Conclusions de l’étude du Professeur Théodore Christakis, rendue publique
Dans la course mondiale
au leadership en IA, le législateur et plusieurs agences européennes, ainsi que
plusieurs acteurs économiques de premier plan, se sont saisis de la
pseudonymisation comme technique de protection des données. En facilitant le
traitement des données à caractère personnel tout en offrant de solides
garanties pour leur protection, une pseudonymisation robuste, combinée à
d’autres mesures de protection des données, est un levier d’innovation et de
compétitivité puissant pour de nombreux secteurs économiques.
A la demande du cabinet
Samman, cabinet d’avocat spécialisé en affaires publiques, Théodore Christakis,
Professeur de droit international, de droit européen et de droit du numérique à
l’Université de Grenoble Alpes, a réalisé une étude exhaustive et d’ampleur sur
l’importance de la pseudonymisation en droit positif à l’ère de l’Intelligence
artificielle.
Le RGPD et plusieurs
autres textes fondamentaux de l’Union Européenne reconnaissent la grande
utilité de la pseudonymisation
La pseudonymisation est
une technique de dé-identification particulièrement prisée dans les domaines de
recherche scientifique, historique ou statistique, car elle réduit les risques
d'identification pour les personnes dont les données sont utilisées. Cette
technique remplace toute caractéristique d'identification des données par un
pseudonyme ou une valeur qui ne permet pas d'identifier directement la personne
concernée.
Elle est considérée par
le Règlement Général sur la Protection des Données (RGPD), le Règlement sur la
gouvernance des données, le Règlement sur les données, le Règlement sur les
services numériques et l’ensemble des textes législatifs qui constituent les
piliers de la stratégie européenne en la matière comme une technique de
protection des données et d’atténuation des risques liés au traitement des
données.
Par exemple, selon le
RGPD, qui ne lui consacre pas moins de 15 références, la pseudonymisation
permet notamment de renforcer la sécurité des données à caractère personnel, de
protéger les données dès la conception, de favoriser la conformité avec plusieurs
principes cardinaux de protection des données, et d’atténuer les conséquences
d’une violation de données à caractère personnel.
Les jurisprudences de
l’UE et de plusieurs pays européens reconnaissent l’utilité de la
pseudonymisation
Le débat juridique sur
la pseudonymisation se concentre traditionnellement sur deux approches
juridiques : l'approche relative, qui considère le statut des données en
fonction de la capacité réelle de réidentification par une partie spécifique ;
et l'approche absolue, qui se base sur la possibilité abstraite de
réidentification, indépendamment de qui détient les données. Les juridictions
européennes n'ont pas encore tranché définitivement ce débat, mais mettent
l'accent sur la probabilité pratique de réidentification. Certaines autorités
de protection des données adoptent néanmoins une position stricte, privilégiant
une approche du "tout ou rien" : soit les données sont anonymisés de
façon irréversible auquel cas le RGPD ne s’applique pas (« rien ») ; soit une
possibilité abstraite de réidentification existe auquel cas les données sont
personnelles et le RGPD s’applique pleinement, la pseudonymisation n’offrant
alors aucune « exonération » à son auteur (« tout »).
Tout en reconnaissant
que les autorités de protection des données ont raison d’insister sur la
distinction entre pseudonymisation et anonymisation, l’étude du Professeur
Christakis montre que la pseudonymisation est largement reconnue au niveau
européen comme une technique efficace pour atténuer les risques liés au
traitement des données personnelles.
En France, en référé,
le Conseil d’État, tout en prenant soin de souligner que l’efficacité des
mesures de pseudonymisation devrait être vérifiée par la CNIL, a en 2020 eu
l’occasion de souligner que la pseudonymisation, qui réduit le risque
d'identification des personnes concernées, par la suppression des informations
directement identifiantes, contribue à garantir le droit au respect de la vie
privée.
Alors que
l’intelligence artificielle ouvre la voie à des avancées révolutionnaires dans
tous les secteurs de notre société, l’Union Européenne est très clairement en
2024 à la croisée des chemins.
Plusieurs agences
européennes préconisent de façon constante le recours à la pseudonymisation.
L’ENISA (Agence de l’Union Européenne de Cybersécurité) affirme depuis 2019 que
la pseudonymisation devient de plus en plus essentielle pour faciliter le traitement
des données à caractère personnel, tout en offrant des garanties solides pour
leur protection.
Le succès des espaces
européens communs de données, au premier rang desquels l'Espace européen des
données de santé (EHDS), pourrait en fin de compte dépendre d’une approche
équilibrée et pratique de la pseudonymisation. Cette dernière pourrait
également jouer un rôle important dans la constitution des bases de données
d’apprentissage afin d’entrainer les modèles d’IA générative.
« La pseudonymisation
est une solution pragmatique pour faciliter le partage sécurisé des données au
sein des espaces européens communs de données, notamment dans le domaine de la
santé, et pour le développement responsable de l'IA. Elle permet de maintenir
l'utilité des données tout en offrant, sous certaines conditions, une
protection significative, contribuant ainsi à concilier l'innovation
technologique avec le respect des droits individuels. Il est pertinent alors de dépasser le débat
binaire entre les approches « relative » et « absolue » pour considérer la
pseudonymisation comme une composante essentielle d'une stratégie globale de
protection des données. En adoptant une approche équilibrée et pragmatique, il
est possible de promouvoir une utilisation responsable des données qui respecte
les droits des individus tout en soutenant l'innovation », commente Professeur
Théodore Christakis, Professeur de droit international, de droit européen et de
droit du numérique, Chaire AI Regulation, à l’Université de Grenoble Alpes
« L’étude réalisée par le Professeur Christakis, la première de cette ampleur, est utile car elle permet aux décideurs publics, aux régulateurs et aux acteurs concernés de travailler ensemble de façon pragmatique pour identifier les solutions techniques qui respectent les principes de droit de l’UE et accompagnent les acteurs européens de l’IA », conclut Thaima Samman, Associée fondatrice du cabinet Samman.