rgpd –cnil -cerees · le nouveau règlement européen sur la protection des données personnelles...

RGPD – CNIL - CEREES

Caroline QUINTIN

RGPD : Règlement Général sur la Protection

des Données

Caroline QUINTIN

RGPD : notions

� Le nouveau règlement européen sur la protection des données personnelles est entré en application le 25 mai 2018.

� La réforme de la protection des données poursuit trois objectifs : � Renforcer les droits des personnes, notamment par la création d’un droit

à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;

� Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;

� Crédibiliser la régulation = coopération renforcée entre les autorités de protection des données

� Adoptent des décisions communes lorsque les traitements de données seront transnationaux guichet unique / autorité « chef de file »

� sanctions administratives encadrées, graduées et renforcées : avertissement ; Mise en demeure l’entreprise ; Limitation temporairement ou définitivement un traitement ; suspension des flux de données ; ordre de satisfaire aux demandes d'exercice des droits des personnes ; ordre de rectification, de limitation ou d'effacement des données.

Exigences principales du RGPD :

� Le guichet unique pour harmoniser au niveau européen les décisions des autorités de protection des données concernant les traitements transfrontaliers. Ces autorités doivent désormais se coordonner sur l’ensemble de ces décisions.

� le mécanisme de « guichet unique », qui repose sur les trois principes suivants :

� Un mécanisme ouvert aux seules entreprises établies en UE� Un interlocuteur unique pour les responsables de ces traitements : =

l’autorité « chef de file » = l’autorité du pays où se trouve l’établissement principal de l’entreprise.

� Une seule décision valable dans toute l’UE : décision de l’autorité chef de file prise en concertation avec l’ensemble des autorités de protection des données concernées.

� Le guichet unique facilite ainsi les démarches des entreprises concernées, sans pour autant impacter les personnes concernées par ces traitements : Les personnes résidant en France peuvent ainsi continuer à adresser leurs plaintes à la CNIL, même si celle-ci n’est pas l’autorité chef de file à l’égard de ce traitement.

RG

PD

: d

ocu

me

nte

r e

n

inte

rne

Renseigner le registre des traitements

Mener une analyse d’impact pour les traitements le justifiant

Vérifier l’effectivité de l’information délivrée aux personnes concernées et l’effectivité de

leurs droits

Formaliser le rôle et les responsabilités des acteurs : responsables, co-responsables et

sous traitants

Renseigner les actions menées pour garantir la sécurité des données

Désigner un délégué à la protection des données (DPO)

RGPD : Registre des traitements

� Registre qui recense l’ensemble des traitements mis en

œuvre dans la structure

� Préciser :

� Les parties prenantes (représentant, sous traitants, co-

responsables…) qui interviennent dans le traitement des

données

� Les catégories des données traitées

� à quoi servent ces données (ce que vous en faites), qui accède aux données et à qui elles sont communiquées,

� combien de temps vous les conservez,

� comment elles sont sécurisées.

RGPD : Registre des traitements : exemple

� Liste des traitements

Identification du traitement Acteurs Finalité du traitement

Transferts hors UE ?

Données sensibles

? Nom / sigle

N° / REF

Date de création

Dernière MAJ

Responsable du traitement

Finalité principale

Oui /non Oui/non

RGPD : Registre / fiche des traitements

pour chaque activité de traitement, la fiche de registre doit comporter au moins les éléments suivants :

� le cas échéant, le nom et les coordonnées du responsable conjoint du traitement mis en œuvre

� les finalités du traitement, l’objectif en vue duquel vous avez collecté ces données

� les catégories de personnes concernées (patients majeurs, mineurs, témoins, volontaires sains, prestataires, employé, etc.)

� les catégories de données personnelles (exemples : identité, situation familiale, données bancaires, données de connexion, donnés de localisation, etc.)

RGPD : Registre / fiche des traitements

� les catégories de destinataires auxquels les données àcaractère personnel ont été ou seront communiquées, ycompris les sous-traitants auxquels vous recourez :destinataires internes (Médecins coordonnateurs, URC, ..),organismes externes (partenaires), sous traitants (prestatairede saisie...)

� les transferts de données à caractère personnel vers un paystiers ou à une organisation internationale et, dans certains castrès particuliers, les garanties prévues pour ces transferts ;

� les délais prévus pour l'effacement des différentes catégoriesde données, c’est-à-dire la durée de conservation, ou à défautles critères permettant de la déterminer

� dans la mesure du possible, une description générale desmesures de sécurité techniques et organisationnelles quevous mettez en œuvre

description générale des mesures de sécurité

Le niveau de sécurité doit être adapté aux risques soulevés par le traitement.

☐ Contrôle d'accès des utilisateurs

☐ Mesures de traçabilité : Précisez la nature des traces (exemple : journalisation des accès des utilisateurs), les données enregistrées (exemple : identifiant, date et heure de connexion, etc.) et leur durée de conservation :

☐ Mesures de protection des logiciels (antivirus, mises à jour et correctifs de sécurité, tests, etc.)

