surmonter en employant cet outil ?

    Cordialement, Imane

    1. Bonjour Imane,
      je n’ai pas utilisé l’outil, il m’a été présenté. La série « outils de test » a pour but de présenter rapidement des outils afin de connaitre leur utilité.
      La complexité ne me surprend pas car l’architecture des données est généralement assez complexe et demande, quelque soit l’outil, des compétences pointues.
      Les risques lors de l’utilisation d’un outil d’anonymisation des données sont pour moi:
      – une perte de cohérence ou de liens entre les données (normalement c’est géré avec DoTa)
      – des données pas assez représentatives ou l’absence de données nécessaires à certaines validation
      – des données introduites avec des modifications non voulues (problème de migration)…
      Les défis à anticiper sont pour moi:
      – la connaissance de la structure de donnée (qui peut être très complexe)
      – la connaissance des flux de données
      – la montée en compétence sur les requêtes des données
      – la capacité à tester/vérifier si les données sélectionnées conviennent ou sont cohérentes
      – se former à l’outil
      J’espère avoir en partie répondu à vos questions
      Bonne journée

  2. Bonjour Imane,
    Je trouve que Marc a très bien répondu à votre question en replaçant la complexité au niveau de l’architecture des données.
    Un outil d’anonymisation des données atteint en effet sa pertinence maximale lorsque ses algorithmes s’exécutent sur des jeux de données sensibles bien déterminés.
    En tant qu’éditeur de la solution DOT Anonymizer, nous l’avons bien compris et les évolutions du produit iront dans ce sens par le renforcement de la capacité de découverte des données critiques.
    N’hésitez pas à nous contacter si vous avez besoin de plus d’information ainsi que pour nous faire part de votre retour d’expérience sur l’utilisation de DOTA : https://www.dot-anonymizer.fr/contact/
    Bien cordialement,
    Marie-Céline, BLM DOT Anonymizer

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

culture générale

Introduction aux tests de performance

Les tests de performance ont pour but d’observer un comportement (temps de réponse, erreurs) sur une application sous charge. Cette charge est générée par des outils d’injection (donc forcément automatisée) qui reproduisent de l’activité sur l’application. Les tests de performance permettent d’anticiper des situations de production afin d’apporter un maximum

Lire la suite »
Thématiques du RGESN: stratégie, spécifications, architecture, UX/UI, contenus, frontend, backend et hébergement
éco-conception

Présentation du RGESN – la stratégie (1/8)

Préambule Nouvelle série dans la taverne. L’idée de cette série est de faire une série d’articles semblables à ceux sur l’ISO-25010 et aux familles d’indicateurs: 1 article qui décrit chaque catégorie, permet de les comprendre… et donc de mieux comprendre globalement le sujet. Introduction Le RGESN, pour Référentiel Général d’Écoconception

Lire la suite »