Modifications des traitements de données soumis à formalités : quelles démarches ?
Modifications des traitements de données soumis à formalités : quelles démarches ?
13 juin 2024
Certains traitements de données de santé, soumis à des auprès de la CNIL, sont susceptibles d’évoluer avec le temps. Si les modifications ont un impact sur les modalités de mise en œuvre du traitement ou les droits des personnes, elles peuvent nécessiter l’accomplissement de nouvelles démarches auprès de la CNIL.
Rappel sur les
La loi Informatique et Libertés prévoit un régime de formalités préalables auprès de la CNIL concernant certains traitements de données de santé.
Une fois la formalité préalable accomplie le traitement peut être mis en œuvre.
Modifications des traitements soumis à formalités préalables
Au cours de sa mise en œuvre, le traitement est susceptible d’évoluer.
La procédure de modification d’un traitement soumis à formalités préalables varie en fonction de plusieurs critères :
le caractère substantiel ou non de la modification ;
la nature de la formalité réalisée initialement auprès de la CNIL.
Quelles sont les modifications nécessitant de nouvelles démarches auprès de la CNIL ?
Seules les modifications substantielles doivent faire l’objet d’une nouvelle démarche. Il s’agit des modifications portant sur les caractéristiques principales du (par exemple : ajout de nouvelles finalités, ajout de la collecte de nouvelles catégories de données sensibles, etc.).
En revanche les modifications non substantielles n’ont pas à faire l’objet de nouvelles démarches. Seule une documentation en interne sera nécessaire.
La modification d’un traitement de données en cours devra s’accompagner d’une information aux participants si les mentions obligatoires d’information prévues par le RGPD doivent être modifiées (en présence de modifications substantielles ou non).
À noter : cette fiche porte uniquement sur les exigences liées à la réglementation relative à la protection des données (caractère substantiel ou non de la modification sur le traitement de données, à accomplir auprès de la CNIL).
Toutefois, d’autres textes peuvent impliquer des démarches complémentaires (par exemple, le recueil d’un nouveau consentement en application des dispositions du code de la santé publique).
Afin de vous guider, le tableau ci-dessous identifie les modifications les plus fréquentes, en indiquant leur caractère substantiel ou non.
Modification de l'équipe projet concernée par le traitement
Modifications envisagées
Modification considérée comme substantielle
Modification considérée comme non substantielle
Changement de l’identité du responsable de traitement, ajout d'un responsable conjoint de traitement.
Destinataires ou catégories de destinataires de données
Nouvelle catégorie de destinataires (partenaire industriel, académique, autorité publique).
Changement de personnes physiques accédant aux données (changement de personnel chez un , changement au sein de l'équipe du promoteur ou des professionnels qui interviennent dans le projet (investigateur, ARC, TEC)).
Modification de la finalité du traitement
Finalité du traitement
Ajout d'une finalité ou, s'agissant d'un projet de recherche, d'un objectif complémentaire
Précisions / clarifications des finalités initiales
Modification porte sur les caractéristiques du traitement
Nature des données
Ajout d'une nouvelle traitées particulières non prévues initialement :
données sensibles (santé, , génétique, vie ou orientation sexuelle, origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale)
données administratives d'identification (nom, prénom, coordonnées, date de naissance complète) ; ou
données particulières (NIR, données d'infraction, condamnation, mesures de sûreté, nationalité).
Collecte de données supplémentaires sans modification des catégories de données dont la collecte était prévue initialement.
Origine des données
Ajout d'une nouvelle source de données (base médico-administrative, cohorte, entrepôt de données, dossiers médicaux, questionnaires avec ajout de catégories de données non prévues, etc.).
Ajout ou retrait d'un ou quelques centres participants sans modification du circuit du données.
Mise en relation avec d'autres traitements
Appariements avec de nouvelles sources de données (ex. : système national des données de santé, base médico-administrative).
Recours à de nouvelles sources de données qui ne présentent pas de caractère personnel (données anonymes, , etc.).
