rgpd –cnil -cerees · le nouveau règlement européen sur la protection des données personnelles...
TRANSCRIPT
RGPD – CNIL - CEREES
Caroline QUINTIN
RGPD : Règlement Général sur la Protection
des Données
Caroline QUINTIN
RGPD : notions
� Le nouveau règlement européen sur la protection des données personnelles est entré en application le 25 mai 2018.
� La réforme de la protection des données poursuit trois objectifs : � Renforcer les droits des personnes, notamment par la création d’un droit
à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
� Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;
� Crédibiliser la régulation = coopération renforcée entre les autorités de protection des données
� Adoptent des décisions communes lorsque les traitements de données seront transnationaux guichet unique / autorité « chef de file »
� sanctions administratives encadrées, graduées et renforcées : avertissement ; Mise en demeure l’entreprise ; Limitation temporairement ou définitivement un traitement ; suspension des flux de données ; ordre de satisfaire aux demandes d'exercice des droits des personnes ; ordre de rectification, de limitation ou d'effacement des données.
Exigences principales du RGPD :
� Le guichet unique pour harmoniser au niveau européen les décisions des autorités de protection des données concernant les traitements transfrontaliers. Ces autorités doivent désormais se coordonner sur l’ensemble de ces décisions.
� le mécanisme de « guichet unique », qui repose sur les trois principes suivants :
� Un mécanisme ouvert aux seules entreprises établies en UE� Un interlocuteur unique pour les responsables de ces traitements : =
l’autorité « chef de file » = l’autorité du pays où se trouve l’établissement principal de l’entreprise.
� Une seule décision valable dans toute l’UE : décision de l’autorité chef de file prise en concertation avec l’ensemble des autorités de protection des données concernées.
� Le guichet unique facilite ainsi les démarches des entreprises concernées, sans pour autant impacter les personnes concernées par ces traitements : Les personnes résidant en France peuvent ainsi continuer à adresser leurs plaintes à la CNIL, même si celle-ci n’est pas l’autorité chef de file à l’égard de ce traitement.
RG
PD
: d
ocu
me
nte
r e
n
inte
rne
Renseigner le registre des traitements
Mener une analyse d’impact pour les traitements le justifiant
Vérifier l’effectivité de l’information délivrée aux personnes concernées et l’effectivité de
leurs droits
Formaliser le rôle et les responsabilités des acteurs : responsables, co-responsables et
sous traitants
Renseigner les actions menées pour garantir la sécurité des données
Désigner un délégué à la protection des données (DPO)
RGPD : Registre des traitements
� Registre qui recense l’ensemble des traitements mis en
œuvre dans la structure
� Préciser :
� Les parties prenantes (représentant, sous traitants, co-
responsables…) qui interviennent dans le traitement des
données
� Les catégories des données traitées
� à quoi servent ces données (ce que vous en faites), qui accède aux données et à qui elles sont communiquées,
� combien de temps vous les conservez,
� comment elles sont sécurisées.
RGPD : Registre des traitements : exemple
� Liste des traitements
Identification du traitement Acteurs Finalité du traitement
Transferts hors UE ?
Données sensibles
? Nom / sigle
N° / REF
Date de création
Dernière MAJ
Responsable du traitement
Finalité principale
Oui /non Oui/non
RGPD : Registre / fiche des traitements
pour chaque activité de traitement, la fiche de registre doit comporter au moins les éléments suivants :
� le cas échéant, le nom et les coordonnées du responsable conjoint du traitement mis en œuvre
� les finalités du traitement, l’objectif en vue duquel vous avez collecté ces données
� les catégories de personnes concernées (patients majeurs, mineurs, témoins, volontaires sains, prestataires, employé, etc.)
� les catégories de données personnelles (exemples : identité, situation familiale, données bancaires, données de connexion, donnés de localisation, etc.)
RGPD : Registre / fiche des traitements
� les catégories de destinataires auxquels les données àcaractère personnel ont été ou seront communiquées, ycompris les sous-traitants auxquels vous recourez :destinataires internes (Médecins coordonnateurs, URC, ..),organismes externes (partenaires), sous traitants (prestatairede saisie...)
� les transferts de données à caractère personnel vers un paystiers ou à une organisation internationale et, dans certains castrès particuliers, les garanties prévues pour ces transferts ;
� les délais prévus pour l'effacement des différentes catégoriesde données, c’est-à-dire la durée de conservation, ou à défautles critères permettant de la déterminer
� dans la mesure du possible, une description générale desmesures de sécurité techniques et organisationnelles quevous mettez en œuvre
description générale des mesures de sécurité
Le niveau de sécurité doit être adapté aux risques soulevés par le traitement.
☐ Contrôle d'accès des utilisateurs
☐ Mesures de traçabilité : Précisez la nature des traces (exemple : journalisation des accès des utilisateurs), les données enregistrées (exemple : identifiant, date et heure de connexion, etc.) et leur durée de conservation :
☐ Mesures de protection des logiciels (antivirus, mises à jour et correctifs de sécurité, tests, etc.)
☐ Sauvegarde des données
☐ Chiffrement des données : Décrivez les mesures (exemple : site accessible en https, utilisation de TLS, etc.) :
☐ Contrôle des sous-traitants
RGPD : Fiche / Registre des traitements : exempleDescription du traitement Nom / sigleN° / REFDate de créationMise à jour
Acteurs (nom, adresse, tél)
Responsable du traitementDélégué à la protection des donnéesReprésentantResponsable(s) conjoint(s)
Finalité(s) du traitement effectuéFinalité principaleSous-finalité 1Sous-finalité 2Sous-finalité 3Sous-finalité 4Sous-finalité 5
RGPD : Fiche / Registre des traitements : exemple
Mesures de sécurité Mesures de sécurité techniquesMesures de sécurité organisationnelles
Catégories de données personnelles concernées (description et délai d’effacement)
Etat civil, identité, données d'identification, images…
Vie personnelle (habitudes de vie, situation familiale, etc.)
