Classification des données (2024)

LeRGPD régit le traitement des données à caractère personnel. Dans le contexte de la santé et du traitement des données génétiques humaines, déterminer quand les données sont des données personnelles est d’une importance fondamentale et, en même temps, un défi. Comme indiqué dans la sous-entrée «Principes fondamentaux de la protection des données», la nature intrinsèque et les caractéristiques des données génétiques humaines posent des défis complexes non seulement pour la classification des données, mais également pour l’interprétation et l’application des principes et des règles de protection des données dans leur ensemble.

En ce qui concerne le traitement des données génétiques humaines au sein des écosystèmes cliniques, sanitaires et pharmaceutiques, y compris à des fins de recherche, il devient de plus en plus difficile de déterminer quand les données génomiques doivent être considérées comme des données personnelles. Au fur et à mesure que les progrès techniques et scientifiques se développent, l’analyse des données génétiques humaines devient de plus en plus spécialisée et complexe, ce qui peut entraîner une segmentation des données génétiques humaines à un point tel que cela peut entraver la tâche de les classer en qualité d’informations génétiques, informations concernant la santé, et données personnelles ou non personnelles.

En outre, les données génétiques humaines sont souvent pseudonymisées ou traitées par des moyens automatisés qui visent à extraire les éléments personnels ou identifiables de ces données. Bien souvent, de telles mesures n’assurent pas l’anonymisation irréversible des données à caractère personnel compte tenu de l’existence d’un lien, même indirect, avec la personne concernée par ces données.

Dans le même temps, les données génomiques peuvent être considérées comme des données à caractère personnel intrinsèquement identifiables (même dans les cas où il n’y a pas d’autres liens avec la personne concernée ou d’impact sur celle-ci), car elles constituent des éléments qui intègrent inextricablement une partie de l’identité d’une personne.

De plus, un autre enjeu est l’interprétation de la notion de données génétiques humaines telle que définie en droit. Les ambiguïtés scientifiques et juridiques associées à ce type particulier de données, ainsi que la tendance actuelle à la fragmentation juridique et l’absence d’une approche homogène, compromettent une définition tangible. Cela génère des risques et des menaces liés aux principes et exigences existants en matière de protection des données. Cela rend aussi difficile l’élaboration de réglementations, de lignes directrices ou de bonnes pratiques spécifiques en matière de traitement des données génétiques humaines dans l’UE.

Bien que les concepts de données génétiques et de données de santé puissent se chevaucher, les données génétiques peuvent donner un aperçu de l’état de santé futur d’une personne concernée. De plus, les données génétiques peuvent révéler des informations concernant des groupes d’individus (tels que la famille). Cela entraîne également des complexités dans l’application des principes et des dispositions de protection des données car la plupart des cadres juridiques adoptent une approche individualiste des droits à la protection des données.

Tout traitement de données personnelles doit êtreconforme auRGPD, considéré comme la législation la plus stricte au monde en matière de protection des données. Lorsqu’il s’agit de données sensibles – telles que des données de santé et des données génétiques – le processus devient encore plus complexe, en particulier parce que deux fondements juridiques cumulatifs doivent être réunis pour garantir la licéité du traitement des données : un fondement juridique général pour tout type de traitement de données à caractère personnel, prévu à l’article 6(1) duRGPD, et un fondement juridique spécifique, requis uniquement pour les données sensibles, établi à l’article 9(2), duRGPD.

Le non-respect des dispositions duRGPD peut entraîner de lourdes amendes administratives. L’article 83 duRGPD prévoit deux niveaux d’amendes: les moins sévères peuvent aller jusqu’à 10 millions d’euros, ou dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu (article 83(4) duRGPD) ; tandis que l’infraction la plus grave peut entraîner une amende pouvant aller jusqu’à 20 millions d’euros, ou dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu (article 83(5) duRGPD). En outre, les responsables du traitement et/ou les sous-traitants qui, en raison de la violation duRGPD, ont causé un préjudice matériel ou moral à une personne physique, pourraient être tenus de verser une indemnité pour dommages, conformément à l’article 82 duRGPD.

LeRGPD n’exclut pas la mise en place de sanctions pénales en cas de violation de celui-ci, comme le prévoient les législations nationales des États membres.

