Pseudonymisation des données de santé personnelles : de nouvelles clarifications

Dans le secteur de la santé, le recours à des données pseudonymisées peut être nécessaire dans le cadre de certains traitements de données de santé à caractère personnel. Plusieurs « référentiels CNIL » imposent d’ailleurs, dans des cas spécifiques, le recours à la pseudonymisation. A titre d’exemple, le référentiel sur l’EDS impose la pseudonymisation des données de santé à caractère personnel comme une exigence de sécurité à plusieurs niveaux.

Mais qu’entend-on par pseudonymisation ? Quel est l’intérêt de recourir à une telle technique et comment la mettre en œuvre ?

Le Comité Européen à la Protection des Données (CEPD ou EDPB) a récemment adopté, des lignes directrices apportant quelques clarifications à ces questions.

La pseudonymisation, de quoi parle-t-on ?

Le CEPD rappelle que la pseudonymisation est un « traitement de données à caractère personnel de telle sorte que ces données ne puissent plus être attribuées à une personne concernée précise sans l'utilisation d'informations supplémentaires, à condition que ces informations supplémentaires soient conservées séparément et fassent l'objet de mesures techniques et organisationnelles visant à garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable »².

Concrètement, la pseudonymisation consiste à remplacer des données à caractère personnel directement identifiantes (exemples : nom, prénom, adresse, numéro de téléphone) par des données indirectement identifiantes (exemples : alias, codes) – les « données pseudonymisées » -, étant précisé que, pour pouvoir réidentifier la personne concernée par les données pseudonymisées, il faut disposer d’informations supplémentaires, telles que, comme l’indique le CEPD, un tableau de correspondance ou encore des clés cryptographiques. Le CEPD souligne le fait que ces informations supplémentaires – qui permettent donc d’identifier directement la personne concernée – ne doivent pas être divulguées ou utilisées par les personnes qui traitent les données pseudonymisées.

Les données pseudonymisées sont des données à caractère personnel, comme le rappelle le CEPD. Toutefois, le CEPD indique que « si les données pseudonymisées et les informations complémentaires peuvent être combinées compte tenu des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par une autre personne, les données pseudonymisées sont alors à caractère personnel ».

Pourquoi une telle précision ? Y aurait-il des données pseudonymisées qui ne seraient pas à caractère personnel ? Est-ce que cette précision vient faire écho à la position prise par le Tribunal de l’Union Européenne (TUE) dans une affaire de 2023 et, plus récemment, par l’Avocat général près la Cour de Justice de l’Union européenne (CJUE) ? Le TUE a jugé que, pour déterminer si les informations transmises au tiers sont « des informations se rapportant à "une personne physique identifiable" », il convient de rechercher si ce tiers dispose « de moyens légaux et réalisables en pratique lui permettant d’accéder aux informations supplémentaires nécessaires à la réidentification des auteurs des commentaires »³. À défaut, les informations transmises ne sont pas des données à caractère personnel. L’Avocat général a adopté une approche similaire, considérant que le tiers ne doit être considéré comme traitant des données personnelles que sous réserve qu’il dispose « de moyens raisonnables d’identifier [les personnes concernées]⁴ ».

Pourquoi recourir à la pseudonymisation dans le secteur de la santé et comment ?

Le CEPD prend l’exemple d’un hôpital universitaire qui chercherait à améliorer ses services et ses processus de facturation. Pour ce faire, l’hôpital aurait besoin d’analyser des données de « traitement » (durée du séjour, procédures de diagnostic et interventions thérapeutiques appliquées, ressources consacrées aux soins du patient, données d’identification du patient, etc.). L’hôpital se trouverait alors confronté à la problématique suivante : permettre à son personnel administratif non médical travaillant dans « un environnement de sécurité moyen » une analyse de données médicales particulièrement sensibles, tout en étant en capacité de pouvoir remonter des informations aux gestionnaires de soins au cas où des irrégularités seraient constatées dans les données.

Selon le CEPD, l’hôpital pourrait recourir à la pseudonymisation afin que son personnel administratif non médical n’ait pas accès aux données de « traitement » identifiant les patients.

Le CEPD propose alors un processus de mise en œuvre d’une telle pseudonymisation.

Il s’agirait, dans un premier temps, de sélectionner les données pertinentes pour l’analyse à réaliser (ex. : durée du séjour, diagnostics, etc.), à l’exclusion (i) des « documents très individuels » (ex. : lettre de sortie), (ii) des documents présentant un risque particulier de confidentialité (ex. : notoriété d’un dossier, intérêt pour le public du patient, etc.) et (iii) des données permettant au personnel extérieur aux départements médicaux d’identifier directement les patients. Dans un deuxième temps, ces données pertinentes sélectionnées, ainsi que l’identifiant du patient et l’ID du dossier cryptés, seraient transmis à une base de données dédiée « opérant en dehors de la zone du réseau médical ». Quant aux informations supplémentaires nécessaires à l’identification des patients (clé de chiffrement, dossiers médicaux originaux), elles seraient stockées dans une autre base. L’analyse serait alors faite, dans un dernier temps, exclusivement sur les données figurant dans la base pseudonymisée dédiée, étant précisé que seul le personnel non médical n’ayant pas accès au SI de l’hôpital aurait un accès à cette base.

La pseudonymisation apparaît ici notamment comme une mesure de sécurité dans la mesure où la personne accédant à la base de données dédiée, sans autorisation et sans connaissance préalable de l’état de santé des patients sélectionnés, ne serait pas en mesure de tirer des conclusions sur l’état de santé d’un individu.

Si la pseudonymisaiton des données de santé reste un sujet épineux, ces nouvelles lignes directrices du CEPD constituent un nouveau document de référence à prendre en compte.

1. https://www.edpb.europa.eu/system/files/2025-01/edpb_guidelines_202501_pseudonymisation_en.pdf

2. Article 4(5) du RGPD.

3. TUE, 26 avril 2023 (aff. T-557/20).

4. Conclusions de l’Avocat général, M. Spielmann ? – 6 février 2025 (aff. C‑413/23 P).