Le Règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après « le règlement général sur la protection des données » – RGPD), et notamment l’article 5, point 2, prévoit que le responsable de traitement doit être en mesure de démontrer que les principes du règlement sont respectés.
L’article 9, §4 du RGPD précise que les États membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques ou des données concernant la santé.
Dans ce contexte, la loi du 6 janvier 1978 modifiée (ci-après « loi informatique et libertés ») est venue prévoir que les traitements de données à caractère personnel à des fins de recherche, étude ou évaluation dans le domaine de la santé sont autorisés par la Commission nationale de l’informatique et des libertés (CNIL).
Néanmoins, la CNIL peut homologuer et publier des méthodologies de référence, établies en concertation avec le Comité d’expertise pour les recherches, les études et les évaluations dans le domaine de la santé (ci-après le CEREES) ainsi qu’avec les organismes publics et privés représentatifs des acteurs concernés.
Ces méthodologies, destinées à simplifier la procédure d’autorisation, portent sur les catégories les plus usuelles de traitements automatisés ayant pour finalité les recherches, études ou évaluations dans le domaine de la santé.
Les responsables de traitement qui adressent un engagement de conformité à cette méthodologie de référence sont autorisés à mettre en œuvre les traitements dès lors que ceux-ci répondent aux conditions prévues par ces dispositions.
La méthodologie de référence « MR-004 » a été homologuée par la délibération de la CNIL n°2018-155 du 3 mai 2018.
Elle prévoit que « les données et/ou des échantillons biologiques recueillis non spécifiquement pour la recherche peuvent faire l’objet d’une réutilisation sans qu’il soit procédé à une nouvelle information individuelle des personnes concernées :
- lorsque la personne concernée dispose déjà des informations prévues aux articles 13 ou 14 du RGPD ;
- ou lorsque l’information délivrée lors de la collecte des données et/ou des échantillons biologiques prévoit la possibilité de réutiliser les données et/ou les échantillons, et renvoie à un dispositif spécifique d’information auquel les personnes concernées pourront se reporter préalablement à la mise en œuvre de chaque nouveau traitement de données. »
En conclusion le responsable de traitement n’est pas obligé de garantir une information individuelle de chaque patient concernant la réutilisation de ses données mais il doit simplement vérifier que :
- la personne a déjà été informée du traitement mise en œuvre (possibilité de réutiliser ses données)
- la personne bénéficie d’un dispositif d’information lui permettant de prendre connaissance des nouveaux traitements mis en œuvre (ex: nouvelles recherches).
Ainsi, un dispositif d’information à large diffusion par un site internet peut suffire à respecter les droits de la personne.
