Données de santé : la CNIL rappelle à deux organismes de recherche médicale leurs obligations légales
La présidente de la CNIL a rappelé à deux organismes procédant à des recherches médicales leurs obligations de réaliser une analyse d’impact sur la protection des données et d’informer correctement les personnes.
À la suite d’un signalement, la CNIL a contrôlé deux organismes procédant à des recherches médicales entre janvier et juillet 2022.
Elle a constaté des manquements aux règles sur la protection des données, notamment en matière de données de santé, qui sont particulièrement protégées et doivent faire l’objet d’une vigilance renforcée.
Une analyse d’impact est nécessaire avant certaines recherches médicales
À l’exception des recherches internes (réalisées à partir des données collectées pendant les soins par les professionnels de santé prenant en charge les patients, et pour leur usage exclusif), les recherches en santé doivent être autorisées par la CNIL ou être conformes à une méthodologie de référence.
Or, ces méthodologies imposent de réaliser une analyse d’impact sur la protection des données avant de démarrer la recherche. Cette analyse doit, en particulier, prévoir les risques sur les droits et libertés des personnes concernées. Une seule et même analyse peut porter sur un ensemble d’opérations de traitement qui présentent des risques similaires (projets semblables, utilisant les mêmes outils informatiques, par exemple).
Les deux organismes contrôlés par la CNIL n’avaient réalisé aucune analyse d’impact concernant les recherches médicales menées.
Une information complète doit être donnée aux personnes concernées
La CNIL a constaté que l’information délivrée par les deux organismes aux personnes participant aux recherches était incomplète.
Par exemple, les feuillets d’information remis par les deux organismes ne précisaient ni la nature des informations collectées ni leur durée de conservation. En outre, certains feuillets n’indiquaient pas les coordonnées du délégué à la protection des données ou encore les modalités de recours auprès de la CNIL.
Enfin, une notice d’information affirmait que les données étaient anonymisées, ce qui n’était pas le cas puisque l’identité des patients était seulement remplacée par un « numéro patient » à trois chiffres et un « code patient » composé de deux lettres correspondant à la première initiale du nom et du prénom de la personne concernée.
Cette procédure aboutit à une pseudonymisation des données, et non à une anonymisation, dans la mesure où il demeurait possible d’isoler un individu dans le jeu de données et de le réidentifier.
Des rappels aux obligations légales
Les traitements de données concernés par ces manquements ayant cessé, la présidente de la CNIL a décidé d’adresser un rappel aux obligations légales à chacun des organismes contrôlés, comme prévu par la loi Informatique et Libertés. Les procédures de contrôles sont désormais closes.