☐ Sauvegarde des données

☐ Chiffrement des données : Décrivez les mesures (exemple : site accessible en https, utilisation de TLS, etc.) :

☐ Contrôle des sous-traitants

RGPD : Fiche / Registre des traitements : exempleDescription du traitement Nom / sigleN° / REFDate de créationMise à jour

Acteurs (nom, adresse, tél)

Responsable du traitementDélégué à la protection des donnéesReprésentantResponsable(s) conjoint(s)

Finalité(s) du traitement effectuéFinalité principaleSous-finalité 1Sous-finalité 2Sous-finalité 3Sous-finalité 4Sous-finalité 5

RGPD : Fiche / Registre des traitements : exemple

Mesures de sécurité Mesures de sécurité techniquesMesures de sécurité organisationnelles

Catégories de données personnelles concernées (description et délai d’effacement)

Etat civil, identité, données d'identification, images…

Vie personnelle (habitudes de vie, situation familiale, etc.)

Informations d'ordre économique et financier (revenus, situation financière, situation fiscale, etc.)

Données de connexion (adress IP, logs, etc.)

Données de localisation (déplacements, données GPS, GSM, etc.)


Données sensibles (description et délai d’effacement)

Données révélant l'origine raciale ou ethnique

Données révélant les opinions politiques

Données révélant les convictions religieuses ou philosophiquesDonnées révélant l'appartenance syndicale

Données génétiques

Données biométriques aux fins d'identifier une personne physique de manière uniqueDonnées concernant la santé

Données concernant la vie sexuelle ou l'orientation sexuelle

Données relatives à des condamnations pénales ou infractionsNuméro d'identification national unique (NIR pour la France)


Catégories de personnes concernées

Description

Catégorie de personnes 1

Catégorie de personnes 2

Destinataires Description Type de destinataire

Destinataire 1

Destinataire 2

Destinataire 3

Destinataire 4

Transferts hors UE Destinataire Pays Type de Garanties

Lien vers le doc

Organisme destinataire 1




RG

PD

: d

ocu

me

nte

r e

n

inte

rne




leurs droits


sous traitants



RGPD : Analyse d’impact (AIPD / PIA)

analyse d’impact doit être menée pour les traitements considérés

comme présentant un risque élevé pour les droits et libertés des

personnes concernées (art.35)

= AIPD : Data Protection Impact Assessment

= PIA : Privacy Impact Assessment


L'AIPD se décompose en trois parties :

� Une description détaillée du traitement mis en œuvre, comprenant les

aspects techniques et opérationnels

� L’évaluation, de nature plus juridique, de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux (finalité, données et durées de conservation,

information et droits des personnes, etc.) non négociables, fixés par la

loi et devant être respectés, quels que soient les risques

� L’étude, de nature plus technique, des risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que leurs impacts potentiels sur la vie privée, qui permet de déterminer les

mesures techniques et organisationnelles nécessaires pour protéger les

données.


Quand ?

� Lorsqu’un traitement de données de santé est susceptible

d’engendrer un « risque élevé » pour les droits et libertés des

personnes, le responsable de traitement doit effectuer, avant samise en œuvre, une analyse d’impact.

� La CNIL considère, de manière générale, qu’un traitement qui

rencontre au moins deux des critères doit faire l’objet d’une analyse

d’impact.

� Dérogation possible en expliquant et documentant la décision de

ne pas procéder à une analyse d’impact en demandant l’avis du

délégué à la protection des données (DPO).


Quels critères ?

� Le traitement comporte-t-il une évaluation relative à la personne concernée (ex : évaluation de l’état de santé) ?

� Y-a-t-il une décision automatique avec effet juridique ou affectant la personne de

manière significative ?

� Une surveillance systématique est-elle mise en place (ex : dispositif de

géolocalisation utilisé pour surveiller des personnes âgées ou des nourrissons) ?

� Le traitement comporte-t-il des données sensibles (ex : données de santé) ?

� Est-ce un traitement à grande échelle ?

� Y-a-t-il un croisement de données ?

� Le traitement concerne-t-il des personnes vulnérables (ex : patients, personnes

âgées, etc.) ?

� S’agit-il d’un usage innovant ?

� Le traitement peut-il entraver l’exercice d’un droit ou l’exécution d’un contrat (ex :

droit aux prestations sociales) ?


Exception à l’obligation de réaliser une analyse d’impact?

� Une analyse d’impact n’est pas non plus requise lorsque la nature, la

portée, le contexte et les finalités des traitements envisagés sont très

similaires à un traitement pour lequel une analyse d’impact a déjà

été menée par le responsable de traitement ou par un tiers

(autorités ou organismes publics, regroupements de responsables de

traitement, etc.). Dans ce cas, les résultats de l’analyse d’impact déjà

menée peuvent être réutilisés. Toutefois, dans le cas d’un analyse

d’impact effectuée par un tiers, le responsable de traitement doit

transposer, pour tout ou partie, les résultats de l’analyse d’impact à

sa situation particulière.


Exemple de PIA : Modèle d’analyse d’impact

- Présentation des traitement considérés

- Description des données, destinataires et durées de conservation

- Description des processus et supports

- Evaluation des mesures garantissant la proportionnalité et la

nécessite du traitement : détermination et description des mesures :

1. pour l’information des personnes, Pour le recueil du

consentement

2. Pour les droits d’accès et à la portabilité, Pour les droits de

rectification et d’effacement, Pour les droits de limitation du

traitement et d’opposition, Pour la sous traitance


Exemple de PIA (suite)

3. Pour le transfert en dehors de l’UE

4. Contribuant à traiter les risques liés à la sécurité des données

: chiffrement, anonymisation, cloisonnement des données,

contrôle des accès logiques, traçabilité, contrôle d’intégrité,

archivage, sécurité des documents papier

5. Générales de sécurité : sécurité d’exploitation, lutte contre

les logiciels malveillant, gestion des postes de travail, sécurité

des sites Web, sauvegardes, maintenance, sécurité des canaux

informatiques, surveillance, contrôle d’accès physique, sécurité

des matériels, éloignement des sources de risques, protection

contre les sources de risques non humains,

6. Organisationnelles

RG

PD

: d

ocu

me

nte

r e

n

inte

rne



Vérifier l’effectivité de l’information délivrée aux personnes concernées

et l’effectivité de leurs droits


sous traitants




� Encadrer l’information des personnes concernées (patients)

et s’assurer de l’effectivité de leurs droits (droit d’accès, de

rectification, d’opposition…)

� Le consentement était déjà inscrit dans la loi Informatique et

Libertés. Il est renforcé par le RGPD et les conditions de son recueil

sont précisées.

