Modifications des traitements de données de santé : Lorsqu’un traitement de données de santé est en place, il peut être nécessaire d’apporter des modifications en fonction de l’évolution des besoins ou des technologies. Certaines de ces modifications peuvent avoir un impact significatif sur la manière dont les données sont gérées ou sur les droits des individus concernés. Dans ces cas, des démarches spécifiques doivent être entreprises auprès de la Commission nationale de l’informatique et des libertés (CNIL).
Rappel sur les formalités préalables
La loi Informatique et Libertés impose des formalités préalables pour certains traitements de données de santé. Ces démarches sont essentielles pour s’assurer que les traitements respectent les règles de protection des données personnelles. Une fois ces formalités accomplies, le traitement peut être mis en œuvre.
| Type de traitement de données | Description | Formalités préalables | Nom de la MR ou AU |
|---|---|---|---|
| Données de santé à des fins de recherche | Traitements de données de santé réalisés dans le cadre de recherches biomédicales, essais cliniques, études épidémiologiques, etc. | Demande d’autorisation auprès de la CNIL | MR-001, MR-002, MR-003, MR-004, MR-005 |
| Traitements de données biométriques | Collecte et utilisation de données biométriques à des fins d’identification ou d’authentification. | Demande d’autorisation | AU-050 |
| Traitements de données génétiques | Collecte et analyse de données génétiques à des fins médicales, de recherche ou pour d’autres objectifs spécifiques. | Demande d’autorisation | MR-005 |
| Traitements de données de santé à des fins de prévention, diagnostic ou soins | Utilisation de données de santé pour la gestion des dossiers patients, la prévention, le diagnostic, la prise en charge thérapeutique, etc. | Déclaration de conformité | MR-004 |
| Systèmes de vidéosurveillance | Installation et exploitation de systèmes de vidéosurveillance dans des lieux publics ou privés, à des fins de sécurité ou de surveillance. | Déclaration à la CNIL | AU-034 |
| Fichiers de paie et de gestion du personnel | Traitements de données relatifs à la gestion du personnel, incluant les fiches de paie, les dossiers des employés, la gestion des temps de travail, etc. | Déclaration de conformité | MR-006 |
| Traitements de données pour les services de télécommunication | Collecte et traitement de données personnelles dans le cadre de services de télécommunication (facturation, gestion des abonnés, etc.). | Déclaration de conformité | AU-007 |
| Traitements de données dans le secteur bancaire et financier | Utilisation de données personnelles pour la gestion des comptes, la prévention des fraudes, le scoring de crédit, etc. | Déclaration de conformité | AU-008 |
| Systèmes de géolocalisation des véhicules et des personnes | Utilisation de dispositifs de géolocalisation pour suivre les déplacements des véhicules ou des personnes (ex : flottes de véhicules, employés mobiles). | Déclaration de conformité | AU-038 |
| Traitements de données pour la gestion des alertes professionnelles | Mise en place de dispositifs de recueil et de gestion des signalements d’alerte (whistleblowing) au sein des entreprises. | Déclaration de conformité | AU-004 |
| Traitements de données de santé pour la surveillance épidémiologique | Collecte et analyse de données de santé à des fins de surveillance et de prévention épidémiologique (par exemple, suivi de la propagation d’une maladie). | Demande d’autorisation | MR-004 |
| Traitements de données sensibles | Collecte et utilisation de données sensibles, telles que les opinions politiques, les convictions religieuses, les orientations sexuelles, etc. | Demande d’autorisation | AU-011 |
| Traitements de données pour la recherche en sciences sociales | Utilisation de données personnelles dans le cadre de recherches en sciences sociales, incluant les enquêtes et les études qualitatives ou quantitatives. | Déclaration de conformité ou demande d’autorisation, selon la nature des données | MR-003, MR-004 |
| Traitements de données pour la gestion des clients et prospects | Collecte et utilisation de données personnelles pour la gestion des relations clients, le marketing, les campagnes publicitaires, etc. | Déclaration de conformité | AU-009 |
- MR-001 : Méthodologie de Référence pour les traitements de données de santé à des fins de recherche médicale. Elle concerne les traitements de données réalisés dans le cadre de recherches impliquant la personne humaine.