Informations d'ordre économique et financier (revenus, situation financière, situation fiscale, etc.)
Données de connexion (adress IP, logs, etc.)
Données de localisation (déplacements, données GPS, GSM, etc.)
RGPD : Fiche / Registre des traitements : exemple
Données sensibles (description et délai d’effacement)
Données révélant l'origine raciale ou ethnique
Données révélant les opinions politiques
Données révélant les convictions religieuses ou philosophiquesDonnées révélant l'appartenance syndicale
Données génétiques
Données biométriques aux fins d'identifier une personne physique de manière uniqueDonnées concernant la santé
Données concernant la vie sexuelle ou l'orientation sexuelle
Données relatives à des condamnations pénales ou infractionsNuméro d'identification national unique (NIR pour la France)
RGPD : Fiche / Registre des traitements : exemple
Catégories de personnes concernées
Description
Catégorie de personnes 1
Catégorie de personnes 2
Destinataires Description Type de destinataire
Destinataire 1
Destinataire 2
Destinataire 3
Destinataire 4
Transferts hors UE Destinataire Pays Type de Garanties
Lien vers le doc
Organisme destinataire 1
Organisme destinataire 2
Organisme destinataire 3
Organisme destinataire 4
RG
PD
: d
ocu
me
nte
r e
n
inte
rne
Renseigner le registre des traitements
Mener une analyse d’impact pour les traitements le justifiant
Vérifier l’effectivité de l’information délivrée aux personnes concernées et l’effectivité de
leurs droits
Formaliser le rôle et les responsabilités des acteurs : responsables, co-responsables et
sous traitants
Renseigner les actions menées pour garantir la sécurité des données
Désigner un délégué à la protection des données (DPO)
RGPD : Analyse d’impact (AIPD / PIA)
analyse d’impact doit être menée pour les traitements considérés
comme présentant un risque élevé pour les droits et libertés des
personnes concernées (art.35)
= AIPD : Data Protection Impact Assessment
= PIA : Privacy Impact Assessment
RGPD : Analyse d’impact (AIPD / PIA)
L'AIPD se décompose en trois parties :
� Une description détaillée du traitement mis en œuvre, comprenant les
aspects techniques et opérationnels
� L’évaluation, de nature plus juridique, de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux (finalité, données et durées de conservation,
information et droits des personnes, etc.) non négociables, fixés par la
loi et devant être respectés, quels que soient les risques
� L’étude, de nature plus technique, des risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que leurs impacts potentiels sur la vie privée, qui permet de déterminer les
mesures techniques et organisationnelles nécessaires pour protéger les
données.
RGPD : Analyse d’impact (AIPD / PIA)
Quand ?
� Lorsqu’un traitement de données de santé est susceptible
d’engendrer un « risque élevé » pour les droits et libertés des
personnes, le responsable de traitement doit effectuer, avant samise en œuvre, une analyse d’impact.
� La CNIL considère, de manière générale, qu’un traitement qui
rencontre au moins deux des critères doit faire l’objet d’une analyse
d’impact.
� Dérogation possible en expliquant et documentant la décision de
ne pas procéder à une analyse d’impact en demandant l’avis du
délégué à la protection des données (DPO).
RGPD : Analyse d’impact (AIPD / PIA)
Quels critères ?
� Le traitement comporte-t-il une évaluation relative à la personne concernée (ex : évaluation de l’état de santé) ?
� Y-a-t-il une décision automatique avec effet juridique ou affectant la personne de
manière significative ?
� Une surveillance systématique est-elle mise en place (ex : dispositif de
géolocalisation utilisé pour surveiller des personnes âgées ou des nourrissons) ?
� Le traitement comporte-t-il des données sensibles (ex : données de santé) ?
� Est-ce un traitement à grande échelle ?
� Y-a-t-il un croisement de données ?
� Le traitement concerne-t-il des personnes vulnérables (ex : patients, personnes
âgées, etc.) ?
� S’agit-il d’un usage innovant ?
� Le traitement peut-il entraver l’exercice d’un droit ou l’exécution d’un contrat (ex :
droit aux prestations sociales) ?
RGPD : Analyse d’impact (AIPD / PIA)
Exception à l’obligation de réaliser une analyse d’impact?
� Une analyse d’impact n’est pas non plus requise lorsque la nature, la
portée, le contexte et les finalités des traitements envisagés sont très
similaires à un traitement pour lequel une analyse d’impact a déjà
été menée par le responsable de traitement ou par un tiers
(autorités ou organismes publics, regroupements de responsables de
traitement, etc.). Dans ce cas, les résultats de l’analyse d’impact déjà
menée peuvent être réutilisés. Toutefois, dans le cas d’un analyse
d’impact effectuée par un tiers, le responsable de traitement doit
transposer, pour tout ou partie, les résultats de l’analyse d’impact à
sa situation particulière.
