Le point sur la demande d’autorisation de traitements de données de santé
Synthèse des critères à remplir
La demande d’autorisation est une procédure par laquelle un responsable de traitement soumet un traitement de données personnelles à la Commission nationale de l’informatique et des libertés (CNIL) afin que celle-ci se prononce sur sa validité, condition indispensable à sa mise en œuvre.
Depuis l’entrée en vigueur du règlement général sur la protection des données (RGPD), les demandes d’autorisation ne sont plus requises pour la plupart des traitements. Cependant, par exception, les traitements de données personnelles de santé doivent, sauf exemptions, être préalablement autorisés par la CNIL (article 66, III de la loi Informatique et Libertés). Une telle dérogation se justifie par le caractère hautement sensible des données de santé.
Déterminer si mon traitement de données personnelles de santé, relatif à un projet de recherche, ou hors recherche, doit faire l’objet d’une demande d’autorisation auprès de la CNIL
Avant de présenter une demande d’autorisation, le responsable de traitement doit vérifier si le traitement de données personnelles de santé qu’il envisage bénéficie d’une exemption. En effet, il existe cinq grandes catégories de traitement pour lesquels aucune demande d’autorisation n’est requise :
1) les projets de recherche impliquant la personne humaine ou "essais cliniques" (au sens de l’article R. 1121-1 du Code de la santé publique) qui sont conformes aux référentiels suivants :
- MR-001 - recherches dans le domaine de la santé avec recueil du consentement ;
- MR-002 - études non interventionnelles de performances en matière de dispositifs médicaux de diagnostic in vitro ; et
- MR-003 - recherches dans le domaine de la santé sans recueil du consentement.
2) les projets de recherche n’impliquant pas la personne humaine correspondant à une "étude interne", c’est-à-dire une étude menée à partir de données recueillies dans le cadre du suivi thérapeutique ou médical individuel des patients par les personnels assurant ce suivi et pour leur usage exclusif ;
3) les projets de recherche n’impliquant pas la personne humaine et ne correspondant pas à une étude interne mais qui sont conformes aux référentiels :
- MR-004 - recherches, études et évaluations portant sur des données déjà collectées lors du soin, lors de recherches antérieures ou dans le cadre d’une prise en charge médicale ;
- MR-005 - traitements de données nécessitant l'accès par des établissements de santé et des fédérations aux données du Programme de médicalisation des systèmes d’information (PMSI) et des résumés de passage aux urgences (RPU) ; et
- MR-006 - études nécessitant l’accès aux données du PMSI par les industriels de santé ;
- MR-007 - recherches, études ou évaluations nécessitant l’accès aux données de la base principale du SNDS par les organismes agissant dans le cadre de leur mission d’intérêt public ;
- MR-008 - recherches, études ou évaluations nécessitant l’accès aux données de la base principale du SNDS par les organismes agissant dans le cadre de leurs intérêts légitimes.
4) les traitements hors recherche qui sont conformes aux référentiels suivants :
- "vigilance sanitaire" ;
- "entrepôts de données de santé" ;
- "accès précoce » ; ou,
- "accès compassionnel".
5) les traitements relevant des exceptions prévues par les articles 65 et 67 de la loi Informatique et Libertés.
Pour les traitements de données de santé relevant d’une exemption et qui sont strictement conformes à un référentiel applicable, il n’est pas nécessaire d’obtenir une autorisation préalable de la CNIL. Ils peuvent être mis en œuvre dans le cadre d’une déclaration de conformité à ce référentiel réalisée auprès de la CNIL.
Les traitements correspondant aux autres exemptions (étude internes et traitements listés aux articles 65 et 67) ne sont soumis ni à autorisation ni à déclaration préalable. Ils peuvent être mis en œuvre librement, sans formalités.
En revanche, un traitement de données personnelles de santé relatif à un projet de recherche ou hors recherche qui ne correspond pas à l’une de ces exemptions doit obligatoirement faire l’objet d’une demande d’autorisation préalable.
