L’accès aux données intervient sous la responsabilité du responsable de traitement ou en application de dispositions légales ou règlementaires spécifiques.
La méthodologie de référence distingue les destinataires des données directement identifiantes et les destinataires des données indirectement identifiantes.
Les personnes accédant aux données sont soumises au secret professionnel. Elles peuvent relever du responsable de traitement, des centres participants à la recherche ou de structures agissant pour le compte du responsable de traitement.
Seuls les professionnels et leurs collaborateurs intervenant dans la recherche dans un lieu de recherche peuvent conserver le lien entre l'identité codée des personnes se prêtant à la recherche utilisée pour associer les données de santé à caractère personnel et leurs nom(s) et prénom(s) (table de correspondance conservée de façon sécurisée).
Parmi les destinataires des données directement identifiantes des patients, figurent notamment les professionnels intervenant dans la recherche et les personnes responsables du contrôle et de l'assurance de qualité.
Par ailleurs, des sous-traitants agissant pour le compte du responsable de traitement peuvent être destinataires des données administratives d’identification des personnes se prêtant à la recherche (nom, prénom, coordonnées postales, électroniques et téléphoniques, coordonnées bancaires) sous certaines conditions et pour des missions précises [remboursement des frais, indemnités, suivi des personnes (envoi d’un message textuel, lien vers un questionnaire en ligne, etc.), livraison des produits].
Attention, le traitement de données directement identifiantes et de données de santé par le même sous-traitant reste exclu de la méthodologie de référence. Le traitement du nom de l’organisme responsable de traitement, même s’il peut révéler un domaine de santé (cancer, sida etc.) est admis dans la méthodologie de référence.
À noter : conformément aux articles 13 et 14 du RGPD, les coordonnées du délégué à la protection des données du responsable de traitement doivent être indiquées dans la note d’information des personnes. Le délégué à la protection des données peut potentiellement être destinataire de l’identité de la personne si celle-ci souhaite le contacter. En effet, conformément à l’article 38 paragraphe 4 du RGPD, les personnes concernées peuvent prendre contact avec le délégué à la protection des données pour toute question concernant le traitement de leurs données ainsi qu’à l’exercice de leurs droits. Conformément à l’article 38 paragraphe 5 du RGPD, le délégué à la protection des données est soumis à une obligation de confidentialité ou de secret professionnel en ce qui concerne l’exercice de ses missions.
En ce qui concerne l’exercice effectif des droits, la personne concernée peut néanmoins être invitée à contacter le professionnel de santé investigateur l’ayant pris en charge, ce dernier connaissant son identité et son numéro d’inclusion figurant dans la base de données.
Ces précisions peuvent être apportées dans la note d’information destinée aux personnes concernées.