Un exemple d’utilisation de la pseudonymisation
Prenons un exemple pour illustrer l’usage de la pseudonymisation dans un hôpital, qui est un cas assez classique de recourt à cette technique. Des chercheurs souhaitent étudier l’efficacité d’un nouveau traitement pour le diabète. Pour cela, ils ont besoin d’accéder à de grandes quantités de données médicales pour analyser les résultats du traitement. Avant de partager les données des patients avec l’équipe de recherche, l’hôpital décide d’utiliser un processus de pseudonymisation afin de préserver la confidentialité de chaque patient. Les identifiants directs comme les noms, les adresses et les numéros de sécurité sociale des patients sont dobc remplacés par des codes uniques. Par exemple, le nom “Jean Dupont” sera être remplacé par “XY123Z9”.
Une fois le remplacement effectué, les équipes de recherche ne travaillerons plus sur des données permettant d’identifier directement des personnes, ce qui assure un peu plus leur confidentialité.
La définition de pseudonymisation dans le RGPD
De manière intéressante le RGPD a défini la pseudonymisation dans son article 4 :
- «pseudonymisation», le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable;
Avant l’entrée en vigueur du RGPD le G29 avait effectué un travail important relativement à l’anonymisation des données. A noter que l’ENISA a également effectué un travail technique approfondi sur la notion.
Quelle est la différence entre pseudonymisation et anonymisation ?
La différence est très importante car lors du traitement de données réellement anonymes, aucune obligation n’existe au titre du RGPD. En d’autres termes, les organisations sont totalement libres de traiter des données anonymes. Cependant, si cette liberté existe pour les données anonymes, ce n’est pas le cas des données pseudonymisées, qui restent des données personnelles tant que le responsable de traitement a la possiblité d’identifier une personne. A ce titre, donc toutes les obligations imposées par le RGPD continuent de s’appliquer aux données pseudonymisées.
Matériellement, l’anonymisation est une opération irréversible qui ne permettra plus l’identification d’une personne par le traitement de données. La CNIL a détaillé de nombreux exemples et techniques d’anonymisation de données personnelles en particulier en matière de santé :
Quelles sont les obligations liées à la pseudonymisation dans le RGPD ?
La notion de pseudonymisation apparaît à plusieurs endroits dans le RGPD, en particulier à l’article 25 et à l’article 32 :
Art. 25 - Protection des données dès la conception et protection des données par défaut
- Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.
Article 32 - Sécurité du traitement
- Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins: a) la pseudonymisation et le chiffrement des données à caractère personnel (…)