� Il assure aux personnes concernées un contrôle fort sur leurs

données, en leur permettant :

� de comprendre le traitement qui sera fait de leurs données ;

� de choisir sans contrainte d’accepter ou non ce traitement ;

� de changer d’avis librement.

� Le recueil du consentement des personnes autorise le traitement de

leurs données par les responsables du traitement.


� Le consentement doit être libre, spécifique, éclairé et univoque (art. 4 et 7)

� Libre : le consentement ne doit pas être contraint ni influencé. La

personne doit se voir offrir un choix réel, sans avoir à subir de

conséquences négatives en cas de refus.

� Spécifique : un consentement doit correspondre à un seul traitement,

pour une finalité déterminée. Si traitement comporte plusieurs finalités,

les personnes doivent pouvoir consentir indépendamment pour l’une ou

l’autre de ces finalités.

� Eclairé : pour qu’il soit valide, le consentement doit être accompagné d’un

certain nombre d’informations communiquées à la personne avant qu’elle

ne consente

� Univoque : le consentement doit être donné par une déclaration ou tout

autre acte positif clairs. Aucune ambiguïté quant à l’expression du

consentement ne peut demeurer. donc pas de cases pré-cochées ou

pré-activées ; pas de consentements « groupés », pas d’inaction (par ex,

l’absence de réponse à un courriel sollicitant le consentement)

l’information des personnes concernées

� Qui informe?

� ce sont les acteurs opérationnels (professionnels de santé

notamment) agissant au nom et pour le compte du

responsable de traitement (établissement de santé,

service de soins, etc.) qui délivrent l’information.


� Quelles sont les caractéristiques de l’information ?

� Information concise, compréhensible par le « grand public », accessible

� Coordonnées du responsable du traitement

� Les finalités du traitement

� Les destinataires (et sous traitants) ou les catégories de destinataires des données à caractère personnel

� Transfert de données vers un pays tiers ou une organisation internationale

� La durée de conservation des données

� Le droit d’accès, de rectification, ou d’effacement des données


� Quelles sont les caractéristiques de l’information ? 2

� Le droit de s’opposer au traitement et le droit à la portabilité des données

� Il s’agit de rappeler que la personne concernée par un traitement de données de santé peut s’opposer à la collecte d’informations, sauf si le responsable de traitement démontre qu’il existe des motifs légitimes et impérieux qui prévalent sur les intérêts, les droits et les libertés de la personne.

� Il faut également mentionner que la personne concernée peut également récupérer des données fournies à un responsable de traitement pour les transmettre à un autre responsable de traitement (droit à la portabilité).



� Le droit de retirer son consentement à tout moment pourles traitements fondés sur le recueil du consentement

� La droit d’introduire une réclamation auprès d’une autoritéde contrôle

� L’existence d’une prise de de décision automatisée, ycompris un profilage, et les informations utiles pourappréhender la logique sous-jacente, ainsi quel'importance et les conséquences prévues de ce traitementpour la personne concernée

� Il s’agit de dire si le traitement de données de santé comporte unalgorithme et d’expliquer quel est le raisonnement retenu pour lefonctionnement de cet algorithme.



� Si le responsable de traitement souhaite effectuer un traitementultérieur des données à caractère personnel pour une finalitéautre que celle pour laquelle les données à caractère personnelont été collectées, information au préalable de la personneconcernée quant à cette autre finalité et toute autre informationpertinente permettant de garantir un traitement équitable ettransparent.

� NB : à titre d’exemple, il s’agira d’indiquer, si un médecin souhaiteutiliser ultérieurement à des fins de recherche des données de santéqu’il aurait collectées à l’occasion de la prise en charge médicale dupatient, que les données pourront être réutilisées dans le cadre d’unerecherche. A noter que, pour la recherche, cette information devra êtreindividuelle, préalable à la mise en œuvre de la recherche et spécifiqueà chaque projet, conformément aux dispositions de l’article 57 de la loiInformatique et Libertés.


L’information délivrée à la personne concernée sous la forme d’un affichage est-elle suffisante ?� A l’exception des situations pour lesquelles il existe une obligation

légale d’informer la personne concernée individuellement (exemple de la recherche médicale), l’information de la personne peut être réalisée par voie d’affichage.

� Dans le cas des établissements de santé, l’information peut également se faire dans le livret d’accueil remis au patient à l’occasion de son hospitalisation. L’affichage doit être bien visible et comporter toutes les mentions obligatoires précisées ci-dessus. Une information individuelle est tout de même à privilégier.

Si la personne concernée a déjà été informée, doit-on l’informer de nouveau ?� Oui, dans certains cas de figure : modification substantielle du

traitement, transmission des données de santé du responsable de traitement à un destinataire, utilisation des données de santé par le responsable de traitement pour une autre finalité, etc.


