Rappel de la CNIL sur les obligations légales relatives à la protection des données d’un organisme procédant à des recherches médicales

À l’occasion de la constatation de manquements aux obligations légales relatives à la protection des données à caractère personnel lors de deux contrôles d’organismes accomplissant des recherches médicales, la CNIL a tenu à rappeler en mars 2023 les obligations légales suivantes :

OBLIGATION DE MENER UNE ANALYSE D'IMPACT SUR LA PROTECTION DES DONNEES EN CAS DE RECHERCHE MEDICALE

Avant de commencer des recherches en santé – autres que des recherches internes (c’est-à-dire à partir des données collectées pendant les soins par les professionnels de santé prenant en charge les patients et pour leur usage exclusif) – l’organisme doit soit obtenir l’autorisation de la CNIL pour procéder à ces recherches, soit se conformer à une méthodologie de référence impliquant de réaliser une analyse d’impact sur la protection des données.

L’analyse d’impact doit donc être menée avant de démarrer la recherche. Elle doit prévoir les risques sur les droits et libertés des personnes concernées – sachant qu’une même analyse peut porter sur un ensemble d’opérations de traitement qui présentent des risques similaires.

NECESSITE DE COMMUNIQUER UNE INFORMATION COMPLETE AUX PARTICIPANTS DE LA RECHERCHE MEDICALE

Par ailleurs, l’organisme a l’obligation de délivrer une information complète aux personnes participant aux recherches. Cette information doit au minimum porter sur l’identité et les coordonnées de l’organisme, le caractère obligatoire ou facultatif du recueil des données, la nature des informations collectées, les finalités poursuivies par les traitements de données, la base légale des traitements, les durées de conservation de ces données, les destinataires ou catégories de destinataires des données, les droits des personnes concernées, les coordonnées du délégué à la protection des données et sur les modalités de recours auprès de la CNIL.

‍

L’occasion pour la CNIL de rappeler la différence entre « anonymisation » et « pseudonymisation » des données.

‍

Le simple fait de remplacer l’identité des patients par un « numéro patient » et un « code patient » composé de deux lettres correspondant à la première initiale du nom et du prénom de la personne concernée n’équivaut pas à anonymisation mais à une pseudonymisation des données. En effet, cette procédure permet d’isoler un individu dans le jeu de données et de le réidentifier.

‍

En l’espèce, les deux organismes ayant cessé les traitements de données pour lesquels les manquements avaient été constatés, la présidente de la CNIL leur a adressé un rappel aux obligations légales, conformément à la loi Informatique et Libertés.

‍