Le 3 décembre 2019, l’Agence Européenne de Cybersécurité – l’ENISA – a mis en ligne un guide des bonnes pratiques en matière de pseudonymisation[1], venant ainsi approfondir le travail réalisé un an auparavant. Définie par le RGPD comme « le traitement de données (…) de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires », la pseudonymisation n’est reconnue qu’à une condition : le cloisonnement strict desdites informations supplémentaires, afin de garantir que les données ne puissent pas être réattribuées à une personne.
Le guide revient sur les aspects techniques de la pseudonymisation en partant de cas pratiques détaillés, avant d’étudier les méthodes d’ingénierie à rebours et d’attaque. Le document est émaillé de recommandations, tant à l’adresse des responsables de traitements, sous-traitants et éditeurs de solutions, qu’à l’égard des autorités européennes et de la communauté scientifique.
Si aucun scénario n’est dédié aux données relatives à la santé, ni à aucune autre catégorie, d’ailleurs, force est en revanche de constater que plusieurs des six cas d’usage envisagés par l’Agence sont bien connus, dans la santé.
Chercheurs et laboratoires, en tant que promoteurs, et professionnels de santé, en qualité d’investigateurs, sont ainsi familiers avec la pseudonymisation des données par le responsable de la collecte, le responsable de traitement n’étant alors destinataire que des résultats de ce traitement. Les méthodologies de référence publiées par la CNIL imposent la mise en œuvre systématique de ce schéma. Une question demeure néanmoins, à savoir la qualité de « l’investigateur » dans le RGPD. S’il est sous-traitant, donc tenu d’exécuter les instructions de son mandant, comment doit-il réagir à la réception d’une demande de dépseudonymisation ? Dans le cas de recherche sur la personne humaine ou des méthodologies de référence, la demande pourrait être rejetée en ce qu’elle est illégale. Dans les autres cas, ce point devrait donner lieu à contractualisation pour éviter les mauvaises surprises
D’autres cas peuvent également être rencontrés, et plus particulièrement l’e-santé. Le scénario consistant à n’envoyer à un sous-traitant que des données pseudonymisées se rencontre ainsi en cas de recours à des dispositifs médicaux logiciels en SAAS. Le praticien conserve alors la table de concordance par-devers lui, limitant ainsi l’impact d’une éventuelle violation de données au niveau du fabricant du DM. Les services d’e-santé B2C reposent, quant à eux, fréquemment sur le cas paraissant le plus exotique à l’ENISA, à savoir la pseudonymisation par la personne concernée elle-même. Songez à toutes ces applications mobiles dans le cadre desquels vous êtes « simplement » invité à renseigner un pseudo.
Pour chacun des scénarios, l’ENISA a étudié les sources de menace, en prenant en compte leurs motivations et les moyens et techniques dont ils disposent pour ce faire. Les pratiquants de l’analyse de risque et de l’évaluation d’impact sur la vie privée reconnaîtront ici une méthodologie assez familière, et c’est là l’un des principaux apports du guide de l’ENISA.
Prôner une approche basée sur le risque est désormais classique.
Donner les moyens aux responsables de traitements, sous-traitants, éditeurs de solutions, etc. d’alimenter leurs analyses cindyniques en leur fournissant des « dictionnaires » de risques dédiés à la pseudonymisation – et indirectement à l’anonymisation – est nettement plus rare. A tel point que l’ENISA a encouragé les autorités de protection des données à poursuivre le travail et à publier leurs propres guides de bonnes pratiques.
Affaire à suivre, donc.
[1] https://www.enisa.europa.eu/publications/pseudonymisation-techniques-and-best-practices.