� Ex. Patients DCD et souhait de recueillir les données sans

obtention d’accord de son vivant

�

� Ex. Patients ne sont plus en cours de suivi par le centre :

absence de coordonnées pour contacter le patient

�

� Ex. Accord obtenu pour la réutilisation de ses données

mais le projet de recherche prévoit une transmission à un

partenaire privé, non prévu dans l’information initiale

�

RG

PD

: d

ocu

me

nte

r e

n

inte

rne




leurs droits


sous traitants



Sécurité des données

Concrètement, comment faire ? Quelles questions se poser?•Quels pourraient être les impacts sur les personnes concernées en cas :

d’accès illégitime à des données ? de modification non désirée de

données ? de disparition de données ?

•Qui (ou quoi) pourrait être à l’origine de telles violations (sources de

risques) ?

•Comment chacune de ces violations pourrait-elle arriver ?

•Quelles mesures (de prévention, de protection, de détection, de

réaction…) devrait-on prévoir pour réduire ces risques à un niveau

acceptable ?

•Serait-ce grave (compte tenu des mesures existantes ou prévues) ?

•Serait-ce vraisemblable (compte tenu des mesures existantes ou

prévues) ?

Sécurité des données : exemple de tableau

RisquesImpacts sur les

personnes

Principales sources de

risques

Principales menaces

Mesures existantes ou prévues

GravitéVraisembla

nce

Accès illégitime

à des données

Modification

non désirée de

données

Disparition de

données

Les méthodologies de référence :

MR001, MR003 et MR004

Caroline QUINTIN

Délibéré le 3 mai 2018

MR001 MR003 MR004

Sont inclus dans la méthodologie

- Les recherches

interventionnelles

- les recherches RIRCM

- les recherches avec

réalisation d'un examen des

caractéristiques génétiques

héréditaires ou acquises

- les anciennes RBM

- les recherches relatives aux

essais cliniques de

médicaments à usage

humain

- Les recherches non

interventionnelles

- Les RIRCM avec info

collective

- les anciennes recherches

en soins courants

- les recherches relatives

aux essais cliniques de

médicaments à usage

humain sous certaines

conditions

- Les recherches n’impliquant

pas la personne humaine

(hors loi jardé)

Sont exclus, lesrecherches

- nécessitant un traitement des données génétiques dont l'objet, principal ou secondaire, est

l'identification ou la ré-identification des personnes par leurs caractéristiques génétiques

- nécessitant un traitement des données depuis des bases médico-administratives (SNDS par ex)

- pour lesquelles il est envisagé de déroger à l’obligation d’information individuelle du participant (art

14-RGPD), ou des titulaires de l’autorité parentale pour les personnes mineures participantes

- pour lesquelles l'analyse de l'impact indique que le traitement présenterait un risque résiduel élevé

pour les droits et libertés des participants ;

- nécessitant le traitement du numéro d'inscription au répertoire national d'identification des

personnes physiques (NIR).

Sont exclus, particularité :

- les recherches nécessitant un

recueil de consentement écrit

et/ou exprès

- les recherches nécessitant un

appariement par le RT entre les

données déjà existantes d'un

même individu issues de

plusieurs centres participants ;

- les recherches impliquant la

personne humaine (= loi jardé)

Identification des personnes

N° ordre ou code alphanumérique (aucune donnée directement identifiante)

Table de correspondance Oui, uniquement dans le centre (+ sous-traitant**) et conservée de façon sécurisée

Provenance des données à caractère personnel

- des personnes elles-mêmes ou de leurs représentants légaux ;

- des professionnels intervenant dans la recherche,

- des bases de données et coll. Bio légalement constituées et autorisées

Collecte des données Collecte et traitement des données strictement nécessaires et pertinentes au regard des

objectifs de la recherche

Catégorie des données à caractère personnel

- Age ou DDN (mois et année)

- Lieu de naissance

- Pays et département de résidence

- Sexe

- Données administratives identifiantes*

- Initiales ou 2 1eres lettres nom et initiale prénom

- N° inclusion et/ou N° centre

- Données de santé

- Origine ethnique

- Photo, vidéo, enregistrements vocaux ne permettant

pas l’identification des personnes

- Données génétiques ne pouvant pas être utilisées à des

fins d’identification ou de ré-identification

- Situation familiale

- Niveau de formation

- Catégorie socio-

professionnelle

- Vie professionnelle

- Régime d’affiliation à la

sécurité sociale

- Consommation tabac, alcool,

drogue

- Habitudes de vie et

comportement

- Mode de vie

- Vie sexuelle

- Statut vital

- Echelle et qualité de vie

- Remboursement des frais

engagés

Catégorie des données à caractère personnel, particularité :

+ participation à d’autres recherches

+ déplacements

+ montants annuels des indemnités perçues

Données administratives identifiantes

- nom, prénom, coordonnées postales, mail, et tél, coordonnées bancaires

- Usage accepté : rbst de frais de transport, le suivi des personnes (SMS, questionnaire en

ligne, application connectée…)

- Pour les sous-traitant : ils ne doivent pas avoir accès aux données de santé

- L’identité du sous-traitant est communiquée aux participants ainsi que les données

transmises à celui-ci

- Durée de conservation des données par le sous-traitant ne doit pas excédée la durée

nécessaire à la réalisation de la mission

- table de correspondance possible établie par le sous-traitant pour la réalisation de ses

missions **

Données administratives identifiantes, particularité :

