Délibération de la forma­tion restreinte n°SAN-2024–013 du 5 septembre 2024 concer­nant la société CEGEDIM SANTÉ 

En pratique, il est fréquent que des respon­sables de trai­te­ment se targuent de procé­der à l’ano­ny­mi­sa­tion des données afin de se sous­traire à l’ap­pli­ca­tion de la régle­men­ta­tion sur la protec­tion des données. En effet, l’ano­ny­mi­sa­tion ouvre des poten­tiels de réuti­li­sa­tion initia­le­ment pres­crits du fait du carac­tère person­nel des infor­ma­tions. Toutefois, nombreux sont les cas dans lesquels l’ano­ny­mi­sa­tion dont se prévaut le respon­sable du trai­te­ment est unique­ment consti­tu­tive de pseu­do­ny­mi­sa­tion avec pour consé­quence l’ap­pli­ca­tion de la régle­men­ta­tion et ses nombreuses incidences.

À titre d’exemple, l’au­to­rité de protec­tion des données fran­çaise (CNIL) a sanc­tionné une société spécia­li­sée dans l’édi­tion et la vente de logi­ciels de gestions à desti­na­tion des profes­sion­nels de la santé (ci-après : Société). Cette Société offre à ses clients la possi­bi­lité d’ac­cé­der à une base de données qui regroupe des infor­ma­tions rela­tives aux patients, et ce, dans le but de leur permettre de conduire des études et des analyses statis­tiques dans le domaine de la santé. Les données figu­rant dans la base de données concer­née étaient extraites des dossiers médi­caux des patients suivis par les méde­cins recou­rant au logi­ciel déve­loppé par la Société. Ces derniers avaient consenti à la trans­mis­sion des données dans le cadre d’un obser­va­toire épidé­mio­lo­gique insti­tué par la société éditrice. En contre­par­tie, les profes­sion­nels de la santé béné­fi­ciaient d’une réduc­tion sur la licence d’uti­li­sa­tion dudit logi­ciel, qui leur permet d’ac­cé­der aux études statis­tiques réali­sées par les autres clients de la Société. En 2021, la CNIL a conduit des enquêtes au cours desquelles elle a décou­vert que, dans le cadre de l’uti­li­sa­tion dudit logi­ciel, la Société avait traité sans auto­ri­sa­tion des données qui n’étaient pas anonymes, la réiden­ti­fi­ca­tion des personnes concer­nées étant tech­ni­que­ment possible.

La forma­tion restreinte de la CNIL traite préa­la­ble­ment des notions de pseu­do­ny­mi­sa­tion et d’ano­ny­mi­sa­tion afin de formu­ler à l’égard de la Société deux manque­ments à la régle­men­ta­tion appli­cable à savoir la viola­tion de l’obli­ga­tion d’ef­fec­tuer les forma­li­tés préa­lables dans le domaine de la santé et la viola­tion du prin­cipe de licéité. La forma­tion restreinte conclut au prononcé d’une amende admi­nis­tra­tive de EUR 800’000.- pour des faits s’étant ache­vés en 2022.

Du carac­tère non anonyme des données traitées

Dans le cadre de son obser­va­toire, la Société collec­tait des données rela­tives au dossier admi­nis­tra­tif du patient, au dossier médi­cal, aux pres­crip­tions phar­ma­ceu­tiques et aux autres pres­crip­tions. Chaque patient se voyait attri­bué un iden­ti­fiant unique dans le flux du logi­ciel édité par la Société et dans les fichiers trans­mis à cette dernière. En effet, toutes les données d’un même patient suivi par un même méde­cin étaient asso­ciées au même iden­ti­fiant dans la base de données. Le recours à cet iden­ti­fiant unique permet, selon la Société, de ne pas être soumise au régime appli­cable en matière de protec­tion des données puisque les données trai­tées sont anonymes.

La forma­tion restreinte de la CNIL rappelle les notions de données à carac­tère person­nel (art. 4 par. 1 RGPD) et de santé (art. 4 par. 15 RGPD) et constate que, contrai­re­ment à celle de pseu­do­ny­mi­sa­tion (art. 4 par. 5 RGPD), la notion d’anonymisation n’est pas défi­nie par le RGPD. Dès lors, la forma­tion restreinte s’intéresse à la juris­pru­dence rendue par la CJUE. Elle cite l’arrêt Breyer (C‑582/​14, § 42–43) dont l’apport consiste prin­ci­pa­le­ment dans le fait que pour déter­mi­ner si une personne est iden­ti­fiable, il convient de consi­dé­rer l’ensemble des moyens suscep­tibles d’être raison­na­ble­ment mis en œuvre pour l’identifier, étant précisé qu’il n’est pas requis que toutes les infor­ma­tions permet­tant une telle iden­ti­fi­ca­tion se trouvent entre les mains d’une seule personne.