Personnes concernées
Ajout d’une catégorie particulière de personnes concernées (mineurs, majeurs protégés, personnes hors d'état d'exprimer leur consentement, personnes privées de liberté, personnes faisant l'objet de soins psychiatriques).
Augmentation conséquente du nombre de personnes concernées (augmentation de plus de la moitié du nombre de personnes prévues initialement).
Ajustement des critères d’inclusion ou d’exclusion (sauf nouvelle catégorie de personnes concernées).
Augmentation non conséquente du nombre d’inclusions (augmentation de moins de la moitié du nombre de personnes prévues initialement).
Modification des droits des personnes concernées
Modalités d'exercice des droits
Restriction des modalités d’exercice des droits par rapport à ce qui était prévu initialement.
Changement de fonction, d’adresse, d’e-mail ou de numéro de téléphone de la personne ou du service auprès duquel s’exerce les droits, sous réserve que la modalité était prévue initialement.
Modification des durées du traitement
Durée de la collecte, du traitement, de conservation / archivage
Allongement conséquent de la durée de la collecte, du traitement, de la conservation et / ou de la durée d’archivage des données (ex : allongement de la durée de conservation de plus de la moitié de la durée initialement prévue).
Mise à jour du calendrier d’une l’étude, allongement négligeable de la durée du traitement, de la durée de conservation et / ou de l’archivage (ex : allongement de la durée de conservation de moins de la moitié de la durée initialement prévue).
Le responsable de traitement doit documenter précisément le caractère négligeable.
Modification concernant la confidentialité et la sécurité des données
Dispositions prises pour assurer la sécurité des traitements de données
Une modification des mesures techniques et organisationnelles susceptible d’affaiblir la sécurité des données
Une modification des mesures techniques et organisationnelles maintenant ou augmentant la sécurité des données
Modification portant sur des transferts de données hors de l'Union Européenne
hors de l’Union européenne
Encadrement du transfert autrement que par une décision d’adéquation (article 45 du RGPD) ou des garanties appropriées (article 46 du RGPD) telles que des , des règles d'entreprise contraignantes, un ou encore un mécanisme de certification).
Encadrement du transfert par une décision d’adéquation (article 45 du RGPD) ou des garanties appropriées (article 46 du RGPD) telles que des clauses contractuelles types, des règles d'entreprise contraignantes, un code de conduite ou encore un mécanisme de certification).
Quelles démarches réaliser auprès de la CNIL si les modifications sont substantielles ?
Votre traitement a été mise en œuvre dans le cadre d’une déclaration de conformité à un référentiel
Si la modification envisagée est conforme au référentiel, il n’y a aucune démarche à effectuer auprès de la CNIL. Toutefois, cette modification devra être documentée en interne (mise à jour du registre des traitements et de l’analyse d’impact relative à la protection des données ou AIPD).
Si la modification envisagée n’est pas conforme au référentiel, il faudra effectuer une demande d’autorisation auprès de la CNIL.
Votre traitement a été mis en œuvre après autorisation de la CNIL
Si la modification envisagée rend votre traitement conforme au référentiel dédié à ce type de traitement, une déclaration de conformité au référentiel est suffisante. Cette modification devra être documentée en interne (mise à jour du registre des traitements et de l’AIPD).
Si la modification envisagée ne rend pas votre traitement conforme au référentiel dédié à ce type de traitement, il faudra effectuer une demande de modification de l’autorisation.
À noter : l’avis préalable du comité d’éthique compétent portant sur la modification envisagée (comité de protection des personnes pour les RIPH et comité pour les études, recherches et évaluation dans le domaine de la santé pour les RNIPH) sera indispensable pour l’instruction de la demande de modification de l’autorisation.
Quelles démarches réaliser auprès des personnes si les modifications sont substantielles ?
Le devra procéder à une nouvelle information des personnes si la modification envisagée porte sur les éléments décrits dans la note d’information.