Santé : une définition des données pseudonymisées bouleversée ?
Article rédigé le 3 juillet 2023 par Me Adriane Louyer
Une juridiction de l’Union européenne, vient de rendre une décision dont la solution a été particulièrement partagée et commentée dans le secteur de la santé. Pour certains, cette décision remettrait en question la définition des données à caractère personnel pseudonymisées et permettrait ainsi à des responsables de traitement, destinataires de données, de s’abstenir de leurs obligations imposées par la réglementation sur les données personnelles.
On comprend le bouleversement que cela impliquerait en matière de traitement de données de santé : tel serait le cas par exemple d’un organisme mettant en place un entrepôt de données de santé ou réalisant des recherches médicales qui ne serait pas en mesure de réidentifier les personnes.
Il convient donc de rappeler les éléments de contexte de cette décision et d’analyser si celle-ci présente un véritable bouleversement pour les acteurs de la santé qui sont amenés à traiter des données qui étaient qualifiées jusqu’à présent de données pseudonymisées.
Les faits
Dans les faits, le Tribunal de l’Union européenne avait été saisi d’un recours contre une décision du Contrôleur européen à la protection des données (CEPD), en charge de vérifier la conformité des institutions de l’Union européenne.
Préalablement au litige qui l’opposait au CEPD, le Conseil de résolution unique (CRU), assurant la résolution ordonnée des défaillances des banques, avait lancé une consultation de ses actionnaires en plusieurs phases. Lors de la seconde phase, des commentaires ont été transmis au cabinet d’audit Deloitte avec un code ne permettant pas d’identifier l’auteur des commentaires.
Toutefois, les personnes n’avaient pas été informées que le cabinet d’audit avait été destinataire de leurs données. Plusieurs répondants ont donc saisi le CEPD, en raison de cette absence de mention. Le CEPD a rappelé à l’ordre le CRU sur l’absence de cette mention d’information, ce dernier a alors contesté cette décision devant le Tribunal de l’Union européenne. La principale question qui opposait les CRU et le CEPD était celle de savoir si les informations transmises au cabinet d’audit étaient des données à caractère personnel ou non et si le cabinet d’audit était en mesure de réidentifier les personnes concernées.
Le TUE a rendu sa décision le 26 avril dernier dans laquelle il a rappelé la définition d’une donnée à caractère personnel selon l’article 3 point 1 du Règlement (UE) 2018/1725 qui s’applique aux institutions de l’Union européenne et qui est identique à celle du Règlement (UE) 2016/679 dit « RGPD ». A ce titre, une information sera qualifiée de données à caractère personnel si les deux conditions cumulatives suivante sont réunies, à savoir :
- cette information « se rapporte » à une personne physique ;
- cette personne soit « identifiée ou identifiable ».
Les champs libres ne sont pas présumés être des données à caractère personnel
Tout d’abord, pour considérer que les commentaires étaient des données à caractère personnel, le CEPD s’était appuyé sur une précédente jurisprudence de la CJUE (CJUE, 20 décembre 2017 Nowak C-434/16) dans laquelle la copie d’examen avait été reconnue comme une donnée à caractère personnel. En application de cette jurisprudence, le CEPD estimait que les commentaires des actionnaires exprimaient des points de vue personnels ou des opinions ; ce qui correspondaient à des données à caractère personnel.
Dans cette affaire, le juge de l’Union européenne rappelle au CEPD que contrairement à son analyse, l’information sur le point de vue personnel ou d’une opinion ne doit pas être présumée être une donnée à caractère personnel. Selon le CEPD, il est nécessaire de procéder à un examen pour déterminer si, par son contenu, sa finalité ou son effet, un point de vue est lié à une personne déterminée.
Ainsi, en rappelant que les commentaires ou champ libre ne doivent pas être présumés comme constituant des données à caractère personnel, le Tribunal de l’Union européenne restreint la qualification de données à caractère personnel pour les champs libres. Les responsables de traitement devront procéder à une analyse in concreto pour déterminer si le contenu, la finalité, l’effet du point de vue permet de le lier à une personne déterminée.
Une telle analyse in concreto pourrait donc conduire certains responsables de traitement à exclure plus facilement la qualification de données à caractère personnel pour des informations issues de commentaire ou de champ libre, et conduire à une collecte importante de données diminuant l’application du principe de minimisation de la collecte des données personnelles. Néanmoins, pour le cas du CRU, de nombreux commentaires pseudonymisés recueillis ce dernier étaient identiques ou présentaient de forte similitude ne permettant pas de les rattacher directement à une unique personne. Ainsi en pratique, les fortes similitudes de ces commentaires venaient donc fortement limiter la qualification de données à caractère personnel de ces derniers.
L’analyse nécessaire de la capacité du destinataire à réidentifier les données
Par ailleurs, le CEPD faisait valoir que les données transmises au cabinet d’audit étaient des données pseudonymisées et non des données anonymisées. Le CEPD estimait que pour déterminer si les données étaient pseudonymisées ou anonymisées, il convenait d’examiner s’il existait des informations supplémentaires pouvant être utilisées pour relier les données à des personnes physiques spécifiques.
A cet égard, le TUE a appliqué le raisonnement dégagé par la CJUE dans son arrêt Breyer (CJUE 19 octobre 2016, Breyer, C-582/14) et pour lequel elle avait considéré que l’adresse IP était une donnée à caractère personnel. En l’espèce, le juge de l’Union européenne a donc vérifié si le CEPD avait procédé à l’analyse des informations transmises au cabinet d’audit pour déterminer si les données pouvaient se rapporter à des personnes identifiables.