Dans un autre arrêt (C‑479/​22, commenté in swiss​pri​vacy​.law/​3​04/), la CJUE a précisé que le fait que des infor­ma­tions supplé­men­taires soient néces­saires à l’identification n’exclut pas que les données en ques­tion puissent être quali­fiées de données person­nelles (arrêt précité, § 49). La possi­bi­lité de combi­ner ces données avec des infor­ma­tions supplé­men­taires consti­tue un moyen raison­na­ble­ment envi­sa­geable pour iden­ti­fier la personne concer­née. Pour ce faire, il convient de tenir compte de l’ensemble des facteurs objec­tifs tels que le coût de l’identification et le temps néces­saires à celle-ci, ainsi que les tech­no­lo­gies dispo­nibles au moment du trai­te­ment et l’évolution de celles-ci (arrêt précité, § 50). Au surplus, la Cour précise qu’il est inhé­rent à l’identification indi­recte d’une personne que des infor­ma­tions supplé­men­taires soient combi­nées avec les données en ques­tion afin d’identifier la personne concer­née (arrêt précité, § 55). Dite iden­ti­fi­ca­tion dont la preuve n’a pas à être appor­tée en raison du niveau d’exigence règle­men­taire se limi­tant à exiger qu’elle soit iden­ti­fiable (arrêt précité, § 61). Quand bien même cette exigence figure au Règlement (UE) 2018/​1725, la CNIL procède à un raison­ne­ment par analo­gie en se basant sur le fait que la défi­ni­tion est iden­tique à celle figu­rant à l’art. 4 par. 1 RGPD.

Last but not least, la CJUE (C‑604/​22, commenté in swiss​pri​vacy​.law/​3​03/) a jugé qu’une chaîne compo­sée une combi­nai­son de lettres et de carac­tères conte­nant les préfé­rences d’un utili­sa­teur d’internet consti­tue une donnée person­nelle. La Cour est arri­vée à une telle conclu­sion indé­pen­dam­ment du fait qu’à défaut de contri­bu­tion exté­rieure, l’organisation secto­rielle déte­nant ladite chaîne ne pouvait ni accé­der aux données trai­tées par les membres du frame­work, ni combi­ner ladite chaîne avec d’autres éléments.

En l’absence de réfé­ren­tiels et de lignes direc­trices spéci­fiques publiés par la CNIL, sa forma­tion restreinte s’est tour­née vers un avis adopté par le Groupe de travail « article 29 » il y a plus de dix ans, lequel indique qu’un proces­sus peut être quali­fié d’anonymisation lorsqu’il parvient à résis­ter aux risques suivants :

“- l’individualisation, qui corres­pond à la possi­bi­lité d’isoler une partie ou la tota­lité des enre­gis­tre­ments iden­ti­fiant un indi­vidu dans l’ensemble de données ;

- la corré­la­tion, qui consiste dans la capa­cité de relier entre elles, au moins, deux enre­gis­tre­ments se rappor­tant à la même personne concer­née ou à un groupe de personnes concer­nées (soit dans la même base de données, soit dans deux bases de données diffé­rentes). Si une attaque permet d’établir (…) que deux enre­gis­tre­ments corres­pondent à un même groupe d’individus, mais ne permet pas d’isoler des indi­vi­dus au sein de ce groupe, la tech­nique résiste à l’« indi­vi­dua­li­sa­tion », mais non à la corrélation ;

- l’inférence, qui est la possi­bi­lité de déduire, avec un degré de proba­bi­lité élevé, la valeur d’un attri­but à partir des valeurs d’un ensemble d’autres attributs”.

La CNIL en conclut que lorsque le respon­sable du trai­te­ment se prévaut de l’anonymisation de données, il lui appar­tient de démon­trer que la réiden­ti­fi­ca­tion par le biais de moyens raison­nables n’est pas possible, de sorte que de tels risques sont négligeables.

