Les projets de recherche dans le domaine de la santé sont soumis à un cadre règlementaire stricte, une méthodologie précise et des règles éthiques cardinales.

A l’occasion d’un signalement, la CNIL nous rappelle la spécificité de ce cadre légal et notamment la nécessité de mener une analyse d’impact avant toute recherche médicale, le cas échéant, un manquement aux règles de la protection des données, notamment en matière de données de santé pourra être caractérisé.

1/ Rappel des formalités préalables à la recherche médicale

Le cadre règlementaire et les méthodologies de référence applicables diffèrent selon que la recherche implique ou non une personne humaine. Dans le cas où une personne humaine serait concernée, conformément à l’article 66 de la loi du 6 janvier 1978, tous les projets de recherche dans le domaine de la santé, nécessitant un traitement de données de santé, doivent faire l’objet d’une déclaration préalable auprès de la CNIL ou être conformes à référentiels spécifiques.

Toutefois, cela ne s’applique pas aux « recherches internes » qui sont celles effectuées par les professionnels de santé prenant en charge les patients, pour leur usage exclusif et à partir des données collectées pendant les soins.

Les traitements qui ne seraient pas conformes en tout point aux référentiels applicables doivent faire l’objet d’une autorisation auprès de la CNIL.

2/ La fourniture d’une information complète aux personnes concernées

L’application du RGPD et notamment des articles 12, 13 et 14 reste le cadre général applicable et impose une information concise, transparente, compréhensible et aisément accessible des personnes concernées.

La CNIL nous rappelle que cette obligation d’information s’applique donc aux organismes de recherches. En l’espèce, au sein des deux organismes visés par le signalement, les feuillets d’information remis ne précisaient ni la nature des informations collectées ni leur durée de conservation.

En outre, elles n’indiquaient pas les coordonnées du DPO ou les modalités de recours auprès de la CNIL.

De plus, une notice d’information affirmait que les données étaient anonymisées alors que ce n’était pas le cas, puisque l’identité des patients était seulement remplacée par un « numéro patient ».

3/ L’analyse d’impact obligatoire

L’article 62 de la loi informatique et libertés indique que lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques une analyse d’impact des opérations de traitement envisagées doit être mise en œuvre.

La liste adoptée par la délibération n° 2019-118 du 12 septembre 2019 relative aux types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise mentionne plusieurs traitements pouvant être mis en œuvre dans le cadre de la recherche médicale :

  • Traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médico-sociaux pour la prise en charge des personnes.
  • Traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.)
  • Traitements des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre.

Par conséquent, la réalisation d’une analyse d’impact peut être obligatoire avant toute opération de recherche médicale.

Dans le présent cas d’usage, les manquements constatés ayant cessé, la présidente de la CNIL a simplement décidé d’adresser un rappel aux obligations légales à chacun des organismes contrôlés.

 

Que faut-il retenir ?

  • Il est obligatoire pour un organisme de recherche médicales de procéder à une analyse d’impact (sauf études internes).
  • Il est impératif de communiquer une information complète aux personnes concernées.
  • Si la CNIL a décidé ici de procéder à un simple rappel, il n’en demeure pas moins qu’une lourde sanction financière aurait pu être infligée pour de tels manquements.

 

Claudia Weber, avocat fondateur et Céline Dogan, avocat collaborateur | ITLAW Avocats

Besoin d’aide dans la mise en œuvre de votre projet e-santé ?

ITLAW Avocats met à votre service son expérience et son expertise en la matière.

ITLAW Avocat mobilise ses talents et son expertise en matière de protection des données personnelles, de contrats, d’innovation, de projets informatiques complexes et de propriété intellectuelle   ainsi que sa connaissance de l’écosystème IT  pour vous accompagner dans la sécurisation de vos projets et votre compliance.

Nous contacter