RGPD : Analyse d’impact (AIPD / PIA)
Exemple de PIA : Modèle d’analyse d’impact
- Présentation des traitement considérés
- Description des données, destinataires et durées de conservation
- Description des processus et supports
- Evaluation des mesures garantissant la proportionnalité et la
nécessite du traitement : détermination et description des mesures :
1. pour l’information des personnes, Pour le recueil du
consentement
2. Pour les droits d’accès et à la portabilité, Pour les droits de
rectification et d’effacement, Pour les droits de limitation du
traitement et d’opposition, Pour la sous traitance
RGPD : Analyse d’impact (AIPD / PIA)
Exemple de PIA (suite)
3. Pour le transfert en dehors de l’UE
4. Contribuant à traiter les risques liés à la sécurité des données
: chiffrement, anonymisation, cloisonnement des données,
contrôle des accès logiques, traçabilité, contrôle d’intégrité,
archivage, sécurité des documents papier
5. Générales de sécurité : sécurité d’exploitation, lutte contre
les logiciels malveillant, gestion des postes de travail, sécurité
des sites Web, sauvegardes, maintenance, sécurité des canaux
informatiques, surveillance, contrôle d’accès physique, sécurité
des matériels, éloignement des sources de risques, protection
contre les sources de risques non humains,
6. Organisationnelles
RG
PD
: d
ocu
me
nte
r e
n
inte
rne
Renseigner le registre des traitements
Mener une analyse d’impact pour les traitements le justifiant
Vérifier l’effectivité de l’information délivrée aux personnes concernées
et l’effectivité de leurs droits
Formaliser le rôle et les responsabilités des acteurs : responsables, co-responsables et
sous traitants
Renseigner les actions menées pour garantir la sécurité des données
Désigner un délégué à la protection des données (DPO)
Exigences principales du RGPD :
� Encadrer l’information des personnes concernées (patients)
et s’assurer de l’effectivité de leurs droits (droit d’accès, de
rectification, d’opposition…)
� Le consentement était déjà inscrit dans la loi Informatique et
Libertés. Il est renforcé par le RGPD et les conditions de son recueil
sont précisées.
� Il assure aux personnes concernées un contrôle fort sur leurs
données, en leur permettant :
� de comprendre le traitement qui sera fait de leurs données ;
� de choisir sans contrainte d’accepter ou non ce traitement ;
� de changer d’avis librement.
� Le recueil du consentement des personnes autorise le traitement de
leurs données par les responsables du traitement.
Exigences principales du RGPD :
� Le consentement doit être libre, spécifique, éclairé et univoque (art. 4 et 7)
� Libre : le consentement ne doit pas être contraint ni influencé. La
personne doit se voir offrir un choix réel, sans avoir à subir de
conséquences négatives en cas de refus.
� Spécifique : un consentement doit correspondre à un seul traitement,
pour une finalité déterminée. Si traitement comporte plusieurs finalités,
les personnes doivent pouvoir consentir indépendamment pour l’une ou
l’autre de ces finalités.
� Eclairé : pour qu’il soit valide, le consentement doit être accompagné d’un
certain nombre d’informations communiquées à la personne avant qu’elle
ne consente
� Univoque : le consentement doit être donné par une déclaration ou tout
autre acte positif clairs. Aucune ambiguïté quant à l’expression du
consentement ne peut demeurer. donc pas de cases pré-cochées ou
pré-activées ; pas de consentements « groupés », pas d’inaction (par ex,
l’absence de réponse à un courriel sollicitant le consentement)
l’information des personnes concernées
� Qui informe?
� ce sont les acteurs opérationnels (professionnels de santé
notamment) agissant au nom et pour le compte du
responsable de traitement (établissement de santé,
service de soins, etc.) qui délivrent l’information.
l’information des personnes concernées
� Quelles sont les caractéristiques de l’information ?
� Information concise, compréhensible par le « grand public », accessible
� Coordonnées du responsable du traitement
� Les finalités du traitement
� Les destinataires (et sous traitants) ou les catégories de destinataires des données à caractère personnel
� Transfert de données vers un pays tiers ou une organisation internationale
� La durée de conservation des données
� Le droit d’accès, de rectification, ou d’effacement des données
l’information des personnes concernées
� Quelles sont les caractéristiques de l’information ? 2
� Le droit de s’opposer au traitement et le droit à la portabilité des données
� Il s’agit de rappeler que la personne concernée par un traitement de données de santé peut s’opposer à la collecte d’informations, sauf si le responsable de traitement démontre qu’il existe des motifs légitimes et impérieux qui prévalent sur les intérêts, les droits et les libertés de la personne.
� Il faut également mentionner que la personne concernée peut également récupérer des données fournies à un responsable de traitement pour les transmettre à un autre responsable de traitement (droit à la portabilité).
l’information des personnes concernées
� Quelles sont les caractéristiques de l’information ? 3
� Le droit de retirer son consentement à tout moment pourles traitements fondés sur le recueil du consentement
� La droit d’introduire une réclamation auprès d’une autoritéde contrôle
� L’existence d’une prise de de décision automatisée, ycompris un profilage, et les informations utiles pourappréhender la logique sous-jacente, ainsi quel'importance et les conséquences prévues de ce traitementpour la personne concernée
� Il s’agit de dire si le traitement de données de santé comporte unalgorithme et d’expliquer quel est le raisonnement retenu pour lefonctionnement de cet algorithme.
l’information des personnes concernées
� Quelles sont les caractéristiques de l’information ? 4
� Si le responsable de traitement souhaite effectuer un traitementultérieur des données à caractère personnel pour une finalitéautre que celle pour laquelle les données à caractère personnelont été collectées, information au préalable de la personneconcernée quant à cette autre finalité et toute autre informationpertinente permettant de garantir un traitement équitable ettransparent.
� NB : à titre d’exemple, il s’agira d’indiquer, si un médecin souhaiteutiliser ultérieurement à des fins de recherche des données de santéqu’il aurait collectées à l’occasion de la prise en charge médicale dupatient, que les données pourront être réutilisées dans le cadre d’unerecherche. A noter que, pour la recherche, cette information devra êtreindividuelle, préalable à la mise en œuvre de la recherche et spécifiqueà chaque projet, conformément aux dispositions de l’article 57 de la loiInformatique et Libertés.
l’information des personnes concernées
L’information délivrée à la personne concernée sous la forme d’un affichage est-elle suffisante ?� A l’exception des situations pour lesquelles il existe une obligation
légale d’informer la personne concernée individuellement (exemple de la recherche médicale), l’information de la personne peut être réalisée par voie d’affichage.
