Tous les traitements ayant pour finalité la recherche dans le domaine de la santé utilisent des données de santé. Avant de mettre en oeuvre un tel traitement, la loi exige que la CNIL est délivré une autorisation au responsable du traitement, ou que ce dernier ait déclaré une stricte conformité à l’une des méthodologies de référence officiellement publiées.
Cependant, un traitement de données de santé dans le cadre de la recherche peut s’étaler sur plusieurs années. Il est donc possible que des évolutions aient lieu au fil du temps. Dans ce cas, même si un traitement de données de santé a reçu une autorisation de la CNIL, toute modification susceptible de l’impacter peut nécessiter une nouvelle autorisation ! Explications.
Comment savoir si l’autorisation de traiter des données de santé est toujours valide ?
La CNIL a récemment publié des informations précieuses sur la nécessité de faire, à nouveau, valider un traitement de données ayant pour finalité la recherche en santé. Pour savoir si une nouvelle autorisation doit être sollicité auprès de la Commission, trois étapes doivent être suivies.
D’abord, le responsable du traitement doit identifier la nature des modifications apportées au traitement. En effet, seules les modifications substantielles ont un impact sur le traitement. Ainsi, l’élargissement des données de santé traitées est une modification substantielle, tout comme le changement d’orientation des finalités du traitement. La CNIL propose utilement un tableau d’exemples de types de modifications selon qu’elles nécessitent, ou non, une nouvelle autorisation de la part de la CNIL.
Ensuite, une fois que les modifications substantielles du traitement de données de santé à finalité de recherche ont été identifiées, le responsable du traitement a plusieurs options :
– si le traitement est réalisé en conformité avec une méthodologie de référence, il doit modifier son document interne et sa déclaration de conformité avec ladite méthodologie de référence. Cette modification ne doit être communiquée qu’à un acteur : le comité de protection des personnes, uniquement dans le cas où celui-ci avait déjà dû rendre un avis préalable au moment de la mise en oeuvre du traitement.
– si le traitement a été mis en oeuvre après l’autorisation de la CNIL, soit le responsable du traitement soumet les modifications au du comité de protection des personnes (si la recherche implique la personne humaine) qui transmettra ensuite le dossier à la CNIL ; soit le responsable du traitement soumet les modifications à l’institut national des données de santé (si la recherche n’implique pas la personne humaine) qui transmettra ensuite le dossier à la CNIL (le CEREES, comité d’expertise pour les recherches, les études et les évaluations dans le domaine de la santé, est aussi saisi le cas échéant).
Enfin, la CNIL explique simplement comment une demande de modification substantielle du traitement de données de santé à finalité de recherche doit être déposée aux autorités compétentes.
Pour donner une vision synthétique du raisonnement global, un logigramme simple a été mis en ligne que Tripalio vous propose de retrouver ci-après :