Quelles informations et documents communiquer à la CNIL dans le cadre d’une demande d’autorisation ?
Une présentation exhaustive du traitement et de ses garanties de conformité - L’objectif d’une demande d’autorisation est de présenter à la CNIL les caractéristiques du traitement de données de santé et ses garanties de conformité. Il s’agit donc principalement :
- d’identifier (i) le ou les responsables du traitement ainsi que les éventuels sous-traitants, (ii) la finalité d’intérêt public du traitement, (iii) la base légale du traitement et (iv) l’autorisation permettant de traiter de données "sensibles".
- de justifier (i) de l’utilité et de la pertinence des données traitées ; (ii) de la nécessité de la communication des données à des destinataires extérieurs identifiés; et (iii) de la bonne information des personnes concernées par le traitement.
- de garantir et de démontrer (i) l’exercice effectif des droits des personnes concernées, (ii) que la limitation au strict nécessaire de la durée de conservation des données, (iii) l’encadrement des transferts de données en dehors de l’Espace économique européen et (iv) la sécurisation des données de santé en précisant les mesures organisationnelles et techniques prévues à cet effet.
L’ensemble de ces points, ainsi que d’autres éléments et informations qui pourraient être fournis selon les spécificités du traitement, doivent faire l’objet d’une présentation détaillée tant sur le plan juridique que technique afin de répondre aux critères d’évaluation de la CNIL.
La conformité et la justification des points de non-conformité aux référentiels sectoriels de la CNIL - Lorsqu’un traitement de données de santé s’écarte des référentiels pertinents établis par la CNIL, le responsable de traitement doit tout d’abord mettre l’accent sur les éléments du traitement qui sont conformes aux référentiels applicables. Puis, il doit justifier des raisons qui l’ont poussé à s’écarter du référentiel sur les autres points. Ces explications doivent être rationnelles et documentées (e.g., les exigences du protocole de recherche). Il est pertinent de démontrer que des mesures complémentaires sont mises en œuvre pour pallier les éléments de non-conformité aux référentiels.
La communication de l’analyse d’impact sur protection des données (AIPD) - En principe, un traitement nécessitant une autorisation de la CNIL remplit les critères qui obligent à la conduite d’une AIPD. Un tel document devra donc être produit dans le cadre de la demande d’autorisation. L’AIPD constitue un document pertinent pour la présentation exhaustive du traitement, de ses garanties, et la discussion sur les points de conformité et de non-conformité du projet aux référentiels applicables.
L’avis des instances scientifiques et/ou éthiques compétentes pour les projets de recherches - Dans le cadre d’une demande d’autorisation pour un projet de recherche impliquant la personne humaine, le responsable de traitement doit fournir à la CNIL l’avis du comité compétent de protection des personnes et, le cas échéant, l’autorisation de l’Agence nationale de sécurité du médicament et des produits de santé (ANSM).
Lorsqu’un projet de recherche n’impliquant pas les personnes humaines fait l’objet d’une demande d’autorisation et qu’il n’est pas conforme aux référentiels applicables, le responsable de traitement doit communiquer l’avis du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé.
************************
La CNIL étudie la demande et rend sa décision dans un délai de deux mois après réception de la demande, délai prorogeable deux mois dans certains cas.
Le non-respect de la procédure d’autorisation des projets concernés est notamment sanctionné par une amende administrative pouvant s'élever jusqu'à 20 millions d’euros ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Il convient donc d’être particulièrement rigoureux, en la matière.
Technologie, Media et Communication dans notre cabinet d’avocats :
Si les avancées technologiques constituent de formidables opportunités, elles sont également un vecteur de risques pour les entreprises. Dans cet environnement évolutif, notre cabinet d’avocats met à votre disposition sa fine compréhension des nouvelles technologies, son expertise reconnue en matière de propriété intellectuelle ainsi que sa parfaite maîtrise du droit des contrats.
|
|
|
