De nombreux acteurs du secteur de la santé pensent détenir des données anonymes et s’affranchissent ainsi des démarches exigées par le RGPD et la loi Informatique et Libertés (LIL).
Toutefois, les conditions de l’anonymisation des données sont strictes et difficiles à réunir, en particulier dans le secteur de la santé car les bases de données comprennent souvent de très nombreuses variables par individu qui sont conservées par différents acteurs.
Or, la requalification de données anonymes en données personnelles de santé emporte des conséquences importantes. C’est ce qu’illustre la décision de sanction prononcée par la CNIL en août dernier commentée ci-dessous. Il convient de noter que deux autres sanctions concernant des entrepôts de données de santé « sauvages » ont été adoptées le même jour (non publiées).
Ces sanctions devraient retenir l’attention de nombreux acteurs et les inciter à régulariser une situation très fréquente afin d’éviter une sanction qui peut être très lourde (jusqu’à 20 millions d’euros éventuellement assortie de la publicité de la sanction).
Les faits
L’affaire concerne une société qui édite et vend un logiciel de gestion destiné à des médecins de ville. La société proposait à certains des médecins clients du logiciel de l’autoriser à recueillir les données de leurs patients, afin qu’elles puissent être utilisées dans des études menées par des sociétés tierces. En contrepartie, les médecins bénéficiaient d’une réduction sur le prix du logiciel, d’un accès aux résultats des études et de tableaux de bord personnalisés. La société avait mis en place plusieurs mesures de sécurisation des échanges et des données,dont le remplacement des données nominatives des patients par un code. Les patients étaient bien informés de la transmission de leurs données à la société.
La société considérait que les données collectées étaient anonymisées de telle sorte qu’elles n’étaient plus soumises aux règles applicables aux données personnelles (RGPD, LIL, etc.). Elle n’avait donc réalisé aucune des démarches qui s’imposent en matière de traitement de données personnelles dans le domaine de la santé.
La CNIL a considéré au contraire que :
- les données traitées n’étaient pas anonymes mais seulement pseudonymisées, de telle sorte qu’elles restaient soumises au RGPD, à la LIL et au cadre réglementaire spécifiques aux données de santé,
- la société avait définit la finalité et les moyens de ce traitement de données (collecte, conservation et mise à disposition en vue d’une réutilisation), de telle sorte qu’elle en était responsable (et non sous-traitant),
- le traitement correspondait à la définition d’un entrepôt de données de santé qui aurait dû soit être conforme au référentiel applicable aux entrepôts de données de santé, soit être autorisé par la CNIL, soit être fondé sur le consentement des patients,
- les manquements étaient graves au regard de la nature et de la quantité de données, de la violation du principe de licéité, de la finalité commerciale du traitement et du secteur d’intervention qui auraient dû conduire la société à faire preuve d’une vigilance particulière,
- la société devait être sanctionnée à hauteur de 800 000 euros.
L’anonymisation des données
Il s’agit du point le plus discuté dans la décision, puisque c’est sur ce fondement que la société estimait pouvoir traiter les données librement. La CNIL rappelle le cadre juridique applicable en matière d’anonymisation, de façon détaillée en répondant aux différentes remarques de la société, pour conclure que les données ne sont pas anonymes.
En l’occurrence, la société collectait des données administratives (année de naissance, sexe, catégorie socio-professionnelle, code de la région) et des données de santé (date de consultation,allergies, antécédents, taille, poids, tension, diagnostic, détail des prescriptions). Ces données étaient associées à un identifiant unique pour chaque patient d’un même médecin (i.e.l’identifiant était différent lorsque le patient se rendait chez un autre médecin).
Pour considérer que les données ne sont pas anonymes, le CNIL relève que :
- L’identifiant unique permet d’isoler un individu dans la base et de réaliser un suivi historique (ce qui est contraire au critère de non-individualisation et, à mon avis même si la CNIL ne le précise pas, au critère de non-corrélation),
- Que le nombre de données collectées et la profondeur historique augmentait le risque de corrélation avec des données tierces permettant la levée du pseudonymat, sans qu’il soit besoin de prouver que la société elle-même dispose ou puisse disposer de ces données tierces,
- Que certaines des données collectées comme la région ou l’identité du médecin pourraient être corrélées à des données tierces telles que des données de géolocalisation (en s’appuyant à cet égard sur plusieurs études scientifiques à ce sujet) et ainsi ré-identifier les patients.
On aurait souhaité des précisions sur les modalités qui auraient pu être mises en œuvre pour que les données soient effectivement anonymes, mais ce n’est pas le cas. La CNIL invite sur ce point à la saisir d’une demande de conseil.
L’entrepôt de données de santé
La CNIL rappelle que la notion d’entrepôt de données de santé n’est pas dans la loi (LIL) mais constitue une construction doctrinale qui s’apprécie à l’aide d’un faisceau d’indices prenant en compte : la durée de conservation des données, la réutilisation des données dans des traitements ultérieures, l’alimentation au fil de l’eau ainsi que les finalités du traitement.
Même si au cas d’espèce la qualification fait peu de doute, on aurait pu espérer une définition un peu plus précise. Il faut en effet rappeler qu’à ce jour, le référentiel ne comprend pas de définition de l’entrepôt et qu’il existe des situations dans lesquels la qualification n’est pas aisée (pour certaines cohortes en particulier).
La responsabilité juridique de l’intermédiaire
La société a essayé en vain d’expliquer que son rôle se limitait à celui d’intermédiaire technique et qu’elle agissait comme sous-traitant à la fois des médecins et des sociétés qui menaient des études à partir des données collectées.
Pour rejeter l’argument, la CNIL relève que la société détermine :
- les finalités de l’utilisation des données de son observatoire vis-à-vis des partenaires, notamment en précisant dans son contrat avec ces derniers les usages autorisés,
- le périmètre du traitement en choisissant les médecins auxquels elle propose de participer, en fonction de critères de représentativité qu’elle établit,
- les moyens du traitement, en particulier les modalités de collecte et de transmission des données.
La validité des analyses de la CNIL dans le temps
Dans sa défense, la société a cherché à s’appuyer sur les réponses que la CNIL lui aurait formulé ou les informations concernant le traitement qu’elle aurait reçue par le passé. Les détails concernant ces échanges ne permettent pas d’en comprendre la teneur. En revanche, la CNIL indique explicitement qu’elle ne remet pas en question la validité de ses positions passées, mais ne s’estime pas liée par celles-ci dans la mesure notamment où de nombreuses évolutions du droit sont intervenues depuis leur date en 2014.
Conclusion
Si vous estimez traiter des données anonymes, vérifiez que c’est effectivement le cas. Si vous avez déjà vérifié, voire même échangé à ce sujet avec la CNIL, revérifiez. Assurez-vous régulièrement que l’analyse est toujours valide. Au moindre doute, anticipez et prévoyez toutes les mesures de régularisation nécessaires, pour éviter des sanctions pouvant aller jusqu’à 20 millions d’euros, sans parler de la publicité assortie. En l'occurrence, la société en question a régularisé sa situation puisque son entrepôt est désormais autorisé.
Pour consulter la délibération : Délibération de la formation restreinte n°SAN-2024-013 du 5 septembre 2024 concernant la société CEGEDIM SANTÉ.
.svg)
.svg)
.svg)
.svg)
%402x.svg)