Actualités de la Cnil dans le domaine de la santé 

Le 06 février 2023, la Cnil a publié deux fiches guidant les responsables de traitement dans le dépôt de leurs demandes d’autorisation de traitements dans le domaine de la santé (pour la recherche et hors recherche).  

Par ailleurs, certains projets de guide et documentation peuvent être légitimement attendus de la part de la Cnil pour l’année 2023.  

Demande d’autorisation en santé : les critères à respecter : 

Dans le cadre de la publication de ses fiches, la Cnil distingue entre les demandes d’autorisation de recherche en santé et les demandes d’autorisation en santé hors recherche.  

Dans ces deux cas, la demande d’autorisation auprès de la Cnil est subsidiaire : celle-ci ne trouve application dès lors que ni une  exception prévue par la loi Informatique et Libertés s’applique, ni un référentiel spécifique élaboré par la Cnil (méthodologies de référence ou référentiel sectoriel tel que les référentiels « vigilance sanitaire », « entrepôts de données de santé », « accès précoce », « accès compassionnel ».  

L’instruction du dossier par la CNIL a pour objectif de vérifier que le projet de recherche respecte les dispositions pertinentes du RGPD et de la loi Informatique et Libertés ainsi que les autres dispositions particulières applicables aux recherches en santé, notamment issues du code de la santé publique. 

Ainsi, certains éléments de conformité à la règlementation doivent être documentées et détaillées dès le stade de la demande d’autorisation.  

Quel que soit le type de projet, la demande d’autorisation doit à minima :  

• Déterminer le ou les responsable(s) de traitement ;  
• Identifier et encadrer les rapports avec les sous-traitants ;  
• Justifier d’une finalité d’intérêt public ;  
• Avoir une base légale ;  
• Respecter le principe de minimisation ;  
• Justifier de la nécessité de la communication de données à des destinataires extérieurs ; 
• Informer toutes les catégories de personnes concernées ;  
• Garantir l’exercice des droits « Informatique et Libertés » ;  
• Limiter les durées de conservation des données à ce qui est nécessaire ;  
• Encadrer les éventuels transferts de données hors de l’Union Européenne ;  
• Assurer la sécurité des données.  

A noter, comme le rappelle la Cnil, qu’une analyse d’impact sur la vie privée sera, dans le cadre de ce projet, quasi systématiquement obligatoire. Cette analyse d’impact sur la vie privée est, si possible, à transmettre dès le dépôt de la demande d’autorisation.  

Cette analyse d’impact, de part les exigences imposées par celle-ci, constituera de toute manière une base de travail indispensable dans le cadre d’un dépôt d’une demande d’autorisation.  

Ce qu’on attend de la Cnil pour 2023 :  

Bien que non officiellement annoncé, le secteur de la santé espère, pour l’année 2023, disposer de davantage de documentation de la part de la Cnil.  

Ainsi, est notamment attendu pour l’année 2023 :  

• Un guide des Entrepôts Données de Santé. A voir si celui-ci encadre seulement les Entrepôts soumis au référentiel spécifique ou si celui-ci encadre l’ensemble des entrepôts de données de santé ;  
• Une fiche pratique sur le recours de l’IA en santé. Le projet de règlement relatif à l’intelligence artificielle va avoir un impact considérable sur le secteur de la santé. Des ponts sont ainsi attendus entre la protection des données et la règlementation relative à l’intelligence artificielle ;  
• Un code de conduite européen sur les CRO (Contract Research Organizations) ;  
• Un nouveau MOOC de la Cnil dédié aux recherches en santé.  

Source: Site internet de la Cnil : demande d’autorisation en santé