A ce titre, le TUE rappelle que l’analyse permettant de s’assurer que les informations transmises se rapportaient ou non à des personnes identifiables devait être réalisée du point de vue du destinataire des données (le cabinet d’audit) et non de l’émetteur des données (le CRU). Pour cela, le responsable de traitement doit procéder à une analyse des moyens dont dispose le destinataire des données pour réidentifier par des moyens légaux ou en pratique les personnes physiques. Or, dans le cas du cabinet d’audit, le code qui figurait sur les réponses ne permettaient pas au cabinet de relever directement l’identité de la personne physique qui a rempli le formulaire. En outre, seul le CRU disposait des informations supplémentaires permettant l’identification des actionnaires ayant répondu au formulaire par la table de concordance.
Dès lors, le TUE considère que le CEPD aurait dû rechercher en l’espèce si le cabinet d’audit disposait de moyens légaux et réalisable en pratique lui permettant d’accéder aux informations supplémentaires nécessaires à la réidentification des auteurs des commentaires, ce qu’il n’avait pas fait et a donc annulé la décision du CEPD.
Il convient de mettre en perspective cette décision du TUE au regard d’une autre décision rendue par le Conseil d’Etat en 2017 sur la collecte de données pseudonymisées (CE, 8 février 2017, JC Decaux, n°393714). Dans cette décision, ni la rapporteure publique (voir ici), ni le juge administratif n’ont fait application de la grille de lecture développé par la CJUE en 2016 dans son arrêt Breyer précité sur la qualification de données à caractère personnel d’une donnée pseudonymisées, bien que cette décision soit antérieure à celle du Conseil d’Etat de 2017. Plus encore, le juge administratif avait pu considérer dans cette décision qu’ « une telle donnée ne peut être regardée comme rendue anonyme que lorsque l’identification de la personne concernée, directement ou indirectement, devient impossible que ce soit par le responsable du traitement ou par un tiers ».
Ainsi, le Conseil d’Etat dans sa jurisprudence prenait en compte la possibilité d’une réidentification des données par un tiers pour écarter la qualification de données anonymisées contrairement à la décision du TUE qui fait l’objet de cet article.
Quelles sont les conséquences de cette décision ?
Tout d’abord, l’analyse par le responsable de traitement de la capacité pour le destinataire des données à réidentifier les données ne sera pas chose aisée. En effet, celui-ci n’a pas une vision d’ensemble des informations dont disposerait le destinataire des données et qui lui permettrait ou non de réidentifier les personnes via des informations disponibles en sources ouvertes, via les bases de données dont disposerait le destinataire tel que par exemple un entrepôt de données de santé, ou par des moyens légaux.
Dès lors, deux possibilités pour un acteur de la santé qui transmettrait des données à un tiers :
- soit l’émetteur des données informera les personnes concernées que leurs données sont transmises à un tiers destinataire ;
- soit pour s’assurer qu’il n’aura pas à informer les personnes concernées du destinataire des données, l’émetteur des données devra encadrer le transfert des données dont le tiers destinataire ne peut identifier directement les personnes et d’interdire à ce dernier la possibilité de réaliser tout traitement de réidentification des personnes.
Toutefois, cette décision du TUE remet en question la précédente jurisprudence du Conseil d’Etat de 2017 dans laquelle le risque de réidentification était analysée tant du point de vue du responsable de traitement que du tiers. Des précisions par la Cour de justice de l’Union européenne seront attendues dans la mesure où la qualification de données à caractère personnel emporte des conséquences juridiques importantes pour les responsables de traitement ; plus encore lorsque ces données sont des données de santé. Un pourvoi en cassation du CEPD devant la Cour de justice de l’Union européenne pourrait être envisagé, ce qui semblerait être la position de la CNIL.
Néanmoins, une telle solution ne pourrait être retenue pour un responsable de traitement qui, bien que n’ayant pas accès aux données à caractère personnel, est en charge de la détermination des finalités et des moyens du traitement. En effet, la CJUE a rendu en 2018 une précédente décision (CJUE du 10 juillet 2018 C-25/17), dans laquelle elle avait reconnu la qualification de responsable conjoint de traitement à un organisme qui n’avait pas directement accès aux données à caractère personnel mais était bien chargé de déterminer conjointement la finalité et les moyens du traitement.
La décision récente du TUE ne doit pas être analysée comme une remise en question de cette jurisprudence de 2018. Un responsable de traitement, qui détermine les finalités et les moyens du traitement, ce qui est le cas du responsable d’un entrepôt de données de santé ou d’un Promoteur dans le cadre d’une recherche médicale, ne pourra pas s’affranchir de ses obligations liées à la réglementation sur la protection des données à caractère personnel (RGPD) en considérant que n’étant pas en mesure de réidentifier les personnes concernées ou n’ayant pas directement accès à des données à caractère personnel, il ne serait pas soumis aux exigences du RGPD.
Avant de rejoindre le cabinet Houdart & Associés en 2021, Adriane Louyer a travaillé au sein de cabinets d’avocats et de plusieurs administrations publiques. Elle dispose de compétences en droit administratif et a développé une expertise juridique en droit des données dans le secteur public (droit des données personnelles, open data, droit d’accès aux documents administratifs).
Au sein du pôle santé numérique, elle conseille et assiste les établissements publics et privés du secteur sanitaire et médico-social en droit du numérique.