Usage accepté : + livraison ou récupération à domicile des

produits de santé et/ou matériels et /ou échantillons

Destinataires des données indirectement identifiantes

- RT

- Sous-traitant (si applicable)

- Responsable scientifique

- Professionnels intervenant et personnes agissant sous sa responsabilité

- Représentant du RT

- Personnes en charge de la collecte, du contrôle qualité, du traitement et de l’analyse des

données

- Personnes en charge des aspects réglementaires, Personnel d’autorités sanitaires et

publiques, …

Destinataires des données directement identifiantes

- Professionnels intervenant dans la recherche et personnes agissant sous sa responsabilité

- Personnes en charge de la collecte, du contrôle qualité lors des visites sur site dans le

respect des conditions suivantes :

- Sous la surveillance d’un professionnel intervenant dans la recherche ;

- Mandatée et habilitée par le RT ;

- Participant informé et ne s’oppose pas à la réalisation du contrôle

- Le DPO uniquement si la personne prend volontairement contact avec lui

- Les sous-traitants (voir données administratives)

Destinataires des données directement identifiantes, particularité :

+ membres du comité de

surveillance indépendants

Publications des résultats Interdiction de publier des résultats permettant identification direct ou indirecte des personnes

concernées

Information des personnes

information individuelle et préalable au traitement des données avec document à l’appui

Exception à l’information individuelle préalable :

- Si recueil oral avec remise

préalablement aux

personnes concernées par

la recherche un document

contenant ces informations.

- RIRCM avec info collective

et mentions spécifiques

pour que les personnes

concernées puissent

exercer leur droit. Les

modalités et le contenu de

l'information sont évalués

par le comité de protection

des personnes.

Des données et/ou des échantillons biologiques

recueillis non spécifiquement pour la recherche

peuvent faire l'objet d'une réutilisation sans qu'il soit

procédé à une nouvelle information individuelle des

personnes concernées :

- lorsque la personne concernée dispose déjà des

informations prévues aux articles 13 ou 14 du RGPD ;

- ou lorsque l'information délivrée lors de la collecte

des données et / ou des échantillons biologiques

prévoit la possibilité de réutiliser les données et/ou les

échantillons, et renvoie à un dispositif spécifique

d'information auquel les personnes concernées

pourront se reporter préalablement à la mise en

œuvre de chaque nouveau traitement de données.

Traitement des données de personnes décédées

NA NA sous réserve que le professionnel participant à la

recherche ait connaissance du statut vital de la

personne concernée et qu'elle ne s'y soit pas opposé

de son vivant par écrit, les données à caractère

personnel qui la concernent peuvent faire l'objet d'un

traitement à des fins de recherche.

Dérogation à l’info individuelle et accord

Non applicable

Modalités d’exercice des droits des personnes

RT ou professionnel de santé doit répondre dans un délai de 1 mois après réception de la demande

(droit d’accès, de rectification, d’opposition au traitement, droit d’effacement, droit à la limitation du

traitement..)

Conservation jusqu’à la mise sur le marché du produit étudié (MR001) ou dans un délai max de 2 ans après la

dernière publication des résultats de la recherche ou à la signature du rapport final (si pas de publicat°)

Archivage Durée conforme à la réglementation en vigueur ou 20 max (MR004)

Traitement des données des professionnels intervenant dans la recherche

identité : nom, prénom(s), sexe, adresse, coordonnées professionnelles postales, électroniques

et téléphoniques, coordonnées bancaires ;

- formation - diplôme(s) ;

- vie professionnelle (notamment cursus professionnel, mode et type d'exercice, éléments

nécessaires à l'évaluation des connaissances dont ils disposent pour réaliser la recherche) ;

- le cas échéant, numéro d'identification dans le Répertoire partagé des professionnels de santé

;

- montant des indemnités et rémunérations perçues ;

- collaboration à d'autres études ;

- historique des accès et des connexions aux données médicales des personnes participant à

une recherche.

Information, modalités d’exercice des droits, conservation et archivages des données des professionnels

- Information dans les conventions établies et signées avec le centre

- Droit d’accès, de rectification et effacement, limitation, portabilité et opposition

s’exerce à tout moment

- Conservation max 15 ans après la fin de la dernière recherche

- Archivage conforme à la réglementation

Mise en œuvre et sécurité du traitement : Analyse d’impact

- réalisation d'un schéma fonctionnel avec les flux de données personnelles et leurs

supports ;

- l'identification des mesures de sécurité mises en œuvre ;

- l'identification des violations potentielles des données, en précisant la gravité des

impacts sur les personnes concernées et la vraisemblance des menaces rendant

possibles ces violations.

Mise en œuvre et sécurité du traitement :

-les mesures de sécurisation physique des matériels et des locaux ainsi que les dispositions

prises pour la sauvegarde des fichiers ;

- les modalités d'accès aux données, en particulier la gestion des habilitations, les mesures

d'identification et d'authentification, les procédures ;

- les mesures de traçabilité des accès aux informations médicales ainsi que l'historique des

connexions ;

- les mesures de sécurité devant être mises en œuvre pour les transmissions de données

Mesures de sécurité à mettre en place

-saisie des données possible : e-CRF, base ou CRF papier. lors de la saisie, les données sont

identifiées par un numéro d'ordre ou un code alphanumérique

- données sont saisies soit au fur et à mesure de l'avancement de la recherche, soit

globalement lorsque la recherche est terminée ;