� Dans le cas des établissements de santé, l’information peut également se faire dans le livret d’accueil remis au patient à l’occasion de son hospitalisation. L’affichage doit être bien visible et comporter toutes les mentions obligatoires précisées ci-dessus. Une information individuelle est tout de même à privilégier.
Si la personne concernée a déjà été informée, doit-on l’informer de nouveau ?� Oui, dans certains cas de figure : modification substantielle du
traitement, transmission des données de santé du responsable de traitement à un destinataire, utilisation des données de santé par le responsable de traitement pour une autre finalité, etc.
l’information des personnes concernées
� Ex. Patients DCD et souhait de recueillir les données sans
obtention d’accord de son vivant
�
� Ex. Patients ne sont plus en cours de suivi par le centre :
absence de coordonnées pour contacter le patient
�
� Ex. Accord obtenu pour la réutilisation de ses données
mais le projet de recherche prévoit une transmission à un
partenaire privé, non prévu dans l’information initiale
�
RG
PD
: d
ocu
me
nte
r e
n
inte
rne
Renseigner le registre des traitements
Mener une analyse d’impact pour les traitements le justifiant
Vérifier l’effectivité de l’information délivrée aux personnes concernées et l’effectivité de
leurs droits
Formaliser le rôle et les responsabilités des acteurs : responsables, co-responsables et
sous traitants
Renseigner les actions menées pour garantir la sécurité des données
Désigner un délégué à la protection des données (DPO)
Sécurité des données
Concrètement, comment faire ? Quelles questions se poser?•Quels pourraient être les impacts sur les personnes concernées en cas :
d’accès illégitime à des données ? de modification non désirée de
données ? de disparition de données ?
•Qui (ou quoi) pourrait être à l’origine de telles violations (sources de
risques) ?
•Comment chacune de ces violations pourrait-elle arriver ?
•Quelles mesures (de prévention, de protection, de détection, de
réaction…) devrait-on prévoir pour réduire ces risques à un niveau
acceptable ?
•Serait-ce grave (compte tenu des mesures existantes ou prévues) ?
•Serait-ce vraisemblable (compte tenu des mesures existantes ou
prévues) ?
Sécurité des données : exemple de tableau
RisquesImpacts sur les
personnes
Principales sources de
risques
Principales menaces
Mesures existantes ou prévues
GravitéVraisembla
nce
Accès illégitime
à des données
Modification
non désirée de
données
Disparition de
données
Les méthodologies de référence :
MR001, MR003 et MR004
Caroline QUINTIN
Délibéré le 3 mai 2018
MR001 MR003 MR004
Sont inclus dans la méthodologie
- Les recherches
interventionnelles
- les recherches RIRCM
- les recherches avec
réalisation d'un examen des
caractéristiques génétiques
héréditaires ou acquises
- les anciennes RBM
- les recherches relatives aux
essais cliniques de
médicaments à usage
humain
- Les recherches non
interventionnelles
- Les RIRCM avec info
collective
- les anciennes recherches
en soins courants
- les recherches relatives
aux essais cliniques de
médicaments à usage
humain sous certaines
conditions
- Les recherches n’impliquant
pas la personne humaine
(hors loi jardé)
Sont exclus, lesrecherches
- nécessitant un traitement des données génétiques dont l'objet, principal ou secondaire, est
l'identification ou la ré-identification des personnes par leurs caractéristiques génétiques
- nécessitant un traitement des données depuis des bases médico-administratives (SNDS par ex)
- pour lesquelles il est envisagé de déroger à l’obligation d’information individuelle du participant (art
14-RGPD), ou des titulaires de l’autorité parentale pour les personnes mineures participantes
- pour lesquelles l'analyse de l'impact indique que le traitement présenterait un risque résiduel élevé
pour les droits et libertés des participants ;
- nécessitant le traitement du numéro d'inscription au répertoire national d'identification des
personnes physiques (NIR).
Sont exclus, particularité :
- les recherches nécessitant un
recueil de consentement écrit
et/ou exprès
- les recherches nécessitant un
appariement par le RT entre les
données déjà existantes d'un
même individu issues de
plusieurs centres participants ;
- les recherches impliquant la
personne humaine (= loi jardé)
Identification des personnes
N° ordre ou code alphanumérique (aucune donnée directement identifiante)
Table de correspondance Oui, uniquement dans le centre (+ sous-traitant**) et conservée de façon sécurisée
Provenance des données à caractère personnel
- des personnes elles-mêmes ou de leurs représentants légaux ;
- des professionnels intervenant dans la recherche,
- des bases de données et coll. Bio légalement constituées et autorisées
Collecte des données Collecte et traitement des données strictement nécessaires et pertinentes au regard des
objectifs de la recherche
Catégorie des données à caractère personnel
- Age ou DDN (mois et année)
- Lieu de naissance
- Pays et département de résidence
- Sexe
- Données administratives identifiantes*
- Initiales ou 2 1eres lettres nom et initiale prénom
- N° inclusion et/ou N° centre
- Données de santé
- Origine ethnique
- Photo, vidéo, enregistrements vocaux ne permettant
pas l’identification des personnes
- Données génétiques ne pouvant pas être utilisées à des
fins d’identification ou de ré-identification
- Situation familiale
- Niveau de formation
- Catégorie socio-
professionnelle
- Vie professionnelle
- Régime d’affiliation à la
sécurité sociale
- Consommation tabac, alcool,
drogue
- Habitudes de vie et
comportement
- Mode de vie
- Vie sexuelle
- Statut vital
- Echelle et qualité de vie
- Remboursement des frais
engagés
Catégorie des données à caractère personnel, particularité :
+ participation à d’autres recherches
