Qu’est-ce qu’une donnée pseudonymisée ?
Les données sont dites pseudonymes lorsque l’attribution à une personne concernée nécessite le recours à des informations supplémentaires. Le RGPD précise que les « clés de ré-identification » doivent être « conservées séparément et soumises à des mesures techniques et organisationnelles » afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique (RGPD, art. 4.5). Cette définition couvre différentes techniques couramment utilisées en matière de recherche en santé :
- le recours à une table de correspondance entre le jeu de données pseudonymes (codées) nécessaire aux analyses et les données d’identité conservées séparément, classiquement utilisée dans les essais cliniques ;
- les fonctions de hachage utilisées avec un secret qui permettent de chaîner des données relatives à un individu et de suivre son parcours dans le temps sans permettre de l’identifier Elle est par exemple au cœur de la politique de sécurité des déclarations obligatoires des maladies, du SNDS.
Dans la mesure où les données pseudonymisées restent rattachées à la personne concernée par un identifiant (par exemple une clé ou un code de cryptage), ce sont des données à caractère personnel indirectement identifiantes. Elles restent soumises à l’application de cette réglementation, à la différence des données anonymisées pour lesquelles les clés de ré-identification ne sont plus disponibles.
Pseudonymisation et recherche scientifique
Le RGPD requiert la pseudonymisation des données pour la recherche scientifique. La pseudonymisation est présentée comme une garantie inhérente au traitement de données personnelles à des fins de recherche scientifique dès lors qu’elle est compatible avec la finalité du traitement (art. 89).
Le RGPD incite les chercheurs à recourir à cette mesure de minimisation parce qu’elle est un bon compromis entre les besoins de la recherche et la sauvegarde des intérêts des participants en limitant la gravité des impacts potentiels pour les participants à la recherche, notamment en cas d’atteinte à la confidentialité des données.
Elle aide les responsables du traitement et les sous-traitants à remplir leurs obligations : elle concourt à la minimisation des données dès la conception (art. 25), c’est un critère pris en compte dans l’analyse d’impact pour limiter les risques pour la personne (art. 32).
L’impossibilité de pseudonymiser les données quand elle empêche la poursuite des objectifs particuliers de la recherche doit donc rester exceptionnelle et elle doit être maniée avec précaution et documentée.