Un centre hospitalier peut-il être contraint, en application du Code des relations entre le public et l’administration, de communiquer des documents contenant des données de santé pseudonymisées ? C’est à cette question que le Conseil d’Etat a dû répondre, dans un arrêt du 8 février 2023.
Rappel des faits
Le centre hospitalier de l’arrondissement de Montreuil-sur-Mer a été saisi d’une demande de l’association « commission des citoyens pour les droits de l’homme » (CCDH) visant à la communication (i) d’une copie du registre de contention et d’isolement de l’année 2017 et (ii) du rapport annuel de la même année rendant compte des pratiques de contention et d’isolement observées dans cet établissement.
N’ayant pas fait droit à cette demande, le centre hospitalier a été assigné devant le Tribunal Administratif de Lille qui lui a enjoint de communiquer ces documents en précisant qu’il devait occulter les éléments permettant d’identifier les patients et les personnels de santé, mais sans qu’il soit nécessaire d’occulter l’identifiant « anonymisé » des patients. Le centre hospitalier s’est pourvu en cassation contre le jugement de la juridiction administrative.
La décision
Le Conseil d’Etat a considéré que le Tribunal Administratif a, sans erreur de droit, jugé que les dispositions des articles L. 311-1 et suivants du Code des relations entre le public et l’administration étaient applicables au litige, justifiant ainsi l’injonction qui avait été faite au centre hospitalier de communiquer les documents litigieux.
En revanche, la haute juridiction administrative a rappelé, qu’en application des articles L. 311-6 et L. 311-7 du même code, les éléments permettant l’identification des patients doivent être occultés préalablement à la communication du registre de contention et d’isolement, afin de ne pas porter atteinte au secret médical et à la protection de la vie privée. Dans ce cadre, il appartient, selon le Conseil d’Etat, à la juridiction administrative d’apprécier si, « eu égard à la sensibilité des informations en cause et aux efforts nécessaires pour identifier les personnes concernées », leur communication après pseudonymisation est susceptible ou non de porter atteinte à la protection de la vie privée et au secret médical.
En l’espèce, le Conseil d’Etat a estimé que la pseudonymsation des données n’était pas suffisante : « Compte tenu de la nature des informations en cause, qui touchent à la santé mentale des patients, et du nombre restreint de personnes pouvant faire l’objet d’une mesure de contention et d’isolement, facilitant ainsi leur identification (…), l’identifiant dit » anonymisé » figurant dans ces registres, qu’il s’agisse, selon la pratique du centre hospitalier, de » l’identifiant permanent du patient » (IPP) ou d’un identifiant spécialement défini, doit être regardé comme une information dont la communication est susceptible de porter atteinte à la protection de la vie privée et au secret médical. Cet identifiant n’est donc communicable qu’au seul intéressé en vertu des dispositions de l’article L. 311-6 du code des relations entre le public et l’administration. » Partant, la haute juridiction administrative a considéré que le centre hospitalier était fondé à contester la décision du Tribunal Administratif.
Ce qu’il faut retenir
La pseudonymisation est un traitement de données personnelles destiné à ce qu’on ne puisse plus attribuer les données à une personne physique déterminée sans information supplémentaire. Cela peut consister à remplacer les données directement identifiantes (le nom et le prénom) par des données indirectement identifiantes (un numéro, un identifiant). Sa particularité réside dans le fait qu’elle est réversible : il est possible de retrouver l’identité d’une personne si l’on dispose d’informations supplémentaires.
Tel était le cas en l’espèce : l’« identifiant anonymisé » utilisé en lieu et place du nom et prénom des patients concernés, qui figurait dans les documents devant être communiqués, était le résultat d’un processus de pseudonymisation. Il aurait été donc possible pour le destinataire de ces documents de retrouver, au moyen d’informations complémentaires et du fait du nombre restreint de personnes pouvant faire l’objet de mesures de contention et d’isolement, l’identité des patients en cause. C’est la raison pour laquelle le Conseil d’Etat a annulé le jugement attaqué, considérant que l’« identifiant anonymisé » devait être regardé comme « une information dont la communication est susceptible de porter atteinte à la protection de la vie privée et au secret médical ».
La solution aurait été, bien entendu, différente si l’« identifiant anonymisé » avait été était le résultat d’un processus d’anonymisation, à proprement parler, puisque l’anonymisation est un traitement de données personnelles qui consiste à utiliser un ensemble de techniques visant à rendre impossible, en pratique, toute réidentification de la personne, par quelque moyen que ce soit.
Pour rendre cette réidentification impossible, le processus d’anonymisation conduit, d’une part, à supprimer les éléments d’identification directe ainsi que les valeurs rares qui pourraient permettre une réidentification aisée des personnes (l’âge des individus, le sexe, etc.) et les informations secondaires ou inutiles et, d’autre part, à modifier certaines données selon des procédés qui varient en fonction de la technique utilisée.
Les techniques d’anonymisation peuvent être regroupées en deux familles : la « randomisation », qui consiste à modifier les attributs dans un jeu de données de telle manière qu’elles soient moins précises, tout en conservant la répartition globale ; la « généralisation », qui consiste à modifier l’échelle des attributs des jeux de données, ou leur ordre de grandeur, afin de s’assurer qu’ils soient communs à un ensemble de personnes.
En réalité, aucune de ces techniques ne peut satisfaire de façon certaine aux critères d’une anonymisation efficace. C’est pourquoi il est vivement recommandé de concevoir avec soin l’application d’une technique individuelle à la situation concernée et d’opter pour une combinaison de ces techniques en vue de renforcer la fiabilité du résultat. En tout état de cause, le responsable du traitement qui souhaite anonymiser un jeu de données au moyen des techniques susvisées doit démontrer, via une évaluation approfondie, que le risque de réidentification avec des moyens raisonnables est nul. Vaste programme…
Lire l’article original : ici