+ déplacements
+ montants annuels des indemnités perçues
Données administratives identifiantes
- nom, prénom, coordonnées postales, mail, et tél, coordonnées bancaires
- Usage accepté : rbst de frais de transport, le suivi des personnes (SMS, questionnaire en
ligne, application connectée…)
- Pour les sous-traitant : ils ne doivent pas avoir accès aux données de santé
- L’identité du sous-traitant est communiquée aux participants ainsi que les données
transmises à celui-ci
- Durée de conservation des données par le sous-traitant ne doit pas excédée la durée
nécessaire à la réalisation de la mission
- table de correspondance possible établie par le sous-traitant pour la réalisation de ses
missions **
Données administratives identifiantes, particularité :
Usage accepté : + livraison ou récupération à domicile des
produits de santé et/ou matériels et /ou échantillons
Destinataires des données indirectement identifiantes
- RT
- Sous-traitant (si applicable)
- Responsable scientifique
- Professionnels intervenant et personnes agissant sous sa responsabilité
- Représentant du RT
- Personnes en charge de la collecte, du contrôle qualité, du traitement et de l’analyse des
données
- Personnes en charge des aspects réglementaires, Personnel d’autorités sanitaires et
publiques, …
Destinataires des données directement identifiantes
- Professionnels intervenant dans la recherche et personnes agissant sous sa responsabilité
- Personnes en charge de la collecte, du contrôle qualité lors des visites sur site dans le
respect des conditions suivantes :
- Sous la surveillance d’un professionnel intervenant dans la recherche ;
- Mandatée et habilitée par le RT ;
- Participant informé et ne s’oppose pas à la réalisation du contrôle
- Le DPO uniquement si la personne prend volontairement contact avec lui
- Les sous-traitants (voir données administratives)
Destinataires des données directement identifiantes, particularité :
+ membres du comité de
surveillance indépendants
Publications des résultats Interdiction de publier des résultats permettant identification direct ou indirecte des personnes
concernées
Information des personnes
information individuelle et préalable au traitement des données avec document à l’appui
Exception à l’information individuelle préalable :
- Si recueil oral avec remise
préalablement aux
personnes concernées par
la recherche un document
contenant ces informations.
- RIRCM avec info collective
et mentions spécifiques
pour que les personnes
concernées puissent
exercer leur droit. Les
modalités et le contenu de
l'information sont évalués
par le comité de protection
des personnes.
Des données et/ou des échantillons biologiques
recueillis non spécifiquement pour la recherche
peuvent faire l'objet d'une réutilisation sans qu'il soit
procédé à une nouvelle information individuelle des
personnes concernées :
- lorsque la personne concernée dispose déjà des
informations prévues aux articles 13 ou 14 du RGPD ;
- ou lorsque l'information délivrée lors de la collecte
des données et / ou des échantillons biologiques
prévoit la possibilité de réutiliser les données et/ou les
échantillons, et renvoie à un dispositif spécifique
d'information auquel les personnes concernées
pourront se reporter préalablement à la mise en
œuvre de chaque nouveau traitement de données.
Traitement des données de personnes décédées
NA NA sous réserve que le professionnel participant à la
recherche ait connaissance du statut vital de la
personne concernée et qu'elle ne s'y soit pas opposé
de son vivant par écrit, les données à caractère
personnel qui la concernent peuvent faire l'objet d'un
traitement à des fins de recherche.
Dérogation à l’info individuelle et accord
Non applicable
Modalités d’exercice des droits des personnes
RT ou professionnel de santé doit répondre dans un délai de 1 mois après réception de la demande
(droit d’accès, de rectification, d’opposition au traitement, droit d’effacement, droit à la limitation du
traitement..)
Conservation jusqu’à la mise sur le marché du produit étudié (MR001) ou dans un délai max de 2 ans après la
dernière publication des résultats de la recherche ou à la signature du rapport final (si pas de publicat°)
Archivage Durée conforme à la réglementation en vigueur ou 20 max (MR004)
Traitement des données des professionnels intervenant dans la recherche
identité : nom, prénom(s), sexe, adresse, coordonnées professionnelles postales, électroniques
et téléphoniques, coordonnées bancaires ;
- formation - diplôme(s) ;
- vie professionnelle (notamment cursus professionnel, mode et type d'exercice, éléments
nécessaires à l'évaluation des connaissances dont ils disposent pour réaliser la recherche) ;
- le cas échéant, numéro d'identification dans le Répertoire partagé des professionnels de santé
;
- montant des indemnités et rémunérations perçues ;
- collaboration à d'autres études ;
- historique des accès et des connexions aux données médicales des personnes participant à
une recherche.
Information, modalités d’exercice des droits, conservation et archivages des données des professionnels
- Information dans les conventions établies et signées avec le centre
- Droit d’accès, de rectification et effacement, limitation, portabilité et opposition
s’exerce à tout moment
- Conservation max 15 ans après la fin de la dernière recherche
- Archivage conforme à la réglementation
Mise en œuvre et sécurité du traitement : Analyse d’impact
- réalisation d'un schéma fonctionnel avec les flux de données personnelles et leurs
supports ;
- l'identification des mesures de sécurité mises en œuvre ;
- l'identification des violations potentielles des données, en précisant la gravité des
impacts sur les personnes concernées et la vraisemblance des menaces rendant
possibles ces violations.
