Lorsque les données pseudonymisées ne relèvent pas du RGPD

Un arrêt récent du Tribunal de l’Union européenne a défini les conditions dans lesquelles les données pseudonymisées ne peuvent être considérées comme des données personnelles. La mesure a des implications intéressantes pour les soins de santé.

La jugement a été émis à la suite du recours introduit par le Conseil de résolution unique – CRU (l’autorité centrale de résolution de crise au sein de l’union bancaire européenne) contre le Contrôleur européen de la protection des données – CEPD) qui avait accusé le premier d’avoir violé le RGPD pour avoir transféré des questionnaires pseudonymisés à une société de conseil sans avoir obtenu le consentement des personnes qui les avaient réalisées.

Le Contrôleur européen avait pris sa décision car les questionnaires qui avaient été envoyés contenaient un code alphanumérique avec lequel les utilisateurs s’étaient inscrits sur le portail du SRB et à partir duquel il était possible de retracer l’identité de ceux qui les avaient remplis.

Le Tribunal a jugé que, conformément à la décision de 2016 de la Cour de justice de l’Union européenne concernant la “Adresses IP dynamiques en tant que données personnelles», pour déterminer si les informations pseudonymisées transmises à un destinataire constituent ou non des données personnelles, il est nécessaire «tenir compte du point de vue du destinataire de la communication de données”.

Dans ce cas, si le destinataire des données ne dispose pas d’informations complémentaires lui permettant de ré-identifier les personnes concernées et ne dispose pas des moyens légaux pour accéder à ces informations, les données transmises peuvent être considérées comme anonymisées et, à ce titre, extérieures au champ d’application du RGPD.

Pour le Tribunal de l’Union européenne, le fait que le transmetteur de données ait les moyens de ré-identifier les personnes concernées est sans pertinence, dès lors que cela ne signifie pas que les données à caractère personnel transmises”de l’expéditeur» sont également automatiquement considérées comme des données personnelles pour le «destinataire“.

L’arrêt est également d’une grande importance pour les soins de santé où des données pseudonymisées sont souvent gérées. Le raisonnement du Tribunal de l’Union européenne appliqué dans cet arrêt ouvre la porte à la possibilité de traiter des données pseudonymisées sans le consentement du patient sous réserve que les conditions exprimées ci-dessus existent. Il s’agit d’une simplification importante qui permet l’utilisation des données à des fins non prévues par le consentement délivré par les patients ainsi que leur traitement par des logiciels pouvant fonctionner avec des données pseudonymisées.

Reste à savoir si, suite à cet arrêt, notre Autorité nationale de protection des données personnelles émettra une note ou des lignes directrices pour en fixer le principe et les domaines d’application.