- la saisie peut également être réalisée par les professionnels de santé, les laboratoires

d'analyses de biologie médicale ou les autres professionnels intervenant dans la recherche et

ayant à traiter des données dans le cadre des missions qui leur sont confiées par RT

- les données d'une recherche ne doivent pas être saisies, même temporairement, en dehors

d'outils faisant partie du traitement ;

- dans le cas de la saisie directe des données par les professionnels intervenant dans la

recherche ou chez un sous-traitant, l'outil de saisie distante doit être sécurisé en particulier par

l'authentification des utilisateurs et le chiffrement des flux de données ;

- dans le cas de l'utilisation de cahiers d'observation papier, ceux-ci doivent être remis par tout

moyen permettant d'en garantir la sécurité et la confidentialité et d'en accuser réception par

les personnes habilitées pour la saisie des données ;

- dans le cas de cahiers d'observation numériques installés sur des dispositifs nomades

(tablettes, etc.), les données du traitement doivent être chiffrées dans l'appareil et être

protégées par une authentification spécifique de l'utilisateur. Elles doivent pouvoir être

transférées uniquement vers le traitement, à travers une liaison sécurisée par authentification

et chiffrement des flux ;

- tous les échanges électroniques de messages comprenant des données à caractère personnel

des personnes concernées par la recherche doivent s'effectuer de manière sécurisée (par

exemple : envoi d'un fichier chiffré ou protégé par un mot de passe, messagerie sécurisée,

plate-forme dédiée appliquant des droits d'accès spécifiques, etc.) ;

- les outils d'exploitation des données recueillies doivent tenir compte du risque de ré

identification des personnes en limitant les possibilités de recherches ciblées et les listes de

résultats détaillées.

Le traitement automatisé une fois achevé, les données sont récupérées au format défini par le

service en charge du traitement des données de la recherche et sont stockées temporairement

- le temps de préparer notamment l'archivage - sur un répertoire dont l'accès est

techniquement restreint aux personnes dûment habilitées et authentifiées

Transfert des données hors de l’UE

Le transfert s'effectue à destination d'un pays ou une organisation internationale reconnus par la Commission

européenne comme assurant un niveau de protection adéquat, conformément à l'article 45 du RGPD (décision

d'adéquation) ;

- le transfert s'effectue moyennant des garanties appropriées, listées à l'article 46, paragraphe 2 du RGPD

(notamment : clauses contractuelles types approuvées par la commission européenne, règles d'entreprise

contraignantes, code de conduite, mécanisme de certification) ;

- en l'absence d'une décision d'adéquation ou de garanties appropriées, le transfert peut être fondé sur l'une

des exceptions prévues à l'article 49 du RGPD lorsqu'un tel transfert n'est pas répétitif, massif ou structuré.

Le responsable de traitement doit avoir préalablement informé les personnes concernées du transfert de leurs

données à caractère personnel vers des pays tiers à l'Union européenne, de l'existence ou de l'absence d'une

décision d'adéquation ou de garantie appropriée et enfin des moyens d'en obtenir une copie conformément à

l'article 13, paragraphe 1, point f du règlement général sur la protection des données.

Contrat avec le sous-traitant : obligations

- ne traite les données que sur instruction documentée du RT et prend toutes les mesures de sécurité

requises ;

- ne sous-traite pas sans autorisation écrite du RT ;

- aide le RT à garantir le respect de ses diverses obligations (droits des personnes, sécurité du traitement,

notification de violation, analyses d'impact, etc.) ;

- met à disposition du RT toutes les informations nécessaires pour démontrer le respect de ses

obligations et pour permettre la réalisation d'audits ;

- informe immédiatement RT en cas d'instruction qui, selon lui, constitue une violation du RGPD ou de la

CNIL

En outre, le sous-traitant :

- désigne, le cas échéant, un DPO (art 37 du RGPD) ;

- tient un registre des catégories de traitements effectués pour le compte RT (art 30 du RGPD).

Pour tout projet commencé avec un nouveau sous-traitant (n'ayant pas la qualité de centre participant), un

audit est effectué. Il couvre notamment la vérification des plans qualité et sécurité du sous-traitant, la

validation des systèmes informatiques avec l'existence d'un système de sauvegarde et de récupération des

données, et de mesures destinées à garantir leur confidentialité et leur intégrité.

Registre public Obligation de mention dans le répertoire d’accès public obligation de mention sur le

registre public de l’INDS

registre interne obligation de mention sur le registre interne du DPO

Spécificités des études « MR005 »

� Les études menées doivent présenter un caractère d’intérêt public et aucun appariement avec d’autres données à caractère personnel n’est autorisé.

� les MR-005 = pour les recherches impliquant une des composantes du SNDS : Études nécessitant l’accès aux données du PMSI et/ou des RPU par les établissements de santé et les fédérations hospitalières

le PMSI = Programme de médicalisation des systèmes d’information).

� MR-006, méthodologie pour les industriels

Spécificités des études « MR005 » : Qui?

Les Responsables de traitement concernés peuvent être :

� Les établissements de santé (publics ou privés, à but lucratif ou à but non lucratif);

� La Fédération hospitalière de France (FHF) ;

� La Fédération de l'hospitalisation privée (FHP) ;

� La Fédération des établissements hospitaliers et d'aide à la personne privés non lucratifs (FEHAP) ;

� La Fédération Unicancer ;

� La Fédération nationale des établissements d'hospitalisation à domicile (FNEHAD).

Spécificités des études « MR005 » : finalités ?

� Le traitement des données doit présenter un caractère

d’intérêt public.

