La Cnil rappelle à l’ordre deux organismes de recherche médicale sur leurs obligations de réaliser une analyse d’impact sur la protection des données et d’informer correctement les personnes (1).
Rappelons que la conformité à une méthodologie de référence (« MR ») en matière de recherche médicale impose au responsable du traitement :
- d’effectuer une analyse d’impact relative à la protection des données,
- laquelle doit couvrir en particulier les risques sur les droits et libertés des personnes concernées.
L’information des personnes
En outre, en matière de recherche médicale, les MR imposent en principe une double information des personnes :
- information générale sur l’éventualité d’une utilisation des données par l’établissement à des fins de recherche :
- affichage dans les locaux,
- mention dans le livret d’accueil, etc.
- information préalable et individuelle des personnes incluses dans la recherche.
Cette information :
- doit être réalisée pour chaque projet auquel la personne participe et,
- selon la MR applicable, nécessite le recueil du consentement ou une information doublée d’un droit d’opposition.
La réutilisation des données
Enfin, dans certaines conditions, la réutilisation de données est possible, sans qu’il soit nécessaire de procéder à une nouvelle information individuelle des personnes concernées. Il en va ainsi notamment, dans le cadre de la MR-004 (2), lorsque l’information délivrée lors de la collecte des données et / ou des échantillons biologiques :
- prévoit la possibilité de réutiliser les données et/ou les échantillons, et
- renvoie à un dispositif spécifique d’information auquel les personnes concernées pourront se reporter préalablement à la mise en œuvre de chaque nouveau traitement de données. Par exemple, en consultant un site Internet sur lequel serait présenté chaque projet de recherche mené sur les données et/ou échantillons collectés dans le cadre de l’information initiale.
De manière générale, le cabinet peut vous assister à la mise en place de toute recherche médicale, impliquant notamment l’utilisation d’un dispositif médical et veiller au respect non seulement :
- des exigences règlementaires applicables mais également ;
- des exigences existant en matière de protection des données.
Isabelle Chivoret
Lexing Santé numérique
(1) Communiqué Cnil du 13 mars 2023.
(2) Délibération n° 2018-155 du 3 mai 2018.