Articles

Article AUTONOME (Délibération n° 2018-153 du 3 mai 2018 portant homologation d'une méthodologie de référence relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des recherches dans le domaine de la santé avec recueil du consentement de la personne concernée (MR-001) et abrogeant la délibération n° 2016-262 du 21 juillet 2016)

Article AUTONOME (Délibération n° 2018-153 du 3 mai 2018 portant homologation d'une méthodologie de référence relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des recherches dans le domaine de la santé avec recueil du consentement de la personne concernée (MR-001) et abrogeant la délibération n° 2016-262 du 21 juillet 2016)


La mise en œuvre de traitements de données à caractère personnel intervenant dans le cadre de la recherche s'effectue sous la responsabilité du responsable de traitement, et/ou chez des tiers agissant pour son compte, dans le respect des dispositions des articles 25, 32 à 35 du RGPD.
En particulier, le responsable de traitement effectue une analyse d'impact relative à la protection des données menée conformément aux dispositions de l'article 35 du RGPD, qui doit couvrir en particulier les risques sur les droits et libertés des personnes concernées. Il met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques identifiés. Une seule et même analyse peut porter sur un ensemble d'opérations de traitement similaires qui présentent des risques similaires.
Afin de cadrer cette démarche et de justifier de sa mise en œuvre, le responsable de traitement est invité à procéder comme suit à :


- la réalisation d'un schéma fonctionnel avec les flux de données personnelles et leurs supports ;
- l'identification des mesures de sécurité mises en œuvre ;
- l'identification des violations potentielles des données, en précisant la gravité des impacts sur les personnes concernées et la vraisemblance des menaces rendant possibles ces violations.


Le responsable de traitement prend toutes les précautions utiles pour préserver la sécurité des données traitées, en particulier leur confidentialité, leur intégrité et leur disponibilité.
Pour ce faire, il définit, met en œuvre et contrôle l'application d'une politique de sécurité et de confidentialité. Celle-ci pourra notamment décrire, pour la partie concernant les mesures techniques et organisationnelles visant à réduire les risques :


- les mesures de sécurisation physique des matériels et des locaux ainsi que les dispositions prises pour la sauvegarde des fichiers ;
- les modalités d'accès aux données, en particulier la gestion des habilitations, les mesures d'identification et d'authentification, les procédures ;
- les mesures de traçabilité des accès aux informations médicales ainsi que l'historique des connexions ;
- les mesures de sécurité devant être mises en œuvre pour les transmissions de données.


Sans préjuger des résultats de la démarche, les particularités du traitement appellent l'attention sur la nécessité de certaines mesures de sécurité :


- les données peuvent faire l'objet d'une informatisation ou, le cas échéant, faire l'objet d'une saisie sur support « papier » renseignés par les professionnels intervenant dans la recherche ou sous leur responsabilité. Lors de la saisie, les données sont identifiées par un numéro d'ordre ou un code alphanumérique, tel que défini à l'article 2.2.3 ;
- l'ensemble des données est saisi soit au fur et à mesure de l'avancement de la recherche, soit globalement lorsque la recherche est terminée ;
- la saisie peut également être réalisée par les professionnels de santé, les laboratoires d'analyses de biologie médicale ou les autres professionnels intervenant dans la recherche et ayant à traiter des données dans le cadre des missions qui leur sont confiées par le responsable de traitement ou la personne agissant pour son compte. Elle peut résulter en particulier d'enregistrements automatiques de paramètres d'examens complémentaires ;
- les données d'une recherche ne doivent pas être saisies, même temporairement, en dehors d'outils faisant partie du traitement ;
- dans le cas de la saisie directe des données par les professionnels intervenant dans la recherche ou chez un sous-traitant, l'outil de saisie distante doit être sécurisé en particulier par l'authentification des utilisateurs et le chiffrement des flux de données ;
- dans le cas de l'utilisation de cahiers d'observation papier, ceux-ci doivent être remis par tout moyen permettant d'en garantir la sécurité et la confidentialité et d'en accuser réception par les personnes habilitées pour la saisie des données ;
- dans le cas de cahiers d'observation numériques installés sur des dispositifs nomades (tablettes, etc.), les données du traitement doivent être chiffrées dans l'appareil et être protégées par une authentification spécifique de l'utilisateur. Elles doivent pouvoir être transférées uniquement vers le traitement, à travers une liaison sécurisée par authentification et chiffrement des flux ;
- tous les échanges électroniques de messages comprenant des données à caractère personnel des personnes se prêtant à la recherche doivent s'effectuer de manière sécurisée (par exemple : envoi d'un fichier chiffré ou protégé par un mot de passe, messagerie sécurisée, plate-forme dédiée appliquant des droits d'accès spécifiques, etc.) ;
- les outils d'exploitation des données recueillies doivent tenir compte du risque de réidentification des personnes en limitant les possibilités de recherches ciblées et les listes de résultats détaillées.


Le traitement automatisé une fois achevé, les données sont récupérées au format défini par le service en charge du traitement des données de la recherche et sont stockées temporairement - le temps de préparer notamment l'archivage - sur un répertoire dont l'accès est techniquement restreint aux personnes dûment habilitées et authentifiées.