Mise en œuvre et sécurité du traitement :
-les mesures de sécurisation physique des matériels et des locaux ainsi que les dispositions
prises pour la sauvegarde des fichiers ;
- les modalités d'accès aux données, en particulier la gestion des habilitations, les mesures
d'identification et d'authentification, les procédures ;
- les mesures de traçabilité des accès aux informations médicales ainsi que l'historique des
connexions ;
- les mesures de sécurité devant être mises en œuvre pour les transmissions de données
Mesures de sécurité à mettre en place
-saisie des données possible : e-CRF, base ou CRF papier. lors de la saisie, les données sont
identifiées par un numéro d'ordre ou un code alphanumérique
- données sont saisies soit au fur et à mesure de l'avancement de la recherche, soit
globalement lorsque la recherche est terminée ;
- la saisie peut également être réalisée par les professionnels de santé, les laboratoires
d'analyses de biologie médicale ou les autres professionnels intervenant dans la recherche et
ayant à traiter des données dans le cadre des missions qui leur sont confiées par RT
- les données d'une recherche ne doivent pas être saisies, même temporairement, en dehors
d'outils faisant partie du traitement ;
- dans le cas de la saisie directe des données par les professionnels intervenant dans la
recherche ou chez un sous-traitant, l'outil de saisie distante doit être sécurisé en particulier par
l'authentification des utilisateurs et le chiffrement des flux de données ;
- dans le cas de l'utilisation de cahiers d'observation papier, ceux-ci doivent être remis par tout
moyen permettant d'en garantir la sécurité et la confidentialité et d'en accuser réception par
les personnes habilitées pour la saisie des données ;
- dans le cas de cahiers d'observation numériques installés sur des dispositifs nomades
(tablettes, etc.), les données du traitement doivent être chiffrées dans l'appareil et être
protégées par une authentification spécifique de l'utilisateur. Elles doivent pouvoir être
transférées uniquement vers le traitement, à travers une liaison sécurisée par authentification
et chiffrement des flux ;
- tous les échanges électroniques de messages comprenant des données à caractère personnel
des personnes concernées par la recherche doivent s'effectuer de manière sécurisée (par
exemple : envoi d'un fichier chiffré ou protégé par un mot de passe, messagerie sécurisée,
plate-forme dédiée appliquant des droits d'accès spécifiques, etc.) ;
- les outils d'exploitation des données recueillies doivent tenir compte du risque de ré
identification des personnes en limitant les possibilités de recherches ciblées et les listes de
résultats détaillées.
Le traitement automatisé une fois achevé, les données sont récupérées au format défini par le
service en charge du traitement des données de la recherche et sont stockées temporairement
- le temps de préparer notamment l'archivage - sur un répertoire dont l'accès est
techniquement restreint aux personnes dûment habilitées et authentifiées
Transfert des données hors de l’UE
Le transfert s'effectue à destination d'un pays ou une organisation internationale reconnus par la Commission
européenne comme assurant un niveau de protection adéquat, conformément à l'article 45 du RGPD (décision
d'adéquation) ;
- le transfert s'effectue moyennant des garanties appropriées, listées à l'article 46, paragraphe 2 du RGPD
(notamment : clauses contractuelles types approuvées par la commission européenne, règles d'entreprise
contraignantes, code de conduite, mécanisme de certification) ;
- en l'absence d'une décision d'adéquation ou de garanties appropriées, le transfert peut être fondé sur l'une
des exceptions prévues à l'article 49 du RGPD lorsqu'un tel transfert n'est pas répétitif, massif ou structuré.
Le responsable de traitement doit avoir préalablement informé les personnes concernées du transfert de leurs
données à caractère personnel vers des pays tiers à l'Union européenne, de l'existence ou de l'absence d'une
décision d'adéquation ou de garantie appropriée et enfin des moyens d'en obtenir une copie conformément à
l'article 13, paragraphe 1, point f du règlement général sur la protection des données.
Contrat avec le sous-traitant : obligations
- ne traite les données que sur instruction documentée du RT et prend toutes les mesures de sécurité
requises ;
- ne sous-traite pas sans autorisation écrite du RT ;
- aide le RT à garantir le respect de ses diverses obligations (droits des personnes, sécurité du traitement,
notification de violation, analyses d'impact, etc.) ;
- met à disposition du RT toutes les informations nécessaires pour démontrer le respect de ses
obligations et pour permettre la réalisation d'audits ;
- informe immédiatement RT en cas d'instruction qui, selon lui, constitue une violation du RGPD ou de la
CNIL
En outre, le sous-traitant :
- désigne, le cas échéant, un DPO (art 37 du RGPD) ;
- tient un registre des catégories de traitements effectués pour le compte RT (art 30 du RGPD).
Pour tout projet commencé avec un nouveau sous-traitant (n'ayant pas la qualité de centre participant), un
audit est effectué. Il couvre notamment la vérification des plans qualité et sécurité du sous-traitant, la
validation des systèmes informatiques avec l'existence d'un système de sauvegarde et de récupération des
données, et de mesures destinées à garantir leur confidentialité et leur intégrité.
Registre public Obligation de mention dans le répertoire d’accès public obligation de mention sur le
registre public de l’INDS
registre interne obligation de mention sur le registre interne du DPO
Spécificités des études « MR005 »
� Les études menées doivent présenter un caractère d’intérêt public et aucun appariement avec d’autres données à caractère personnel n’est autorisé.
� les MR-005 = pour les recherches impliquant une des composantes du SNDS : Études nécessitant l’accès aux données du PMSI et/ou des RPU par les établissements de santé et les fédérations hospitalières
le PMSI = Programme de médicalisation des systèmes d’information).
� MR-006, méthodologie pour les industriels
Spécificités des études « MR005 » : Qui?
Les Responsables de traitement concernés peuvent être :
� Les établissements de santé (publics ou privés, à but lucratif ou à but non lucratif);
� La Fédération hospitalière de France (FHF) ;
� La Fédération de l'hospitalisation privée (FHP) ;
� La Fédération des établissements hospitaliers et d'aide à la personne privés non lucratifs (FEHAP) ;
� La Fédération Unicancer ;
� La Fédération nationale des établissements d'hospitalisation à domicile (FNEHAD).
Spécificités des études « MR005 » : finalités ?