En l’espèce, la Société faillit à cet exer­cice car elle est en mesure, grâce à l’identifiant du patient, de relier ledit iden­ti­fiant à divers fichiers trans­mis succes­si­ve­ment par un même méde­cin concer­nant un même patient, offrant ainsi à la Société une vision du parcours de soin. Le trai­te­ment ne résis­tant pas au risque de l’individualisation, la forma­tion restreinte procède à l’évaluation in concreto du risque de réiden­ti­fi­ca­tion. Dans ce cadre, elle constate qu’il est possible de réiden­ti­fier un nombre impor­tant d’individus dans un jeu de données pseu­do­ny­mi­sées à partir de données de géolo­ca­li­sa­tion. Une corré­la­tion entre les données tierces et les infor­ma­tions déte­nues par la Société augmen­te­rait consi­dé­ra­ble­ment les possi­bi­li­tés de levée du pseu­do­ny­mat. Or, le rappor­teur de la CNIL est parvenu à isoler un indi­vidu et à suivre partiel­le­ment son parcours de soin sans avoir à recou­rir à des infor­ma­tions supplé­men­taires de sorte qu’il est possible de lever le pseu­do­ny­mat dans le cas d’espèce.

Par consé­quent, la forma­tion restreinte retient que malgré l’attribution d’un iden­ti­fiant unique, la richesse des infor­ma­tions déte­nues par la Société était si impor­tante que la levée du pseu­do­ny­mat était possible. Dès lors, la CNIL tire les consé­quences de l’absence d’anonymisation.

De la notion d’entrepôt de données de santé et des forma­li­tés préa­lables dans le domaine de la santé

À titre préli­mi­naire, il convient de préci­ser que la notion « d’entrepôt de données de santé » est une émana­tion doctri­nale de la CNIL, laquelle s’apprécie selon un fais­ceau d’indices. Parmi ceux-ci, nous pouvons retrou­ver la durée de conser­va­tion, la réuti­li­sa­tion dans des trai­te­ments ulté­rieurs des données, l’alimentation au fil de l’eau de la base de données ainsi que les fina­li­tés du trai­te­ment. La forma­tion restreinte estime que la Société a consti­tué un entre­pôt de données de santé en procé­dant à une collecte massive et au fil de l’eau de données issues des dossiers médi­caux, et ce, en vue de les mettre à la dispo­si­tion de tiers de manière mutua­li­sée afin qu’ils puissent trai­ter ces données à des fins d’études et de recherches dans le domaine de la santé. Or, selon l’art. 66 de la loi Informatique et Libertés (dite « LIL ») les trai­te­ments de données person­nelles dans ce domaine, dont font partie les entre­pôts de données de santé, ne peuvent être mis en œuvre qu’après auto­ri­sa­tion de la CNIL ou à la condi­tion d’être conformes à l’un de ses réfé­ren­tiels.

Estimant à tort avoir anony­misé les données concer­nées, la Société n’a pas recueilli le consen­te­ment expli­cite des personnes concer­nées (art. 65 1° LIL), ne s’est pas confor­mée à un réfé­ren­tiel ou solli­cité une auto­ri­sa­tion auprès de la CNIL, trai­tant de la sorte des données de santé sans autorisation.

Du prin­cipe de licéité

Lors de la conduite de ses enquêtes, la CNIL a constaté qu’une collecte auto­ma­tique de données était opérée lors de l’utilisation d’un télé­ser­vice de l’assurance mala­die permet­tant d’accéder à l’historique des rembour­se­ments de santé effec­tués au cours des douze derniers mois.

La forma­tion restreinte retient que la Société a manqué à son obli­ga­tion de trai­ter les données de manière licite (art. 5 par. 1 let. a RGPD) en n’offrait pas d’alternative, comme la consul­ta­tion desdites données, à ses utilisateurs.

Conclusion

Cette déci­sion illustre la néces­sité impé­rieuse de garder à l’esprit que l’anonymisation est ardue à garan­tir. Sa recon­nais­sance peut notam­ment dépendre du nombre de données trai­tées rela­tives à une personne concer­née ou encore du proces­sus retenu. En effet, le respon­sable du trai­te­ment doit conser­ver à l’esprit que le proces­sus d’anonymisation valable à l’instant T se devra d’également résis­ter de manière anti­ci­pée à des tech­no­lo­gies n’étant pas encore dispo­nibles. De ce fait, le proces­sus d’anonymisation adopté devra notam­ment faire l’objet d’une veille tech­no­lo­gique afin de préve­nir d’éventuelles modi­fi­ca­tions. Par consé­quent, les tenta­tives d’anonymisation sont fréquem­ment requa­li­fiées par les auto­ri­tés de protec­tion des données en pseu­do­ny­mi­sa­tion, notam­ment en raison du risque de corrélation.