Accueil
Le quotidien du droit en ligne
-A+A
Article

Sanction par la CNIL d’un traitement de données de santé illicite et non autorisé : rappel utile sur la distinction entre pseudonymat et anonymat des données

Par une décision du 5 septembre 2024 qu’elle a souhaité soumise à une publicité importante, la CNIL a condamné une société qui édite et vend des logiciels de gestion à des professionnels de santé à une amende de 800 000 € en raison d’un traitement de données de santé créé sans son autorisation, en contrariété avec la loi dite « Informatique et libertés », et illicite au sens du règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD). La qualification des données, pseudonymes ou anonymes, a fait l’objet de longs développements permettant de revenir sur cette distinction lourde de conséquences pour le responsable de traitement.

Le droit de la protection des données personnelles soumises à un traitement est notamment fondé sur une distinction entre la nature des données, laquelle influe sur certains aspects de la réglementation de ce traitement. Les données « sensibles » au sens de l’article 9 du RGPD, qui incluent notamment les données relatives à la santé de la personne concernée, font l’objet d’un régime de protection spécifique. Le principe est l’interdiction de leur traitement avec quatre exceptions. Même si l’une d’elles est remplie, l’obligation de respecter toutes les exigences posées par le règlement subsiste, dont celle de licéité de l’article 6. La loi Informatique et libertés s’intéresse particulièrement aux données de santé avec des dispositions spécifiques pour assurer une protection maximale à la personne concernée.

La CNIL, Autorité de contrôle pour la France conformément à l’article 51 du RGPD, assure le respect des textes français et européens notamment par le biais de contrôles. En mars 2021, des vérifications ont été effectuées concernant les traitements de données mis en œuvre par la société CEGEDIM SANTÉ, chargée d’éditer et de vendre des logiciels de gestion à des médecins exerçant en cabinet ou en centres de santé. Ces logiciels contiennent des données de santé, puisqu’ils permettent notamment de gérer le dossier et les prescriptions d’un patient. Des manquements à la loi Informatique et libertés et au RGPD ont été constatés, ce qui a conduit la CNIL, par sa délibération du 5 septembre 2024, à sanctionner ladite société d’une amende de 800 000 €.

Cette décision illustre la protection concrète assurée à une personne s’agissant de ses données de santé, lesquelles sont hautement sensibles (86 % des Français les qualifient ainsi, v. Les Français et le numérique en santé, Enquête Toluna Harri Interactive pour le ministère du Travail, de la santé et des solidarités, 5 févr. 2024) et font l’objet de nombreuses violations comme en témoignent diverses cyberattaques (par ex., contre des gestionnaires du tiers payant). Selon un bilan établi par la CNIL, entre mai 2018 et mai 2023, 11,8 % des notifications qu’elle a reçues sont relatives à la santé humaine et à l’action sociale, ce qui peut s’expliquer par la multiplication des outils et services numériques de santé : téléconsultation, objets connectés, Mon espace santé, Health Data Hub, etc. Les traitements de données de santé appellent donc à une vigilance particulière, problématique particulièrement d’actualité avec le Health Data Hub. Créé en France en 2019 pour stocker et mettre à disposition des données de santé à des fins de recherches, il est vivement critiqué – malgré l’approbation par la CNIL de la possibilité d’héberger une partie de ces données via la plateforme EMC2 (Délib. CNIL, n° 2023-146, 21 déc. 2023) – en raison de l’identité de son hébergeur : Microsoft. La nationalité étasunienne de ce dernier soumet la plateforme au droit américain avec la crainte que les services de renseignements n’accèdent aux données.

Précisions sur la différence entre pseudonymat et anonymat des données

Importance de la distinction

La décision constitue un apport important quant à la distinction à opérer entre une donnée pseudonymisée et une donnée anonymisée, qualification essentielle en l’espèce comme le rappelle la CNIL (§ 69). Tandis que le traitement de la seconde n’est pas soumis au droit français et européen de protection des données personnelles, puisqu’il ne s’agit pas d’une donnée personnelle – la personne physique n’étant ni identifiée ni identifiable –, le traitement de la première doit respecter la loi Informatique et libertés et le RGPD car la pseudonymisation est réversible (A. Bensoussan [dir.], La protection des données personnelles de A à Z, Bruylant, 2017, Pseudonymisation, n° 960) et qu’un recoupement ou une corrélation de données peut permettre une identification de la personne (A. Jomni, Le RGPD : un atout ou un frein pour la cybersécurité ?, Dalloz IP/IT 2019. 352 ). Comme le souligne la CNIL dans sa délibération, le RGPD définit seulement la pseudonymisation à l’article 4.5, soulignant la nécessité d’« avoir recours à des informations supplémentaires » pour identifier l’individu. La notion d’anonymat a, elle, été précisée par la jurisprudence de la Cour de justice de l’Union européenne et par un avis du Groupe de travail « article 29 » sur la protection des données (G29) devenu aujourd’hui le Comité européen de la protection des données (CEPD). En l’espèce, le premier...

Il vous reste 75% à lire.

Vous êtes abonné(e) ou disposez de codes d'accès :