- MR-002 : Méthodologie de Référence pour les traitements de données de santé réalisés à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé, en dehors des recherches impliquant la personne humaine.
- MR-003 : Méthodologie de Référence pour les traitements de données de santé réalisés à des fins de recherche dans le cadre des études rétrospectives.
- MR-004 : Méthodologie de Référence pour les traitements de données de santé réalisés à des fins d’évaluation des soins et de surveillance épidémiologique.
- MR-005 : Méthodologie de Référence pour les traitements de données de santé à des fins de recherche en génétique humaine.
- AU-004 : Autorisation unique pour les traitements automatisés de données personnelles mis en œuvre dans le cadre des dispositifs d’alerte professionnelle.
- AU-031 : Autorisation unique pour les traitements de données personnelles mis en œuvre à des fins de recherche dans le domaine des sciences humaines et sociales.
- AU-038 : Autorisation unique pour les traitements de données personnelles à des fins de géolocalisation des véhicules utilisés par les employés.
- AU-050 : Autorisation unique pour les traitements de données biométriques à des fins de contrôle d’accès.
Types de modifications et démarches à suivre
Les modifications apportées aux traitements de données peuvent être substantielles ou non substantielles. La distinction entre ces deux catégories est cruciale car elle détermine si de nouvelles démarches auprès de la CNIL sont nécessaires.
Modifications substantielles
Les modifications substantielles concernent les aspects principaux du traitement de données. Par exemple :
- L’ajout de nouvelles finalités pour le traitement.
- L’intégration de nouvelles catégories de données sensibles.
- L’ajout de nouvelles sources de données.
Dans ces cas, une nouvelle démarche auprès de la CNIL est obligatoire. Par exemple, si une entreprise décide d’ajouter la collecte de données biométriques à un traitement initialement prévu pour des données administratives, cette modification substantielle nécessiterait une nouvelle autorisation de la CNIL.
Modifications non substantielles
Les modifications non substantielles n’exigent pas de nouvelles démarches auprès de la CNIL mais doivent être documentées en interne. Cela inclut des changements mineurs qui n’affectent pas significativement les droits des personnes ou les finalités principales du traitement. Par exemple :
- L’ajout ou le retrait de quelques centres de données.
- Des ajustements mineurs dans les critères d’inclusion des participants à une étude.
Démarches spécifiques en cas de modifications substantielles
1. Documentation interne : Toute modification, même non substantielle, doit être documentée. Cette documentation inclut la mise à jour du registre des traitements et de l’analyse d’impact relative à la protection des données (AIPD).
2. Information des personnes concernées : En cas de modification substantielle, les personnes concernées doivent être informées de manière transparente, surtout si les modifications influencent les informations initialement fournies.
3. Autorisation de la CNIL : Pour les modifications qui ne sont pas conformes au référentiel initialement utilisé, une demande de modification d’autorisation doit être soumise à la CNIL. Par exemple, si un traitement de données de santé initialement autorisé pour des recherches cliniques veut inclure des données génétiques, une nouvelle autorisation serait nécessaire.
4. Consultation des comités d’éthique : Pour certains traitements, notamment ceux relatifs à la recherche en santé, l’avis préalable d’un comité d’éthique compétent est indispensable.
Exemples pratiques
- Ajout de nouvelles finalités : Une clinique souhaitant utiliser des données patient pour une nouvelle étude devra obtenir une autorisation modifiée si cette nouvelle finalité n’était pas incluse dans l’autorisation initiale.
Lorsque la finalité d’un traitement de données personnelles change, les démarches à effectuer peuvent varier en fonction de la nature de cette modification. Voici un guide détaillé des démarches qu’une clinique doit suivre pour obtenir une autorisation modifiée si elle souhaite utiliser des données patient pour une nouvelle étude qui n’était pas incluse dans l’autorisation initiale.
1. Identification de la nature de la modification
Analyse de la nouvelle finalité :
-
-
-
- Déterminez si la nouvelle étude représente une finalité substantielle différente de celle initialement prévue. Par exemple, si la finalité initiale était le suivi des soins et la nouvelle finalité est une recherche épidémiologique, cela constitue une modification substantielle.