� Le traitement des données doit présenter un caractère
d’intérêt public.
� Les finalités couvertes sont
� la planification et la valorisation de l'offre de soins
� les études épidémiologiques
� les études médico-économiques.
� Obligation d’enregistrer chaque étude conforme à la MR 005
dans le répertoire public tenu par l’INDS, et fournir
� un protocole (incluant la justification d’intérêt public),
� un résumé de l’étude
� une déclaration des intérêts.
� les résultats obtenus devront être communiqués au SNDS.
Spécificités des études « MR005 » : données?
� Les catégories de données doivent exclusivement provenir de :
� des bases de données constituées par ATIH au titre du PMSI et des RPU.
� Ces données sont centralisées et mises à disposition sur la plateforme sécurisée de l’ATIH, en particulier :
� Les fichiers dans les champs de la médecine, la chirurgie, l’obstétrique et l’odontologie (MCO) ;
� Les fichiers concernant les soins de suite et de réadaptation (SSR) ;
� Le recueil d’Information Médicalisée en Psychiatrie (RIM-P) ;
� Les fichiers relatifs aux hospitalisations à domicile (HAD) ;
� Le fichier ANO qui permet de relier les données PMSI d’un même patient.
� les données des résumés de passage aux urgences (RPU),
Remarques :
profondeur historique maximale est de neuf ans + l’année en cours.
La zone géographique +profondeur historique doivent être justifiées dans le protocole.
Spécificités des études « MR005 » : destinataire?
� Destinataires des données
� Mise à disposition des données de l’ATIH uniquement sur
une plateforme sécurisée.
� Aucune exportation de données à caractère personnel ne peut
être réalisée.
� Seul le personnel habilité par le responsable de traitement peut accéder aux données.
Spécificités des études « MR005 » : information ?
Information des personnes et respect des droits « informatique et libertés »
� La MR-005 n’impose pas d’information individuelle des
personnes concernées.
� Mais indication par le RT sur un site internet de la
réalisation des projets à partir des données du PMSI avec
rappel des droits du patient
� Les droits d’accès, de rectification et d’opposition
s’exercent auprès du directeur de la CPAM auquel le
patient est rattaché.
Spécificités des études « MR005 »
Sécurité et confidentialité
� La sécurité des traitements est assurée par la mise à
disposition des données par l’ATIH sur une plateforme
sécurisée et homologuée au référentiel de sécurité
applicable au SNDS.
� Un espace de travail sur la plateforme est fourni par l’ATIH
afin que les utilisateurs puissent consulter les données.
� Seules des statistiques agrégées (avec identification impossible
des personnes) peuvent être extraites de la plateforme.
CEREES - INDS
Caroline QUINTIN
Les instances
� INDS : Institut national des données de santé
� CEREES : Comité d’expertise pour les recherches, lesétudes et les évaluations dans le domaine de la santé
� Applicable uniquement pour les recherche n’impliquant pas la
personne humaine au regard de la loi Jardé
� Dépôt du dossier au INDS transmet au CEREES avis
favorable (1 mois) transmet à la CNIL pour autorisation
Dossier INDS à fournir :
� Un résumé de l'étude, recherche ou évaluation selon la grilleretenue par le CEREES ; impérativement en français (5 pagesmax)
� Un protocole scientifique incluant au moins les précisionsdemandées dans le résumé. Le protocole peut être soumis enanglais. Le résumé doit impérativement être rédigé en français
� La (es) déclaration(s) d’intérêt du(es) responsable(s) detraitement et du responsable de la mise en œuvre
� La / les demandes d’autorisation CNIL pré-remplies� La lettre / notice d’information aux personnes concernées, de
non opposition et/ou de consentement le cas échéant
� La liste des financeurs de l’étude, le cas échéant
� L’éventuel avis qu’un comité scientifique et/ou éthique auraitdéjà donné sur le projet et la composition de ce(s) comité(s), lecas échéant
Eligibilité pour un dépôt au CEREES :
� 3 critères doivent être respectés :
� Projet de recherche n’impliquant pas la personnehumaine uniquement
Et
� Projet de recherche non conforme à la méthodologie de
référence MR004 ou MR005
Et
� Projet de recherche non définie comme une recherche
interne selon la CNIL
LES FORMALITES REGLEMENTAIRES
ARBRE DECISIONNEL
Caroline QUINTIN
Si non
conforme à
la MR
Impact :
Faire une demande d’autorisation de constitution de bases de données de santé qui porte un intérêt publique (finalité d’intérêt publique) :
cet accord sera valable pour tous
les projets de recherche qui
utiliseront les données issues de
la base.
si le projet est européen,
l’autorisation CNIL est valable
pour l’ensemble des pays
participants
chaque projet de recherche
utilisant la base devra obtenir
une autorisation CNIL ou
respecter une MR
R3 : la recherche est menée :
- à partir de données
recueillies dans le cadre du
suivi thérapeutique ou
médical individuel des
patients ;
- et par les personnels
assurant ce suivi ;
- et pour leur usage exclusif.
pas de diffusion
Une recherche est dite « interne » valable uniquement pour les recherches hors loi Jardé
Définitions selon CNIL :
� Une recherche est « interne » si elle est menée :
� à partir de données recueillies dans le cadre du suivi thérapeutique ou médical individuel des patients ; ce qui exclu toute recherche nécessitant le recueil de données recherche (tout ou partie)
� et par les personnels assurant ce suivi ;
� et pour leur usage exclusif. pas de diffusion
� Une Recherche est soumise à autorisation CNIL : par ex:
� les patients sont issus de plusieurs établissements ou centres de soins distincts
� les patients sont issus du même établissement mais tout ou partie des données n’ont pas été recueillies par les professionnels de santé assurant leur prise en charge ;
� les données de l’étude sont transmises à un partenaire public ou privé ;
� le doctorant non rattaché au service concerné de l’établissement de santé consulte les données directement identifiantes des patients (notamment les dossiers médicaux).
