Par une délibération du 5 septembre 2024, la Commission Nationale de l’Informatique et des Libertés (CNIL), autorité de contrôle pour la France qui assure le respect du Règlement général de protection des données (RGPD), s’est penchée sur la question de savoir si les données traitées devaient être considérées comme « pseudonymisées » ou « anonymisées », la qualification retenue ayant des conséquences importantes.
Contexte : le contrôle du traitement de données de santé opéré par une société éditrice d’un logiciel
Dans cette affaire, la CNIL a opéré un contrôle des traitements des données à caractère personnel opérés par une société éditrice d’un logiciel de gestion à destination de médecins et de centres de santé.
Toute la question était de savoir si ces données étaient « pseudonymisées » ou « anonymisées » et donc soumises ou pas au RGPD.
Solution : l’application de la règlementation sur la protection des données aux données pseudonymisées
L’importance de la distinction entre « pseudonymisation » et « anonymisation » des données
Dans le cas présent, la société éditrice proposait aux professionnels de santé une solution logicielle collectant diverses données médicales : dossiers médicaux, prescriptions, coordonnées patients, état civil du patient, arrêts de travail, etc. Il s’agissait donc de données de santé au sens du RGPD, à savoir des données révélant des informations sur l’état de santé d’une personne.
Ces données étaient reliées à un identifiant unique pour chaque patient et propre à chaque cabinet médical, permettant le suivi des prescriptions du patient. Elles étaient ensuite extraites afin de constituer une base de données transmise à des sociétés tierces aux fins d’études et de statistiques.
Toute la question était de savoir si ces données étaient ou non soumises au RGPD. En effet, les données anonymisées ne sont pas des données personnelles puisqu’elles ne permettent pas, par définition, d’identifier les personnes qui sont derrière. La notion repose sur une absence d’identification irréversible. Or, si la règlementation en matière de protection des données ne leur est pas applicable, leur utilisation est donc totalement libre. A l’inverse le traitement de données simplement pseudonymisées, pour lesquelles cependant le recours à des informations supplémentaires est nécessaire pour identifier la personne, est soumis à la règlementation.
La société éditrice considérait que les données traitées étaient anonymisées car il était, selon elle, impossible de réidentifier les patients.
Pour opérer la distinction de qualification, la CNIL se base sur de nombreux faisceaux d’indices :
- Existe-t-il des « moyens raisonnables » permettant l’identification de la personne par toute personne ? (considérant 26 RGPD). Si oui, il s’agit de données pseudonymisées.
- La donnée résiste-t-elle aux mécanismes d’ « individualisation », « de corrélation » et d’ « inférence » et de « réidentification » ? (avis du Groupe de travail Article 29 sur la protection des données « G29 »). Si oui, il s’agit de données anonymisées.
Dans le cas présent, la CNIL a appliqué ces éléments in concreto et conclu que les données étaient ici seulement pseudonymisées. En effet, elle a constaté que, grâce à l’identifiant unique d’un patient, l’isolement et l’identification de celui-ci dans le jeu de données était effectivement possible et permettait la levée du pseudonymat. Le rapporteur s’était d’ailleurs prêté à l’exercice et avait, sans trop de difficultés manifestement, réussi à démontrer que la levée de pseudonymat n’était pas si compliquée.
Aussi, la règlementation en matière de protection des données leur était applicable.
Le traitement illicite des données de santé par la société éditrice
Dans le cas présent, la société éditrice du logiciel a été considérée comme responsable de traitement, en ce qu’elle déterminait les moyens du traitement vis-à-vis des médecins et les finalités du traitement vis-à-vis des sociétés tierces chargées des études statistiques.
Les données sensibles, dont font partie les données de santé, font l’objet d’une protection renforcée : le RGPD autorise un traitement dans des circonstances très strictes.
En application de la loi Informatique et libertés, la CNIL a considéré que la société éditrice avait manqué à son obligation, en tant que responsable de traitement de données de santé :
- de lui adresser une déclaration de conformité aux référentiels CNIL,
- d’obtenir une autorisation pour créer un entrepôt de données (lieu de stockage de données sensibles), en l’absence de recueil du consentement des patients concernés, et effectuer un traitement de ces données
En application de l’article 5 du RGPD sur la licéité du traitement, la CNIL a également considéré qu’en procédant à une extraction automatique de certaines données, sans permettre leur consultation par le médecin sans téléchargement automatique, la société procédait à une aspiration des données sur son logiciel.
En conséquence, la CNIL a condamné la société à une amende de 800.000 euros et ordonné la publication de sa décision.
Vous souhaitez creuser le sujet ? Vous pouvez prendre attache avec un avocat propriété intellectuelle / RGPD du Cabinet.