La mise en œuvre de traitements de données à caractère personnel intervenant dans le cadre de la recherche s'effectue sous la responsabilité du responsable de traitement et/ou chez des tiers agissant pour son compte dans les conditions suivantes :
- saisie des données :
- les données peuvent faire l'objet d'une informatisation ou, le cas échéant, faire l'objet d'une saisie sur support « papier » renseignés par les professionnels de santé intervenant dans la recherche ou sous leur responsabilité. Lors de la saisie, les données sont identifiées par un numéro d'ordre ou un code alphanumérique, tel que défini à l'article 2.2.3 ;
- l'ensemble des données est saisi soit au fur et à mesure de l'avancement de la recherche, soit globalement lorsque la recherche est terminée ;
- cette saisie peut également être réalisée par les professionnels de santé, les laboratoires d'analyses biologiques ou les autres professionnels intervenant dans la recherche et ayant à traiter des données dans le cadre des missions qui leur sont confiées par le responsable de traitement ou la personne agissant pour son compte. Elle peut résulter en particulier d'enregistrements automatiques de paramètres d'examens complémentaires ;
- contrôle de validité et de cohérence : si la finalité ou la typologie de la recherche le nécessitent, les données font l'objet d'un contrôle de cohérence ou d'un contrôle qualité réalisé selon des modalités conformes aux articles 2.3 et 3.3 de la présente méthodologie ;
- analyse statistique : les données peuvent faire l'objet de traitements statistiques et donner lieu à l'édition de résultats.
Le responsable de traitement prend toutes les précautions utiles pour préserver la sécurité des données traitées, en particulier leur confidentialité, leur intégrité et leur disponibilité.
Pour ce faire, il définit, met en œuvre et contrôle l'application d'une politique de sécurité et de confidentialité.
Celle-ci est déterminée au regard des risques identifiés à la suite d'une étude des risques présentés par le traitement, qui doit couvrir en particulier les risques sur les libertés et la vie privée des personnes concernées.
Elle doit notamment décrire :
- les mesures de sécurisation physique des matériels et des locaux ainsi que les dispositions prises pour la sauvegarde des fichiers ;
- les modalités d'accès aux données, en particulier la gestion des habilitations, les mesures d'identification et d'authentification, les procédures ;
- les mesures de traçabilité des accès aux informations médicales ainsi que l'historique des connexions ;
- les mesures de sécurité devant être mises en œuvre pour les transmissions de données.
Afin de cadrer cette démarche et de justifier de sa mise en œuvre, le responsable de traitement est invité à procéder comme suit à :
- la réalisation d'un schéma fonctionnel avec les flux de données personnelles et leurs supports ;
- l'identification des mesures de sécurité mises en œuvre ;
- l'identification des violations potentielles des données, en précisant la gravité des impacts sur les personnes concernées et la vraisemblance des menaces rendant possibles ces violations.
Sans préjuger des résultats de la démarche, les particularités du traitement appellent l'attention sur la nécessité de certaines mesures de sécurité :
- les données d'une recherche ne doivent pas être saisies, même temporairement, en dehors d'outils faisant partie du traitement ;
- dans le cas de la saisie directe des données par les professionnels de santé intervenant dans la recherche ou chez un prestataire, l'outil de saisie distante doit être sécurisé en particulier par l'authentification des utilisateurs et le chiffrement des flux de données ;
- dans le cas de l'utilisation de cahiers d'observation papier, ceux-ci doivent être remis par tout moyen permettant d'en garantir la sécurité et la confidentialité et d'en accuser réception par les personnes habilitées pour la saisie des données ;
- dans le cas de cahiers d'observation numériques installés sur des dispositifs nomades (tablettes, etc.), les données du traitement doivent être chiffrées dans l'appareil et être protégées par une authentification spécifique de l'utilisateur. Elles doivent pouvoir être transférées uniquement vers le traitement, à travers une liaison sécurisée par authentification et chiffrement des flux ;
- tous les échanges électroniques de messages ayant trait aux données de la recherche (demandes de précisions, etc.) doivent intervenir au moyen d'une messagerie sécurisée ou une plate-forme dédiée appliquant des droits d'accès spécifiques (le courriel simple étant proscrit) ;
- les outils d'exploitation des données recueillies doivent tenir compte du risque de réidentification des personnes en limitant les possibilités de recherches ciblées et les listes de résultats détaillées.
De plus, la relation contractuelle avec les éventuels prestataires de saisie doit s'opérer dans des conditions conformes à l'article 35 de la loi informatique et libertés et intégrer la conformité à l'exigence de sécurité prévue par l'article 34 de la même loi.
Pour tout projet commencé avec un nouveau prestataire, un audit est effectué. Il couvre notamment la vérification des plans qualité et sécurité de l'entreprise, la validation des systèmes informatiques avec l'existence d'un système de sauvegarde et de récupération des données, et de mesures destinées à garantir leur confidentialité et leur intégrité.
Le traitement automatisé une fois achevé, les données sont récupérées au format défini par le service en charge du traitement des données de la recherche et sont stockées temporairement - le temps de préparer notamment l'archivage - sur un répertoire dont l'accès est techniquement restreint aux personnes dûment habilitées et authentifiées, présentes dans les locaux du responsable de traitement.