La demande d’autorisation Recherche
auprès de la CNIL
Caroline QUINTIN
Informations complémentaires / particularités /
exceptions
� Les MR sont applicables uniquement pour les projets de recherche uniquement et en conséquence non applicable lors de la création de registre / base de données sans projet de recherche associé/ défini
� Seul le pays qui héberge les données doit se mettre en conformité auprès des instances réglementaires de son pays.
� Ex. si la France participe à un projet américain mais que l’ensemble des données sont hébergées exclusivement aux USA : la France n’a pas de démarches CNIL à faire
� Les projets de recherche avec une clause d’inclusion en urgence appliquée : projet non éligible à la MR
� Demande d’autorisation recherche à faire
Informations complémentaires / particularités /
exceptions
� 1. Constitution d’une base de données de santé
� 2. Utilisation de données des personnes décédées, non
suivies
� 3.L’utilisation de données rendues complètement
anonymisées (sans possibilité de revenir au patient)
� 4. Modifications substantielles au projet de recherche :
quels impacts sur la CNIL / CEREES
Informations complémentaires / particularités /
exceptions
Constitution d’une base de données de santé
� L’autorisation CNIL obtenue est valable uniquement pour la
constitution de la base de données.
� Les traitements ultérieurs réalisés à partir des données
présentes dans la base devront faire l’objet de demande
d’autorisation CNIL ou être conforme à une MR.
� Le CEREES n’est pas saisi lors de la création de la base mais
devra être saisi lors des traitements ultérieurs non
conforme à la MR004
Informations complémentaires / particularités /
exceptions
Utilisation des données des personnes décédées : L’utilisation des données des patients décédés est possible sans information complémentaire sous réserve que le patient n’a pas de son vivant exprimé une demande contraire.
� Perte de son droit individuel
L’utilisation des données des patients vivants et non suivis :
� Possibilité de faire une demande de dérogation àl’information individuelle auprès de la CNIL
� Uniquement si démonstration qu’une information individuelleest susceptible de rendre impossible ou de compromettregravement la réalisation des objectifs de la recherche (en raisondu coût ou des efforts disproportionnés nécessaires)
Informations complémentaires / particularités /
exceptions
L’utilisation des données des patients vivants et non suivis :
� L’information du patient doit être réalisée pour chaque
recherche
� Cette information peut être mise en place en 2 temps :
� 1. Une information individuelle dont le contenu est général sur la
réutilisation des données
� 2. Une information collective (type site internet / newsletter)
dont le contenu est spécifique : information sur chaque projet de
recherche mis en œuvre à partir de la base de données
� Valable uniquement pour les recherche hors loi Jardé
� Mentions RGPD obligatoires (1 et 2) : par ex. site auprès duquel
le patient peut exercer son droit d’accès, de rectification, ou
d’effacement des données
Informations complémentaires / particularités /
exceptions
L’utilisation de données rendues complètementanonymisées (sans possibilité de revenir au patient) :
� Les règles de protection des données ne s’appliquent pas.
� Utilisation est donc possible
� Pas de formalité réglementaire à faire
� pas d’obligation d’information individuelle
Modifications au projet de recherche
� Seules les modifications substantielles sont concernées.
� Il s’agit des modifications portant sur les caractéristiques principales du traitement de données à caractère personnel (par exemple : ajout de nouvelles finalités, ajout de la collecte de données sensibles, etc.).
� Le CPP, CEREES et la CNIL ne se prononceront pas sur les modifications non substantielles du traitement de données. Elles n’ont pas à leur être transmises et font uniquement l’objet d’une documentation en interne.
� Attention : La modification d’un traitement de données en cours devra s’accompagner d’une information aux participants si les mentions obligatoires d’information prévues par le RGPD doivent être modifiées.
Modifications au projet de recherche
demande de modification auprès de la CNIL, si au moins l’une de ces informations est modifiée :
� L’identité et l’adresse du responsable de traitement ;
� La ou les finalités du traitement ;
� Les interconnexions ou toutes autres formes de mise en relation avec d’autres traitements ;
� Les données à caractère personnel traitées ;
� Les catégories de personnes concernées par le traitement ;
� La durée de conservation des informations traitées ;
� Le service chargé de mettre en œuvre le traitement ;
� Le ou les destinataires des données;
� Le service auprès duquel s’exerce le droit d’accès ;
� Les dispositions prises pour assurer la sécurité des traitements de données;
� Le transfert de données hors de l’Union européenne.
Modifications Substantielles
les informations nécessaires pour réaliser la demande
� numéro de votre déclaration initiale
� coordonnées précises du responsable de traitement (n° SIREN).
� Compléter, en ligne, la demande de modification puis envoi
électronique du formulaire à la CNIL
� Réception immédiate d’un accusé réception technique par
voie électronique.
� Les services de la CNIL instruisent la demande en vérifiant la
nature des modifications et leur portée. Ils pourront si besoin
contacter le RT par voie électronique pour toutes précisions
complémentaires.
Modifications Substantielles
les informations nécessaires pour réaliser la demande
� numéro de votre déclaration initiale
� coordonnées précises du responsable de traitement (n° SIREN).
� Compléter, en ligne, la demande de modification puis envoi
électronique du formulaire à la CNIL
� Réception immédiate d’un accusé réception technique par
voie électronique.
� Les services de la CNIL instruisent la demande en vérifiant la
nature des modifications et leur portée. Ils pourront si besoin
contacter le RT par voie électronique pour toutes précisions
complémentaires.
sources
� Site de la CNIL
� Site de l’INDS
� Textes de loi Jardé
� Arbre décisionnel réalisé par la DPO de l’APHP, Armande
François