L'exigence du protocole de ré-identification de l'IRB
Les IRB exigent désormais couramment des chercheurs qu'ils documentent leur protocole de ré-identification — pas seulement leur méthode de désidentification. La documentation doit prouver deux choses simultanément : que le jeu de données désidentifié ne peut pas être ré-identifié par des parties non autorisées, et que la ré-identification autorisée est possible dans des conditions définies.
Cette double exigence reflète les leçons de la recherche longitudinale où des résultats cliniquement exploitables ont émergé en cours d'étude mais où l'anonymisation permanente a empêché d'agir sur eux. Les actions d'application du GDPR ont augmenté de 56 % en 2024 (DLA Piper Annual Report 2025), et l'exemption de recherche de l'UE en vertu de l'article 89 exige spécifiquement la pseudonymisation plutôt que l'anonymisation permanente pour les données de recherche — reconnaissant que la recherche nécessite une réversibilité dans des conditions contrôlées.
Un article de 2024 du NEJM AI sur la désidentification basée sur LLM souligne explicitement ce défi : "les notes cliniques désidentifiées restent statistiquement liées à l'identité à travers les corrélations qui confirment leur utilité clinique." La recommandation de l'article : pseudonymisation avec une garde de clé documentée plutôt qu'anonymisation permanente, spécifiquement pour préserver la capacité de re-contact requise par la recherche longitudinale.
L'architecture de ré-identification contrôlée
Le chiffrement déterministe AES-256-GCM génère des jetons cohérents : le même identifiant de patient est toujours chiffré en le même jeton en utilisant la même clé. "Patient_001" dans l'évaluation de base est chiffré en "[ENC:f8a2c...]" — le même jeton apparaît dans le suivi de 3 mois, le suivi de 12 mois et l'analyse finale. L'équipe de recherche peut suivre les données longitudinales du patient en utilisant le jeton chiffré comme identifiant stable, sans jamais accéder à la véritable identité.
L'arrangement de garde de clé satisfait l'exigence de séparation des clés de l'EDPB : l'équipe de recherche détient le jeu de données chiffré. Le gardien de données désigné détient la clé de déchiffrement dans un système de gestion de clés séparé. Aucune des parties ne peut ré-identifier les participants sans l'autre — l'équipe de recherche ne peut pas déchiffrer sans la clé, et le gardien de clé ne peut pas identifier quels enregistrements appartiennent à quels participants sans les données.
Lorsque la ré-identification est autorisée (approbation du comité d'éthique, constatation d'obligation d'avertir, exigence réglementaire), le gardien de clé applique la clé aux enregistrements identifiés spécifiques. Chaque événement de déchiffrement est enregistré : quels enregistrements, quand, par qui, sous quelle autorisation. Le journal d'audit démontre la conformité avec les exigences de l'article 89 du GDPR pour des garanties documentées.
Mise en œuvre pratique
Pour un centre de recherche en oncologie européen avec une cohorte de 5 000 patients : le jeu de données de recherche est anonymisé à l'aide d'un chiffrement réversible avant distribution aux institutions collaboratrices dans trois pays. L'équipe de recherche de chaque institution peut analyser les données longitudinales en utilisant des jetons patients chiffrés. La clé est détenue par le responsable de la protection des données de l'institution coordinatrice.
Lorsqu'une analyse de biomarqueurs en cours d'étude identifie 47 participants avec des marqueurs de risque élevés, l'approbation du comité d'éthique déclenche une demande formelle de ré-identification. Le responsable de la protection des données déchiffre les 47 enregistrements spécifiques. L'équipe clinique de l'institution coordinatrice contacte les 47 véritables patients. Les identités des 4 953 autres participants restent protégées dans les trois institutions collaboratrices.
Sources :