L’autorité de contrôle italienne est venue préciser la notion d’anonymisation et a considéré que des données ne sont correctement anonymisées (i) qu’après avoir été agrégées et (ii) une fois le tableau de concordance entre le nom des patients et le code d’identification détruit (GPDP Italie, 18 juillet 2023). Nos avocats en droit de la e-santé vous aident à décrypter les textes de loi pour une meilleure compréhension.
L’hôpital universitaire de Careggi a sollicité de l’autorité de contrôle italienne l’autorisation de réaliser une étude clinique visant à « évaluer l’efficacité du médicament mobocertinib », médicament prescrit aux patients atteints de cancers du poumon. L’étude clinique visait une cinquantaine de patients.
Pour démontrer le respect de cette étude clinique au RGPD, l’hôpital a, entre autres, indiqué que : « les noms des patients seront rendus anonymes par l’attribution à chaque patient d’un code d’identification alphanumérique », et que le tableau de concordance entre le nom des patients et le code d’identification alphanumérique serait uniquement conservé par le coordinateur de l’étude, tandis que les chercheurs accédant à l’étude ne disposeront que du code d’identification.
Au cours de son enquête, l’autorité de contrôle a considéré que l’hôpital avait qualifié, à tort, les mesures précédemment décrites de « mesures d’anonymisation ».
1/ Le rappel de l’autorité sur les critères de l’anonymisation
L’autorité a rappelé que « les règles de protection des données ne s’appliquent pas aux données anonymes », et que sont considérées comme anonymes « les informations qui ne se rapportent pas à une personne physique identifiée ou identifiable ou les données à caractère personnel qui ont été rendues suffisamment anonymes pour que la personne concernée ne soit plus identifiable ou ne puisse plus être identifiée ».
L’autorité a ajouté que le risque de réidentification de la personne concernée doit être soigneusement évalué en tenant compte de « tous les moyens […] dont dispose raisonnablement le responsable du traitement ou un tiers aux fins d’identifier cette personne physique, directement ou indirectement ».
Afin de vérifier « la probabilité raisonnable de l’utilisation des moyens pour identifier la personne physique », il convient de prendre en considération « tous les facteurs objectifs, y compris les coûts et le temps nécessaires à l’identification, en tenant compte à la fois des technologies disponibles au moment du traitement et de l’évolution technologique ».
2/ L’application des critères en l’espèce
Compte tenu de ce rappel, l’autorité de contrôle a considéré que, dans le cas d’espèce, « on ne peut considérer que l’anonymisation est obtenue par la simple suppression des données à caractère personnel de la personne concernée ou leur remplacement par un code. En effet, les données anonymisées ne le sont que si elles ne permettent en aucune manière d’identifier directement ou indirectement une personne, compte tenu de tous les moyens (ressources économiques, informationnelles, technologiques, compétences, temps) mis à disposition du responsable du traitement ou des tiers pour identifier une personne concernée ».
Toujours selon l’autorité, « un processus d’anonymisation ne peut être qualifié comme tel s’il n’empêche pas une personne, qui utiliserait des moyens « raisonnablement disponibles », (i) d’isoler une personne dans un groupe (individualisation), (ii) d’établir un lien entre une donnée anonymisée et des données relatives à une personne figurant dans un ensemble de données (corrélation) et (iii) de déduire de nouvelles informations relatives à une personne à partir de données anonymes (inférence) ».
3/ L’anonymisation par la destruction du tableau de concordance et l’agrégation des données
L’hôpital a également indiqué à l’autorité de contrôle italienne qu’à la fin de l’étude (à l’issue d’une durée de conservation de 7 ans), il détruirait le tableau de concordance permettant d’établir la corrélation entre les données et les patients et agrégerait les données.
L’autorité de contrôle a considéré que ces mesures (agrégation et destruction du tableau de concordance) pouvaient être considérées comme des mesures d’anonymisation acceptables mais que, compte tenu du nombre très limité de patients, le risque de réidentification de chacun d’eux était accru (ce que l’autorité appelle risque de « reconstruction »).
En conséquence, l’autorité de contrôle italienne a rendu un « avis favorable » à la réalisation de cette étude, à condition, notamment, que l’hôpital réduise le risque de reconstruction en :
- veillant à ce que l’agrégation des données (leur regroupement pour former des ensembles de données plus larges) soit effectif, c’est-à-dire qu’il y ait sensiblement moins de « variables » après l’agrégation, qu’avant ;
- effectuant des contrôles périodiques des mesures d’anonymisation prenant en compte l’évolution technologique et s’engageant à « supprimer toute singularité ».
Source : ici