� Les finalités couvertes sont

� la planification et la valorisation de l'offre de soins

� les études épidémiologiques

� les études médico-économiques.

� Obligation d’enregistrer chaque étude conforme à la MR 005

dans le répertoire public tenu par l’INDS, et fournir

� un protocole (incluant la justification d’intérêt public),

� un résumé de l’étude

� une déclaration des intérêts.

� les résultats obtenus devront être communiqués au SNDS.

Spécificités des études « MR005 » : données?

� Les catégories de données doivent exclusivement provenir de :

� des bases de données constituées par ATIH au titre du PMSI et des RPU.

� Ces données sont centralisées et mises à disposition sur la plateforme sécurisée de l’ATIH, en particulier :

� Les fichiers dans les champs de la médecine, la chirurgie, l’obstétrique et l’odontologie (MCO) ;

� Les fichiers concernant les soins de suite et de réadaptation (SSR) ;

� Le recueil d’Information Médicalisée en Psychiatrie (RIM-P) ;

� Les fichiers relatifs aux hospitalisations à domicile (HAD) ;

� Le fichier ANO qui permet de relier les données PMSI d’un même patient.

� les données des résumés de passage aux urgences (RPU),

Remarques :

profondeur historique maximale est de neuf ans + l’année en cours.

La zone géographique +profondeur historique doivent être justifiées dans le protocole.

Spécificités des études « MR005 » : destinataire?

� Destinataires des données

� Mise à disposition des données de l’ATIH uniquement sur

une plateforme sécurisée.

� Aucune exportation de données à caractère personnel ne peut

être réalisée.

� Seul le personnel habilité par le responsable de traitement peut accéder aux données.

Spécificités des études « MR005 » : information ?

Information des personnes et respect des droits « informatique et libertés »

� La MR-005 n’impose pas d’information individuelle des

personnes concernées.

� Mais indication par le RT sur un site internet de la

réalisation des projets à partir des données du PMSI avec

rappel des droits du patient

� Les droits d’accès, de rectification et d’opposition

s’exercent auprès du directeur de la CPAM auquel le

patient est rattaché.

Spécificités des études « MR005 »

Sécurité et confidentialité

� La sécurité des traitements est assurée par la mise à

disposition des données par l’ATIH sur une plateforme

sécurisée et homologuée au référentiel de sécurité

applicable au SNDS.

� Un espace de travail sur la plateforme est fourni par l’ATIH

afin que les utilisateurs puissent consulter les données.

� Seules des statistiques agrégées (avec identification impossible

des personnes) peuvent être extraites de la plateforme.

CEREES - INDS

Caroline QUINTIN

Les instances

� INDS : Institut national des données de santé

� CEREES : Comité d’expertise pour les recherches, lesétudes et les évaluations dans le domaine de la santé

� Applicable uniquement pour les recherche n’impliquant pas la

personne humaine au regard de la loi Jardé

� Dépôt du dossier au INDS transmet au CEREES avis

favorable (1 mois) transmet à la CNIL pour autorisation

Dossier INDS à fournir :

� Un résumé de l'étude, recherche ou évaluation selon la grilleretenue par le CEREES ; impérativement en français (5 pagesmax)

� Un protocole scientifique incluant au moins les précisionsdemandées dans le résumé. Le protocole peut être soumis enanglais. Le résumé doit impérativement être rédigé en français

� La (es) déclaration(s) d’intérêt du(es) responsable(s) detraitement et du responsable de la mise en œuvre

� La / les demandes d’autorisation CNIL pré-remplies� La lettre / notice d’information aux personnes concernées, de

non opposition et/ou de consentement le cas échéant

� La liste des financeurs de l’étude, le cas échéant

� L’éventuel avis qu’un comité scientifique et/ou éthique auraitdéjà donné sur le projet et la composition de ce(s) comité(s), lecas échéant

Eligibilité pour un dépôt au CEREES :

� 3 critères doivent être respectés :

� Projet de recherche n’impliquant pas la personnehumaine uniquement

Et

� Projet de recherche non conforme à la méthodologie de

référence MR004 ou MR005

Et

� Projet de recherche non définie comme une recherche

interne selon la CNIL

LES FORMALITES REGLEMENTAIRES

ARBRE DECISIONNEL

Caroline QUINTIN

Si non

conforme à

la MR

Impact :

Faire une demande d’autorisation de constitution de bases de données de santé qui porte un intérêt publique (finalité d’intérêt publique) :

cet accord sera valable pour tous

les projets de recherche qui

utiliseront les données issues de

la base.

si le projet est européen,

l’autorisation CNIL est valable

pour l’ensemble des pays

participants

chaque projet de recherche

utilisant la base devra obtenir

une autorisation CNIL ou

respecter une MR

R3 : la recherche est menée :

- à partir de données

recueillies dans le cadre du

suivi thérapeutique ou

médical individuel des

patients ;

- et par les personnels

assurant ce suivi ;

- et pour leur usage exclusif.

pas de diffusion

Une recherche est dite « interne » valable uniquement pour les recherches hors loi Jardé

Définitions selon CNIL :

� Une recherche est « interne » si elle est menée :

� à partir de données recueillies dans le cadre du suivi thérapeutique ou médical individuel des patients ; ce qui exclu toute recherche nécessitant le recueil de données recherche (tout ou partie)

� et par les personnels assurant ce suivi ;

� et pour leur usage exclusif. pas de diffusion

� Une Recherche est soumise à autorisation CNIL : par ex:

� les patients sont issus de plusieurs établissements ou centres de soins distincts

� les patients sont issus du même établissement mais tout ou partie des données n’ont pas été recueillies par les professionnels de santé assurant leur prise en charge ;

� les données de l’étude sont transmises à un partenaire public ou privé ;

� le doctorant non rattaché au service concerné de l’établissement de santé consulte les données directement identifiantes des patients (notamment les dossiers médicaux).

