[Brèves] Plateforme des données de santé : le Conseil d’État confie à la CNIL la mission d’expertiser la robustesse des mesures de « pseudonymisation »

► Le Conseil d’État enjoint, par une ordonnance du 19 juin 2020, la Plateforme des données de santé de transmettre à la CNIL tous éléments relatifs aux procédés de pseudonymisation utilisés, afin qu'elle puisse vérifier si ces techniques assurent une protection suffisante des données en question (CE référé, 19 juin 2020, n° 440916 N° Lexbase : A13893P7).

Contexte. La loi  n° 2019-774 du 24 juillet 2019, relative à l’organisation et à la transformation du système de santé (N° Lexbase : L3022LRD), a créé la Plateforme des données de santé, ou Health Data Hub. Cette nouvelle structure est chargée de stocker et de mettre à disposition des chercheurs les données nécessaires à la réalisation de leurs projets. Cet outil doit permettre de favoriser la recherche, notamment par le recours à des techniques d’intelligence artificielle. Cependant, les données traitées dans ce contexte ne doivent pas mentionner les noms des personnes ou d’autres données directement identifiantes : elles doivent être « pseudonymisées ».

Dans le cadre de la crise sanitaire liée à la covid-19, le ministre chargé de la Santé a décidé, par un arrêté du 21 avril 2020 (arrêté du 21 avril 2020, complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de covid-19 dans le cadre de l’état d’urgence sanitaire (N° Lexbase : L7202LWN), pris après avis de la CNIL (CNIL, délibération n° 2020-044 du 20 avril 2020 N° Lexbase : X0156CKY), d’autoriser en urgence la Plateforme des données de santé à recevoir des premières séries de données. Ces données et les outils de calcul développés par la Plateforme des données de santé doivent permettre de réaliser des projets poursuivant une finalité d’intérêt public en lien avec l’épidémie et pour la durée de l’état d’urgence sanitaire.

Cet arrêté a été contesté auprès du Conseil d’État, par la procédure dite du référé liberté.

La décision. Par une ordonnance rendue le 19 juin 2020, le Conseil d’État a pour l’essentiel rejeté le recours. Cependant, il a enjoint à la Plateforme des données de santé de transmettre à la CNIL tous éléments relatifs aux procédés de pseudonymisation utilisés, afin que la Commission puisse vérifier si ces techniques assurent une protection suffisante des données en question, en empêchant, dans la mesure du possible, toute réidentification des personnes physiques concernées.

Dans l’avis qu’elle avait rendu en urgence sur l’arrêté du 21 avril 2020, la CNIL avait en effet insisté sur l’importance des mesures de pseudonymisation et formulé un certain nombre de recommandations.

Dans un communiqué du 19 juin, la CNIL précise que dès qu’elle aura reçu les documents nécessaires à la réalisation d’une analyse complète, elle pourra poursuivre l’expertise qu’elle avait initiée dans le cadre de cet avis (CNIL, communiqué du 19 juin 2020).. Ainsi que le précise l’ordonnance du Conseil d’État, cette nouvelle saisine doit lui permettre d’analyser les méthodes de pseudonymisation utilisées dans des délais moins contraints.

Le Conseil d’État a par ailleurs demandé à la Plateforme des données de santé de compléter l’information figurant sur son site web et écarté les autres critiques des requérants. Il a relevé que la CNIL avait, en particulier, dans son avis d’avril dernier et dans une réponse à une demande de conseil du 10 juin 2020, validé le niveau des mesures de sécurité mises en place par la Plateforme des données de santé.

© Reproduction interdite, sauf autorisation écrite préalable