Mise en œuvre et sécurité des traitements.
La mise en œuvre de traitements de données à caractère personnel intervenant dans le cadre de l'étude s'effectue chez le responsable de traitement et/ou chez des tiers agissant pour son compte dans les conditions suivantes :
Saisie des données :
Les données peuvent faire l'objet d'une informatisation ou, le cas échéant, faire l'objet d'une saisie sur supports « papier » renseignés par les investigateurs.
Les résultats des mesures et les données rassemblées tout au long d'une étude sont consignés par les investigateurs ou sous leur responsabilité.
Lors de la saisie, les données sont identifiées par un code alphanumérique, tel que défini à l'article 3 et enregistré dans un cahier d'observation papier ou électronique.
L'ensemble des données est saisi, soit au fur et à mesure de l'avancement de l'étude, soit globalement lorsque l'étude est terminée.
Contrôle de validité et de cohérence :
Si la finalité de l'étude le nécessite, les données peuvent faire l'objet d'un contrôle de cohérence ou d'un contrôle qualité réalisé selon des modalités conformes à l'article 4 de la présente méthodologie.
Analyse statistique :
L'ensemble des données saisies fait l'objet de traitements statistiques et donne lieu à l'édition de résultats.
Le responsable de traitement prend toutes les précautions utiles pour préserver la sécurité des données traitées, en particulier leur confidentialité, leur intégrité et leur disponibilité.
Pour ce faire, il définit, met en œuvre et contrôle l'application d'une politique de sécurité et de confidentialité.
Celle-ci est déterminée au regard des risques identifiés à la suite d'une étude des risques présentés par le traitement, qui doit couvrir en particulier les risques sur les libertés et la vie privée des personnes concernées.
Elle doit notamment décrire :
- les mesures de sécurisation physique des matériels et des locaux ainsi que les dispositions prises pour la sauvegarde des fichiers ;
- les modalités d'accès aux données, en particulier la gestion des habilitations, les mesures d'identification et d'authentification, les procédures ;
- de traçabilité des accès aux informations médicales, ainsi que l'historique des connexions ;
- les mesures de sécurité devant être mises en œuvre pour les transmissions de données.
Afin de cadrer cette démarche et justifier de sa mise en œuvre, le responsable de traitement est invité à procéder comme suit :
- réalisation d'un schéma fonctionnel avec les flux de données personnelles et leurs supports ;
- identification des mesures de sécurité mises en œuvre ;
- identification des violations potentielles des données, en précisant la gravité des impacts sur les personnes concernées et la vraisemblance des menaces rendant possibles ces violations.
Sans préjuger des résultats de la démarche, les particularités du traitement appellent l'attention sur la nécessité de certaines mesures de sécurité :
- les données d'une étude ne doivent pas être saisies, même temporairement, en dehors d'outils faisant partie du traitement ;
- dans le cas de la saisie directe des données par les investigateurs ou chez un prestataire, l'outil de saisie distante doit être sécurisé en particulier par l'authentification des utilisateurs et le chiffrement des flux de données ;
- dans le cas de l'utilisation de cahiers d'observation papier, ceux-ci doivent être exclusivement remis en main propre aux personnes habilitées pour la saisie des données ;
- dans le cas de cahiers d'observation numériques installés sur des dispositifs nomades (tablettes…), les données du traitement doivent être chiffrées dans l'appareil et être protégées par une authentification spécifique de l'utilisateur ; elles doivent pouvoir être transférées uniquement vers le traitement, à travers une liaison sécurisée par authentification et chiffrement des flux ;
- dans l'hypothèse d'une alimentation directe du traitement par des automates d'analyse, ces derniers doivent disposer d'une connexion sécurisée avec le traitement (authentification et chiffrement) et faire l'objet de mesures de surveillance particulières ;
- tous les échanges électroniques de messages ayant trait aux données de l'étude (demandes de précisions, etc.) doivent se faire sur une messagerie sécurisée ou une plate-forme dédiée appliquant des droits d'accès spécifiques (le courriel simple étant proscrit) ;
- les outils d'exploitation des données recueillies doivent tenir compte du risque de ré-identification des personnes en limitant les possibilités de recherches ciblées et les listes de résultats détaillées.
De plus, la relation contractuelle avec les éventuels prestataires de saisie doit intégrer la conformité à l'exigence de sécurité prévue par l'article 34 de la loi Informatique et libertés.
Pour tout projet commencé avec un nouveau prestataire, un audit est effectué qui couvre notamment la vérification des plans qualité et sécurité de l'entreprise, la validation des systèmes informatiques avec l'existence d'un système de sauvegarde et de récupération des données, et de mesures destinées à garantir leur confidentialité et leur intégrité.
Le traitement automatisé une fois achevé, les données sont récupérées au format défini par le service en charge du traitement des données de l'étude et sont stockées temporairement - le temps de préparer notamment l'archivage - sur un répertoire dont l'accès est techniquement restreint aux personnes dûment habilitées et authentifiées, présentes dans les locaux du responsable de l'étude.