La demande d’autorisation Recherche

auprès de la CNIL

Caroline QUINTIN

Informations complémentaires / particularités /

exceptions

� Les MR sont applicables uniquement pour les projets de recherche uniquement et en conséquence non applicable lors de la création de registre / base de données sans projet de recherche associé/ défini

� Seul le pays qui héberge les données doit se mettre en conformité auprès des instances réglementaires de son pays.

� Ex. si la France participe à un projet américain mais que l’ensemble des données sont hébergées exclusivement aux USA : la France n’a pas de démarches CNIL à faire

� Les projets de recherche avec une clause d’inclusion en urgence appliquée : projet non éligible à la MR

� Demande d’autorisation recherche à faire


exceptions

� 1. Constitution d’une base de données de santé

� 2. Utilisation de données des personnes décédées, non

suivies

� 3.L’utilisation de données rendues complètement

anonymisées (sans possibilité de revenir au patient)

� 4. Modifications substantielles au projet de recherche :

quels impacts sur la CNIL / CEREES


exceptions

Constitution d’une base de données de santé

� L’autorisation CNIL obtenue est valable uniquement pour la

constitution de la base de données.

� Les traitements ultérieurs réalisés à partir des données

présentes dans la base devront faire l’objet de demande

d’autorisation CNIL ou être conforme à une MR.

� Le CEREES n’est pas saisi lors de la création de la base mais

devra être saisi lors des traitements ultérieurs non

conforme à la MR004


exceptions

Utilisation des données des personnes décédées : L’utilisation des données des patients décédés est possible sans information complémentaire sous réserve que le patient n’a pas de son vivant exprimé une demande contraire.

� Perte de son droit individuel

L’utilisation des données des patients vivants et non suivis :

� Possibilité de faire une demande de dérogation àl’information individuelle auprès de la CNIL

� Uniquement si démonstration qu’une information individuelleest susceptible de rendre impossible ou de compromettregravement la réalisation des objectifs de la recherche (en raisondu coût ou des efforts disproportionnés nécessaires)


exceptions

L’utilisation des données des patients vivants et non suivis :

� L’information du patient doit être réalisée pour chaque

recherche

� Cette information peut être mise en place en 2 temps :

� 1. Une information individuelle dont le contenu est général sur la

réutilisation des données

� 2. Une information collective (type site internet / newsletter)

dont le contenu est spécifique : information sur chaque projet de

recherche mis en œuvre à partir de la base de données

� Valable uniquement pour les recherche hors loi Jardé

� Mentions RGPD obligatoires (1 et 2) : par ex. site auprès duquel

le patient peut exercer son droit d’accès, de rectification, ou

d’effacement des données


exceptions

L’utilisation de données rendues complètementanonymisées (sans possibilité de revenir au patient) :

� Les règles de protection des données ne s’appliquent pas.

� Utilisation est donc possible

� Pas de formalité réglementaire à faire

� pas d’obligation d’information individuelle

Modifications au projet de recherche

� Seules les modifications substantielles sont concernées.

� Il s’agit des modifications portant sur les caractéristiques principales du traitement de données à caractère personnel (par exemple : ajout de nouvelles finalités, ajout de la collecte de données sensibles, etc.).

� Le CPP, CEREES et la CNIL ne se prononceront pas sur les modifications non substantielles du traitement de données. Elles n’ont pas à leur être transmises et font uniquement l’objet d’une documentation en interne.

� Attention : La modification d’un traitement de données en cours devra s’accompagner d’une information aux participants si les mentions obligatoires d’information prévues par le RGPD doivent être modifiées.

Modifications au projet de recherche

demande de modification auprès de la CNIL, si au moins l’une de ces informations est modifiée :

� L’identité et l’adresse du responsable de traitement ;

� La ou les finalités du traitement ;

� Les interconnexions ou toutes autres formes de mise en relation avec d’autres traitements ;

� Les données à caractère personnel traitées ;

� Les catégories de personnes concernées par le traitement ;

� La durée de conservation des informations traitées ;

� Le service chargé de mettre en œuvre le traitement ;

� Le ou les destinataires des données;

� Le service auprès duquel s’exerce le droit d’accès ;

� Les dispositions prises pour assurer la sécurité des traitements de données;

� Le transfert de données hors de l’Union européenne.

Modifications Substantielles

les informations nécessaires pour réaliser la demande

� numéro de votre déclaration initiale

� coordonnées précises du responsable de traitement (n° SIREN).

� Compléter, en ligne, la demande de modification puis envoi

électronique du formulaire à la CNIL

� Réception immédiate d’un accusé réception technique par

voie électronique.

� Les services de la CNIL instruisent la demande en vérifiant la

nature des modifications et leur portée. Ils pourront si besoin

contacter le RT par voie électronique pour toutes précisions

complémentaires.

sources

� Site de la CNIL

� Site de l’INDS

� Textes de loi Jardé

� Arbre décisionnel réalisé par la DPO de l’APHP, Armande

François

rgpd –cnil -cerees · le nouveau règlement européen sur la protection des données personnelles...

Documents