Nous nous penchons, aujourd’hui sur le processus de demande d’autorisation pour les recherches en santé auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL). Dans cet article, nous examinerons les informations à fournir et les critères d’octroi pour ces demandes, afin de mieux comprendre comment la CNIL protège les données personnelles des individus dans le cadre des recherches en santé.
- Contexte
La CNIL est une autorité administrative indépendante française chargée de veiller à la protection des données personnelles et de la vie privée des citoyens. Dans le cadre des recherches en santé, il est crucial de garantir la confidentialité et la protection des données des patients. C’est pourquoi la CNIL exige que les organismes et les chercheurs soumettent une demande d’autorisation avant de mener des études utilisant des données à caractère personnel.
- Informations à fournir pour une demande d’autorisation
Les demandes d’autorisation doivent inclure les informations suivantes :
- L’identité du responsable du traitement, qui doit être une personne morale (par exemple, un établissement de santé ou une entreprise) ;
- La finalité de la recherche, qui doit être clairement définie et légitime ;
- Les catégories de données à caractère personnel collectées et traitées ;
- La source des données (par exemple, des dossiers médicaux ou des questionnaires) ;
- Les destinataires des données, c’est-à-dire les personnes ou les entités qui auront accès aux informations ;
- Les mesures de sécurité mises en place pour protéger les données (par exemple, l’anonymisation ou la pseudonymisation) ;
- La durée de conservation des données ;
- Les droits des personnes concernées, notamment leur droit d’accès, de rectification et d’opposition ;
- Les éventuelles transferts de données hors de l’Union Européenne, avec les garanties appropriées.
- Critères d’octroi de l’autorisation
La CNIL examine chaque demande au cas par cas en tenant compte des critères suivants :
- La pertinence et la nécessité des données collectées au regard de la finalité de la recherche ;
- Le respect des principes de proportionnalité, de minimisation des données et de limitation des finalités ;
- Les garanties offertes pour assurer la sécurité et la confidentialité des données, y compris les mesures techniques et organisationnelles mises en place ;
- L’information et les droits des personnes concernées ;
- La conformité avec les obligations légales et réglementaires, notamment le RGPD et la loi française Informatique et Libertés.
- Demande d’autorisation dans le domaine de la santé hors recherche selon la CNIL : Informations et procédures à suivre par DPO Partage
- Autorisation de traitement de données de santé : les exigences de la CNIL
- AIPD et données de santé confiées à une IA : le résultat de l’analyse d’impact peut-il dispenser de consulter la CNIL ?
