Ces dernières temps, les groupes pharmaceutiques américains n’ont cessé de faire l’actualité.
Ils ne sont cependant pas actifs que dans le cadre du développement d’une vaccination contre la Covid-19. Ils effectuent de la recherche dans de multiples domaines. Et dans ce cadre, ils connaissent bien la Belgique. En effet, ils y réalisent fréquemment des études cliniques.
On parle alors de promoteurs ou sponsors. Ceux-ci s’occupent généralement de réunir les financements nécessaires aux études. Les études sont réalisées en Belgique par des investigateurs, au sein d’institutions hospitalières, et donc, sur des sujets d’études belges.
Quel problème posent les transferts de données ?
L’analyse des résultats d’étude impliquera donc souvent le transfert de données à caractère personnel les concernant vers les promoteurs aux États-Unis.
Or, le récent arrêt Schrems II de la Cour de Justice de l’UE a invalidé le Privacy Shield. Celui-ci était jusque-là invoqué pour légitimer ces transferts de données. Nous l’avons évoqué en détails dans nos précédentes news.
Plus globalement, les exigences posées par la CJUE impactent non seulement les transferts vers les États-Unis, mais aussi vers tout autre pays hors de l’UE.
Par conséquent, la pérennité des études cliniques impliquant des transferts de données hors de l’UE est mise à mal.
La loi belge du 30 juillet 2018 recommandait déjà vivement, dans le cadre de la recherche scientifique, l’anonymisation ou la pseudonymisation des données par le responsable du traitement.
Ce nouveau « coup d’arrêt » en matière de transfert de données hors UE pourrait bien « presser » le responsable du traitement dans le recours à ces techniques.
La pseudonymisation comme « mesure supplémentaire » ?
A défaut de décision d’adéquation relative aux États-Unis, il faut donc se baser sur les autres mécanismes de transferts de données prévus par le RGPD.
Les clauses contractuelles standards, BCR, etc. restent valides. Mais attention, la Cour a posé de nouvelles conditions.
Une évaluation de la loi du pays vers lequel les données sont « exportées » doit être effectuée.
Si celle-ci ne garantit pas un niveau de protection équivalent au RGPD, des mesures supplémentaires doivent être adoptées. A titre d’exemple, le Comité Européen de la protection des données envisage la pseudonymisation des données, pour autant qu’elle respecte certaines conditions…
Mais cette technique pourrait ne pas être adaptée dans le domaine de la recherche clinique. En effet, la pseudonymisation sans possibilité de recroiser les données est souvent difficile à atteindre. Par ailleurs, il n’est pas toujours possible d’adapter la taille et la composition de l’échantillon. Enfin, l’objet-même de la recherche, s’il concerne un domaine très précis, peut entraver une pseudonymisation efficace.
L’anonymisation, une meilleure solution ?
L’anonymisation est un procédé de « désidentification » totale des données. Il a pour effet de rendre « non personnelles » des données initialement personnelles. Par conséquent, le traitement sort du champ d’application du RGPD.
De prime abord, cette solution paraît idéale. Elle n’est toutefois pas facile à mettre en place.
La technique d’anonymisation choisie doit tout d’abord être compatible avec l’utilisation des données. Par exemple, une randomisation n’est pas envisageable si l’enjeu de la recherche est d’analyser la corrélation de différents paramètres chez un même sujet. Il est donc souvent exclu de briser la traçabilité entre les paramètres.
Par ailleurs, une fois la technique trouvée, il faut s’assurer que l’anonymisation soit vraiment irréversible. Selon certains, l’anonymisation « parfaite » relève ainsi de l’illusion …
Que prévoit le RGPD concernant l’anonymisation ?
Toute donnée à caractère personnel serait donc destinée à le rester ?
Le RGPD prévoit pourtant explicitement la possibilité d’anonymisation. En 2018, le prédécesseur de l’EDPB a même émis un avis sur les différentes techniques d’anonymisation.
La jurisprudence définit aussi quels sont les moyens raisonnables qui peuvent être pris en compte pour relier une donnée à une personne.
Les responsables du traitement et sous-traitants peuvent donc légitimement utiliser cette possibilité. Mais pas sans une réflexion approfondie.
Concrètement ?
L’application de ces concepts à la pratique est loin d’être évidente.
Quel niveau d’anonymisation le RGPD requiert-il exactement ? Concrètement, quelles techniques mettre en place ? Comment démontrer que le risque de réidentification a bien été évalué ?
Plus encore que tout autre aspect du RGPD, ces questions nécessitent une analyse à la fois technique et juridique.
Quelles perspectives ?
L’intelligence artificielle promet-elle des solutions plus efficaces ?
Ou bien au contraire les développements technologiques compromettent-ils toute anonymisation définitive ?
Une seule chose est sûre, le mécanisme d’anonymisation choisi devra être réévalué périodiquement.
Notre conseil :
Si vous désirez obtenir des réponses concrètes à ces questions, visionnez ici l’enregistrement de notre formation consacrée à ce sujet.