Un moyen d’éviter d’être régi par leRGPD – et donc d’éviter ses sanctions sévères – est d’opérer avec des données anonymisées. Cependant, l’anonymisation complète est extrêmement difficile à obtenir, car même le plus petit détail peut révéler l’identité de la personne physique. [2] Les défis posés par l’anonymisation sont particulièrement rigoureux en ce qui concerne les données de santé et les données génétiques. Il a été dit que l’anonymisation est impossible à réaliser, car il est toujours possible d’inverser le processus et d’identifier la personne concernée. Cela est particulièrement vrai pour les données génétiques, qui sont liées aux caractéristiques d’identification premières de la personne humaine.

Le considérant 34 duRGPD étend la définition des données génétiques à un concept général, qui inclut non seulement l’analyse chromosomique, l’analyse de l’ADN ou de l’ARN, mais aussi tous les autres types d’analyse permettant d’obtenir des informations équivalentes. Ainsi, bien que l’on puisse suggérer que (i) toutes les informations génétiques ne sont pas des données génétiques ; (ii) toutes les informations génétiques ne sont pas des données personnelles ; iii) un échantillon génétique n’est pas une donnée à caractère personnel tant qu’il ne permet pas de tirer des conclusions par l’analyse et la production de données; ainsi que (iv) les données résultant de l’analyse des données génétiques ne peuvent constituer des données à caractère personnel que dans la mesure où ces données génétiques sont associées à une personne identifiable ; la définition des données à caractère personnel incluse dans leRGPD est large dans la mesure où elle englobe toute identification par référence à des facteurs spécifiques à l’identité génétique d’un individu, indépendamment des moyens d’analyse en jeu.

Par conséquent, l’effet pratique d’une telle interprétation nous amène à la conclusion que le traitement des données génétiques humaines (qui comprennent les marqueurs génétiques de base uniquement liés à une personne), ainsi que les résultats découlant d’un tel traitement, constitueront très probablement des données personnelles. En outre, le traitement de certaines catégories particulières de données à caractère personnel, notamment les données génétiques, doit être conforme à l’article 9 duRGPD.

De plus, tous les résultats issus de l’analyse de données génétiques liées à un échantillon biologique spécifique sont généralement des données personnelles, même si les résultats eux-mêmes ne sont pas propres à l’individu, car l’échantillon est par nature spécifique à un individu et fournit un lien avec son identité génétique spécifique.

Néanmoins, il convient de noter que dans certains cas, les données génétiques peuvent ne pas constituer des données personnelles. Par exemple, cela pourrait être le cas d’informations anonymisées (par exemple, les résultats de tests génétiques) qui ne peuvent plus, en aucune circonstance, être associées à une personne spécifique, à condition qu’il n’y ait pas d’autres enregistrements d’identité génétique ni d’autres identifiants. Cependant, comme nous l’avons vu, ce scénario n’est pas courant en pratique.

Dans un document de 2021, leEuropean Data Protection Board (EDPB)a reconnu la faillibilité des techniques d’anonymisation des données génétiques et a recommandé aux contrôleurs de données de toujours traiter ces données comme s’il s’agissait de données personnelles, même lorsqu’elles sont prétendument anonymisées: «L’EDPB souligne que la possibilité d’anonymiser les données génétiques reste une question non résolue. À ce jour, il reste à démontrer si une combinaison de moyens techniques et organisationnels peut être effectivement employée pour retirer les informations génétiques du champ d’application matériel du RGPD (...) il est fortement conseillé que ces données génétiques soient traitées comme des données à caractère personnel et que leur traitement soit effectué avec la mise en œuvre de mesures techniques et organisationnelles appropriées pour assurer le respect du Règlement» [3]

Traduction en Français.

[2]They who must not be identified—distinguishing personal from non-personal data under the GDPR.International Data Privacy Law,10(1), 11-36, 2020. (en anglais)

[3] European data Protection Board,EDPB Document on response to the request from the European Commission for clarifications on the consistent application of the GDPR, focusing on health research, 2 February, 2021

Classification des données (2024)

References

Top Articles
Latest Posts
Recommended Articles
Article information

Author: Nathanael Baumbach

Last Updated:

Views: 5338

Rating: 4.4 / 5 (55 voted)

Reviews: 94% of readers found this page helpful

Author information

Name: Nathanael Baumbach

Birthday: 1998-12-02

Address: Apt. 829 751 Glover View, West Orlando, IN 22436

Phone: +901025288581

Job: Internal IT Coordinator

Hobby: Gunsmithing, Motor sports, Flying, Skiing, Hooping, Lego building, Ice skating

Introduction: My name is Nathanael Baumbach, I am a fantastic, nice, victorious, brave, healthy, cute, glorious person who loves writing and wants to share my knowledge and understanding with you.