-
-
2. Documentation interne
Mise à jour du registre des traitements :
-
-
-
- Inscrivez la nouvelle finalité et les détails de l’étude dans le registre des traitements de données personnelles de la clinique.
-
-
Analyse d’impact relative à la protection des données (AIPD) :
-
-
-
- Si nécessaire, réalisez ou mettez à jour l’AIPD pour évaluer les risques associés à la nouvelle finalité de traitement.
-
-
3. Consultation des référentiels de la CNIL
Vérification de conformité au référentiel :
-
-
-
- Consultez les méthodologies de référence (MR) pertinentes pour vérifier si la nouvelle étude peut être couverte par un référentiel existant, tel que MR-001 (recherche biomédicale) ou MR-003 (études rétrospectives).
-
-
4. Demande d’autorisation modifiée auprès de la CNIL
Préparation de la demande :
-
-
-
- Préparez un dossier de demande d’autorisation modifiée incluant :
- La description de la nouvelle finalité.
- Les mesures de sécurité et de confidentialité mises en place.
- Les informations actualisées sur le traitement des données (type de données collectées, durée de conservation, etc.).
- Préparez un dossier de demande d’autorisation modifiée incluant :
-
-
Soumission de la demande :
5. Avis préalable du comité d’éthique compétent
Consultation du comité d’éthique :
-
-
-
- Avant de soumettre votre demande à la CNIL, obtenez l’avis préalable du comité d’éthique compétent, tel que le Comité de Protection des Personnes (CPP) pour les recherches impliquant la personne humaine, ou un autre comité selon la nature de l’étude.
-
-
6. Information des personnes concernées
Mise à jour de la note d’information :
-
-
-
- Informez les patients de la nouvelle finalité du traitement des données. Cela peut nécessiter la mise à jour de la note d’information fournie initialement et l’obtention d’un nouveau consentement éclairé des participants.
-
-
7. Suivi et documentation
Documentation des démarches :
-
-
-
- Conservez une trace de toutes les démarches effectuées et des autorisations obtenues. Mettez à jour régulièrement le registre des traitements et l’AIPD pour refléter les modifications.
-
-
Exemple pratique
Une clinique initialement autorisée à utiliser des données patient pour le suivi des soins souhaite maintenant les utiliser pour une recherche épidémiologique sur les maladies chroniques :
-
-
-
- Analyse de la nouvelle finalité : Cette recherche est une finalité substantielle différente.
- Documentation interne : Mise à jour du registre des traitements et de l’AIPD.
- Consultation des référentiels : Vérification que la nouvelle étude peut être couverte par MR-001.
- Demande d’autorisation modifiée : Préparation et soumission du dossier à la CNIL.
- Avis du comité d’éthique : Obtention de l’avis du CPP.
- Information des patients : Mise à jour de la note d’information et obtention de nouveaux consentements.
- Suivi : Conservation des documents et mise à jour du registre des traitements.
-
-
- Changement de responsable de traitement : Si une entreprise change de responsable du traitement des données, une nouvelle démarche auprès de la CNIL est nécessaire pour refléter ce changement.
- Augmentation du nombre de participants : Une augmentation significative du nombre de participants à une étude (par exemple, une hausse de plus de 50%) nécessiterait une nouvelle autorisation, alors qu’une augmentation moindre pourrait simplement être documentée en interne.
Conclusion
Assurer la gestion des modifications des traitements de données de santé exige une compréhension approfondie des obligations légales et des formalités préalables. Les responsables de traitement doivent être attentifs pour identifier si les changements sont substantiels et, le cas échéant, entreprendre les démarches nécessaires auprès de la CNIL. Une documentation rigoureuse et une communication transparente avec les personnes concernées sont essentielles pour garantir la conformité continue et le respect des droits des individus.
DPO PARTAGE, leader de la conformité RGPD dans le domaine médical et de la recherche, est votre partenaire idéal pour naviguer ces complexités. Pour plus de renseignements, contactez DPO PARTAGE. Travailler avec des experts qui comprennent les spécificités du secteur médical est toujours plus pratique et bénéfique.
