Gestion et partage des données et des logiciels

Données de santé : la CNIL adopte de nouvelles mesures de simplification

La CNIL a adopté cinq nouvelles méthodologies de référence (MR-001, MR-003, MR-004, MR-005 et MR-006) qui offrent un cadre sécurisé pour la mise en œuvre des traitements de recherche dans le domaine de la santé. La création et la mise à jour de méthodologies de référence ont été rendues nécessaires par l’évolution des textes législatifs nationaux, par l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) ainsi que par les retours d’expérience formulés par les acteurs de terrain sur les cadres existants.

Avantages des méthodologies de référence

L’adoption par la CNIL de ces méthodologies vise à créer un cadre protecteur des personnes concernées favorable à la recherche, à l’innovation et la compétitivité.

Lorsque le responsable de traitement réalise une recherche en conformité avec une méthodologie de référence, la demande d’autorisation auprès de la CNIL n’est pas nécessaire. Ainsi :

  • Dans le cadre d’une recherche impliquant la personne humaine, seul l’avis d’un comité de protection des personnes, prévu par le code de la santé publique, doit être obtenu ;
  • Dans le cadre d’une recherche n’impliquant pas la personne humaine, l’avis du CEREES n’est pas nécessaire. En revanche, le responsable de traitement devra inscrire son traitement dans le répertoire public tenu par l’INDS .

Qui est concerné ?

Les promoteurs de recherche qui traitent des données dans le cadre d’une recherche, étude ou évaluation dans le domaine de la santé.

Le périmètre des méthodologies de références est clarifié :

  • Dorénavant, les MR-001 & MR-003 concernent les recherches impliquant la personne humaine, telles que définies par le code de la santé publique ;
  • La nouvelle MR-004, concerne les recherches n’impliquant pas la personne humaine, études ou évaluations dans le domaine de la santé ;
  • Enfin, les MR-005 & MR-006 sont les premières méthodologies de références concernant une des composantes du Système National des Données de Santé (SNDS) : le PMSI (Programme de médicalisation des systèmes d’information). Elles permettent l’accès aux données du PMSI par les établissements de santé, les fédérations et les industriels du secteur de la santé aux fins de réaliser des études dans des conditions strictes de confidentialité et de sécurité.

De nouvelles méthodologies de référence pourront être adoptées, en fonction des besoins recensés.

Principales nouveautés des méthodologies de référence (MR-001,003, MR-004)

Les principales nouveautés issues des MR :

  • l’obligation pour le responsable de traitement de désigner un délégué à la protection des données (DPO) ;
  • l’information des personnes dont le contenu doit être désormais conforme aux dispositions de l’article 13 ou 14 du RGPD ;
  • la possibilité de traitement de données directement identifiantes par des sous-traitants du responsable de traitement sous certaines conditions et pour des missions précises (remboursement des frais, indemnités, suivi des personnes (envoi d’un message textuel, lien pour un questionnaire en ligne etc.), livraison des produits) ; attention, le traitement de données directement identifiantes et de données de santé par le même sous-traitant reste exclu de la méthodologie de référence. Le traitement du nom de l’organisme responsable de traitement, même s’il peut révéler un domaine de santé (cancer, sida etc.) est admis dans la MR ;
  • la possibilité de traiter le département de résidence (la commune de résidence étant exclue ainsi que les données de géocodage) ;
  • la possibilité de communiquer des données à des experts ou chercheurs indépendants chargés de réanalyser les données, notamment à la demande d’éditeurs de revues scientifiques.
    Dans ce cas précis, les responsables de traitement devront utiliser une solution technique permettant uniquement la consultation des données, sans possibilité d’extraction de données à caractère personnel.
  • Un aménagement de l’information individuelle des personnes en cas de réutilisation de données (MR-004) : ou lorsque l’information délivrée lors de la collecte des données et/ou échantillons biologiques renvoie à un dispositif spécifique d’information, auquel les personnes concernées pourront se reporter avant la mise en œuvre de chaque futur traitement (par exemple : un site Internet).

En savoir plus sur les méthodologies de référence

Lien vers la source : https://ift.tt/2uzvSAV