Plateforme des données de santé : le Conseil d’État confie à la CNIL la mission d’expertiser la robustesse des mesures de pseudonymisation
Par une ordonnance rendue le 19 juin 2020, le Conseil d’État enjoint à la Plateforme des données de santé de transmettre à la CNIL tous éléments relatifs aux procédés de pseudonymisation utilisés, afin qu'elle puisse vérifier si ces techniques assurent une protection suffisante des données en question.
La loi du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé a créé la Plateforme des données de santé, ou Health Data Hub. Cette nouvelle structure est chargée de stocker et de mettre à disposition des chercheurs les données nécessaires à la réalisation de leurs projets. Cet outil doit permettre de favoriser la recherche, notamment par le recours à des techniques d’intelligence artificielle. Cependant, les données traitées dans ce contexte ne doivent pas mentionner les noms des personnes ou d’autres données directement identifiantes : elles doivent être « pseudonymisées ».
Dans le cadre de la crise sanitaire liée à la COVID-19, le ministre chargé de la santé a décidé, par un arrêté du 21 avril 2020 pris après avis de la CNIL, d’autoriser en urgence la Plateforme des données de santé à recevoir des premières séries de données. Ces données et les outils de calcul développés par la Plateforme des données de santé doivent permettre de réaliser des projets poursuivant une finalité d’intérêt public en lien avec l’épidémie et pour la durée de l’état d’urgence sanitaire.
Cet arrêté a été contesté auprès du Conseil d’État, par la procédure dite du référé liberté. Par une ordonnance rendue le 19 juin 2020, le Conseil d’État a pour l’essentiel rejeté le recours.
Cependant, il a enjoint à la Plateforme des données de santé de transmettre à la CNIL tous éléments relatifs aux procédés de pseudonymisation utilisés, afin que la CNIL puisse vérifier si ces techniques assurent une protection suffisante des données en question, en empêchant, dans la mesure du possible, toute réidentification des personnes physiques concernées.
Dans l’avis qu’elle avait rendu en urgence sur l’arrêté du 21 avril 2020, la CNIL avait en effet insisté sur l’importance des mesures de pseudonymisation et formulé un certain nombre de recommandations.
Dès que la CNIL aura reçu les documents nécessaires à la réalisation d’une analyse complète, elle pourra poursuivre l’expertise qu’elle avait initiée dans le cadre de cet avis.. Ainsi que le précise l’ordonnance du Conseil d’État, cette nouvelle saisine doit lui permettre d’analyser les méthodes de pseudonymisation utilisées dans des délais moins contraints.
Le Conseil d’État a par ailleurs demandé à la Plateforme des données de santé de compléter l’information figurant sur son site web et écarté les autres critiques des requérants. Il a relevé que la CNIL avait, en particulier, dans son avis d’avril dernier et dans une réponse à une demande de conseil du 10 juin 2020, validé le niveau des mesures de sécurité mises en place par la Plateforme des données de santé.
