La pseudonymisation et le risque d’atteinte au secret médical

20 fév. 2023 - 10:41,

Tribune

- Alice ROBERT & Alexandre FIEVEE, Derriennic
Un centre hospitalier peut-il être contraint, en application du Code des relations entre le public et l’administration, de communiquer des documents contenant des données de santé pseudonymisées ? C’est à cette question que le Conseil d’Etat a dû répondre, dans un arrêt du 8 février 2023. 

Rappel des faits 

Le centre hospitalier de l'arrondissement de Montreuil-sur-Mer a été saisi d'une demande de l'association « commission des citoyens pour les droits de l'homme » (CCDH) visant à la communication (i) d'une copie du registre de contention et d'isolement de l'année 2017 et (ii) du rapport annuel de la même année rendant compte des pratiques de contention et d'isolement observées dans cet établissement. 

N’ayant pas fait droit à cette demande, le centre hospitalier a été assigné devant le Tribunal Administratif de Lille qui lui a enjoint de communiquer ces documents en précisant qu’il devait occulter les éléments permettant d'identifier les patients et les personnels de santé, mais sans qu’il soit nécessaire d’occulter l'identifiant « anonymisé » des patients. Le centre hospitalier s’est pourvu en cassation contre le jugement de la juridiction administrative. 

La décision 

Le Conseil d’Etat a considéré que le Tribunal Administratif a, sans erreur de droit, jugé que les dispositions des articles L. 311-1 et suivants du Code des relations entre le public et l'administration étaient applicables au litige, justifiant ainsi l’injonction qui avait été faite au centre hospitalier de communiquer les documents litigieux. 

En revanche, la haute juridiction administrative a rappelé, qu’en application des articles L. 311-6 et L. 311-7 du même code, les éléments permettant l’identification des patients doivent être occultés préalablement à la communication du registre de contention et d'isolement, afin de ne pas porter atteinte au secret médical et à la protection de la vie privée. Dans ce cadre, il appartient, selon le Conseil d’Etat, à la juridiction administrative d'apprécier si, « eu égard à la sensibilité des informations en cause et aux efforts nécessaires pour identifier les personnes concernées », leur communication après pseudonymisation est susceptible ou non de porter atteinte à la protection de la vie privée et au secret médical. 

En l’espèce, le Conseil d’Etat a estimé que la pseudonymsation des données n’était pas suffisante : « Compte tenu de la nature des informations en cause, qui touchent à la santé mentale des patients, et du nombre restreint de personnes pouvant faire l'objet d'une mesure de contention et d'isolement, facilitant ainsi leur identification (…), l'identifiant dit " anonymisé " figurant dans ces registres, qu'il s'agisse, selon la pratique du centre hospitalier, de " l'identifiant permanent du patient " (IPP) ou d'un identifiant spécialement défini, doit être regardé comme une information dont la communication est susceptible de porter atteinte à la protection de la vie privée et au secret médical. Cet identifiant n'est donc communicable qu'au seul intéressé en vertu des dispositions de l'article L. 311-6 du code des relations entre le public et l'administration. » Partant, la haute juridiction administrative a considéré que le centre hospitalier était fondé à contester la décision du Tribunal Administratif. 

Ce qu’il faut retenir 

La pseudonymisation est un traitement de données personnelles destiné à ce qu'on ne puisse plus attribuer les données à une personne physique déterminée sans information supplémentaire. Cela peut consister à remplacer les données directement identifiantes (le nom et le prénom) par des données indirectement identifiantes (un numéro, un identifiant). Sa particularité réside dans le fait qu’elle est réversible : il est possible de retrouver l’identité d’une personne si l’on dispose d’informations supplémentaires. 

Tel était le cas en l’espèce : l’« identifiant anonymisé » utilisé en lieu et place du nom et prénom des patients concernés, qui figurait dans les documents devant être communiqués, était le résultat d’un processus de pseudonymisation. Il aurait été donc possible pour le destinataire de ces documents de retrouver, au moyen d’informations complémentaires et du fait du nombre restreint de personnes pouvant faire l’objet de mesures de contention et d’isolement, l’identité des patients en cause. C’est la raison pour laquelle le Conseil d’Etat a annulé le jugement attaqué, considérant que l’« identifiant anonymisé » devait être regardé comme « une information dont la communication est susceptible de porter atteinte à la protection de la vie privée et au secret médical ». 

La solution aurait été, bien entendu, différente si l’« identifiant anonymisé » avait été était le résultat d’un processus d’anonymisation, à proprement parler, puisque l’anonymisation est un traitement de données personnelles qui consiste à utiliser un ensemble de techniques visant à rendre impossible, en pratique, toute réidentification de la personne, par quelque moyen que ce soit.

Pour rendre cette réidentification impossible, le processus d’anonymisation conduit, d’une part, à supprimer les éléments d’identification directe ainsi que les valeurs rares qui pourraient permettre une réidentification aisée des personnes (l’âge des individus, le sexe, etc.) et les informations secondaires ou inutiles et, d’autre part, à modifier certaines données selon des procédés qui varient en fonction de la technique utilisée. 

Les techniques d’anonymisation peuvent être regroupées en deux familles : la « randomisation », qui consiste à modifier les attributs dans un jeu de données de telle manière qu'elles soient moins précises, tout en conservant la répartition globale ; la « généralisation », qui consiste à modifier l’échelle des attributs des jeux de données, ou leur ordre de grandeur, afin de s’assurer qu’ils soient communs à un ensemble de personnes. 

En réalité, aucune de ces techniques ne peut satisfaire de façon certaine aux critères d’une anonymisation efficace. C’est pourquoi il est vivement recommandé de concevoir avec soin l’application d’une technique individuelle à la situation concernée et d’opter pour une combinaison de ces techniques en vue de renforcer la fiabilité du résultat. En tout état de cause, le responsable du traitement qui souhaite anonymiser un jeu de données au moyen des techniques susvisées doit démontrer, via une évaluation approfondie, que le risque de réidentification avec des moyens raisonnables est nul. Vaste programme… 


Les auteurs 
Alexandre FIEVEE & Alice ROBERT
Avocats
Equipe du pôle e-santé
Derriennic Associés

Alice ROBERT a rejoint Derriennic Associés en 2012 et est inscrite au Barreau de Paris depuis 2013.
Elle a une grande connaissance et une forte expertise en droit des nouvelles technologies et, plus particulièrement, en DataE-santé ainsi qu’en dématérialisationinformatique et RGPD.
Elle travaille aussi bien en conseil qu’en contentieux.
Alice est titulaire d’un Master 2 « Droit, Innovation, Communication, Culture », spécialité « Droit de l’Innovation Technique », de l’Université de Paris-XI.
Elle écrit de nombreux articles, en particulier pour des revues spécialisées.


 

Alexandre FIEVEE est inscrit au Barreau de Paris depuis 2004.Il accompagne de nombreux acteurs notamment dans le secteur de l’informatique, de la santé, de l’assurance, de la banque et de l’intelligence artificielle.
Il a une grande connaissance et une forte expertise en droit des nouvelles technologies : dataRGPDe-santédématérialisation et informatique. Il travaille aussi bien en conseil qu’en contentieux.
Avant de rejoindre le cabinet Derriennic Associés, Alexandre a travaillé notamment comme responsable juridique au sein de la direction juridique d’AXA France.
Il écrit de nombreux articles dans les revues spécialisées et a notamment une rubrique mensuelle dans la revue Expertises.

Avez-vous apprécié ce contenu ?

A lire également.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.

Contact

Nos marques

Logo DSIHLogo Thema Radiologie