La Commission Nationale de l’Informatique et des Libertés (CNIL) a publié deux fiches pour aider les responsables de traitement dans le dépôt de leurs demandes d’autorisation de traitements de données de santé. Ces fiches couvrent les traitements liés à la recherche et hors recherche dans le domaine de la santé. Elles fournissent une liste détaillée des informations à communiquer pour une demande d’autorisation complète.
Une demande d’autorisation déposée auprès de la CNIL doit décrire les caractéristiques du traitement envisagé en détail, en incluant les aspects juridiques et techniques. Cela permettra à la CNIL de s’assurer que le projet de traitement respecte les dispositions pertinentes du RGPD (Règlement général sur la protection des données) et de la loi Informatique et Libertés. Les deux fiches de la CNIL synthétisent les informations nécessaires pour une bonne instruction des demandes d’autorisation afin d’aider les responsables de traitement à élaborer leurs dossiers de demande.
Les fiches abordent les caractéristiques principales d’un traitement de données dans le domaine de la santé. Elles invitent les responsables de traitement à se poser les bonnes questions avant de déposer une demande d’autorisation auprès de la CNIL. Cela aidera à faciliter l’instruction de la demande et à assurer la conformité avec les exigences du RGPD et de la loi Informatique et Libertés.
En outre, ces fiches peuvent être utilisées comme cadre de référence pour la mise en conformité des traitements de données de santé. Elles guideront les responsables de traitement dans le processus de conformité, notamment lorsqu’ils s’engagent dans une déclaration de conformité à un référentiel.
Pour chaque critère à satisfaire, la CNIL rappelle les grands principes à connaître et à respecter. Elle indique également les informations dont elle a besoin pour donner son autorisation, telles que les pièces à fournir et les justifications nécessaires. Les fiches de la CNIL offrent une aide précieuse pour les responsables de traitement dans leur démarche de mise en conformité avec les exigences du RGPD et de la loi Informatique et Libertés en matière de traitements de données de santé.
Demande d’autorisation d’une étude santé au travail : les informations à fournir et les critères d’octroi
Les études de recherche dans le domaine de la santé nécessitant un traitement de données de santé sont soumises à des formalités préalables auprès de la CNIL, à l’exception des études internes. Avant de déposer une demande d’autorisation de recherche auprès de la CNIL, il est important de s’assurer que le projet est soumis à la loi Informatique et Libertés, que les personnes concernées sont établies en France ou résident en France, et que le projet concerne bien une recherche, une étude ou une évaluation dans le domaine de la santé.
Lorsqu’il s’agit d’une recherche dans le domaine de la santé, il est nécessaire de déterminer si elle implique ou non la personne humaine, et si ce n’est pas le cas, si elle est considérée comme une étude interne. Les études internes, qui sont menées à partir de données collectées dans le cadre du suivi thérapeutique ou médical d’un patient par les personnes qui assurent ce suivi et pour leur usage exclusif, ne nécessitent pas d’autorisation de la CNIL.
Pour les autres projets de recherche, il est important de déterminer la méthodologie de référence applicable, qui peut être une des méthodologies MR-001, MR-002, MR-003 pour les recherches impliquant la personne humaine, ou MR-004, MR-005, MR-006 pour les recherches ne impliquant pas la personne humaine. Si le projet est strictement conforme à la méthodologie de référence, il peut être mis en œuvre dans le cadre d’une déclaration de conformité, sans nécessiter d’autorisation préalable de la CNIL. Sinon, une demande d’autorisation de recherche doit être déposée auprès de la CNIL pour les recherches impliquant la personne humaine, ou auprès de la Plateforme des données de santé pour les recherches ne impliquant pas la personne humaine.
Pour instruire la demande d’autorisation, la CNIL a besoin d’informations détaillées sur les caractéristiques du traitement envisagé, tant sur ses aspects juridiques que techniques, présentées dans les formes prévues à l’article 33 de la loi Informatique et Libertés. Les informations nécessaires comprennent la description du projet de recherche, les données à traiter, les modalités de collecte, de traitement et de conservation des données, les destinataires des données, les mesures de sécurité mises en place pour protéger les données ainsi que les moyens de garantir la protection des droits et libertés des personnes concernées. Il est important de fournir toutes ces informations pour permettre à la CNIL d’instruire la demande d’autorisation de manière efficace et de prendre une décision éclairée sur la légalité du traitement envisagé.
Avez vous besoin de réaliser un DPIA pour une étude santé au travail ?
si le traitement des données peut présenter des risques pour les droits et libertés des personnes concernées, il est obligatoire de réaliser une analyse d’impact sur la protection des données (AIPD). La CNIL guide les acteurs en précisant les traitements pour lesquels une AIPD est requise. Une AIPD est généralement requise si le traitement remplit au moins deux des neuf critères identifiés par le CEPD. Pour les traitements nécessitant une autorisation de la CNIL, une AIPD est souvent requise. Il est recommandé de réaliser une AIPD avant de déposer une demande d’autorisation, sinon la communication de l’AIPD pourra être demandée lors de l’instruction de la demande. La CNIL fournit un outil gratuit appelé PIA pour aider les responsables de traitement à réaliser leurs AIPD.
L’avis du comité compétent a-t-il déjà été recueilli ?
La réalisation d’un projet de recherche en France doit faire l’objet d’une autorisation préalable selon la nature du projet et les personnes concernées. Si le projet implique des personnes humaines, une autorisation est nécessaire auprès du comité de protection des personnes, et dans certains cas, auprès de l’Agence nationale de sécurité du médicament et des produits de santé. Si le projet ne concerne pas les personnes humaines, l’avis du CESREES (Comité éthique et scientifique pour les recherches) peut être requis. Pour les projets de recherche réalisés à l’étranger, les autorisations des instances locales compétentes sont requises. La CNIL (Commission Nationale de l’Informatique et des Libertés) a besoin d’un avis du comité compétent et éventuellement d’autres avis précédemment rendus pour instruire la demande d’autorisation.
Comment la CNIL gère la demande d’autorisation ?
Pour obtenir une autorisation auprès de la CNIL, il est crucial de détailler les écarts à la méthodologie de référence et de les justifier, que ce soit sur le plan juridique ou technique. Les éléments de non-conformité doivent être précisés et les justifications doivent figurer dans le protocole de recherche. La CNIL a deux mois pour se prononcer sur la demande, renouvelable une fois pour la même durée. Si aucune décision n’est prise dans ce délai et que l’avis préalable du comité est favorable, la demande est considérée comme acceptée et l’autorisation est accordée de manière tacite.
La CNIL examine les dossiers pour vérifier le respect des dispositions pertinentes du RGPD et de la loi Informatique et Libertés, ainsi que des autres dispositions spécifiques à la recherche. Si le dossier est complet et apporte des réponses satisfaisantes, l’autorisation est accordée. Si des éléments sont imprécis ou insuffisants, une demande de compléments peut être envoyée. Si le dossier n’est pas complet ou est manifestement illicite, la CNIL peut refuser la mise en œuvre du traitement. Dans tous les autres cas, la CNIL peut accompagner le responsable de traitement pour remettre son projet en conformité.
