Dans le cadre de l’épidémie de Covid-19, la CNIL a décidé d’instruire en priorité et dans des délais qu’elle qualifie d’extrêmement court, les demandes d’autorisation qui sont parfois nécessaires dans le cadre de la recherche nécessitant de traiter des données de santé.
Si le projet de recherche est une recherche interne ou qu’il est conforme aux méthodologies de références (MR) existantes, l’autorité rappelle qu’aucune autorisation de la CNIL n’est nécessaire.
Ainsi, seules les recherches dont le traitement de données n’est pas conforme aux MR sont concernées.
1.Les étapes à suivre lorsque le projet de recherche ne nécessite pas d’autorisation de la CNIL
Comme le rappelle la CNIL, aucune autorisation de sa part n’est nécessaire lorsque le projet de recherche est une recherche interne ou qu’il est conforme au méthodologie de référence. Toutefois, cela ne dispense pas le responsable du traitement de se conformer aux autres dispositins du RGPD.
1.1. Recherche interne
Une recherche est « interne » si elle est menée :
- à partir de données recueillies dans le cadre du suivi (thérapeutique ou médical) individuel des patients ; et
- par le personnel assurant ce suivi ; et
- pour leur usage exclusif.
Cas concret proposé par la CNIL : « un médecin cardiologue exerçant à l’hôpital ou une personne agissant sous sa responsabilité souhaite, à son seul bénéfice, faire une étude (ex : indicateurs, taux de rémission, survie etc.) sur les patients qu’il a suivis dans son service ».
Dans ce cas, le responsable de traitement doit inscrire le traitement de données concerné dans son registre des activités de traitement. Toutefois, dans la mesure où il s’agit de données sensibles de patients, une analyse d’impact relative à la vie privée (AIPD) devrait être effectuée mais la CNIL ne l’exige pas expressément.
1.2. Le projet de recherche est conforme à une méthodologie de référence
Lorsque le projet est conforme à une MR, il convient d’effectuer une déclaration de conformité à la MR correspondante. Le projet de recherche peut être mis en œuvre dès que cette formalité est effectuée.
Il convient également d’effectuer une analyse d’impact relative à la vie privée ou a minima, d’entrer le traitemnt dans le registre des traitement. La position de la CNIL n’est toutefois pas très claire sur ce point car, selon les articles, elle demande soit d’enregistrer le traitement au registre des traitements soit d’effectuer une AIPD. La loi n’est pas explicite sur ce point non plus et dans la mesure où un MR n’est pas une autorisation, il est recommandé de conduire une AIPD.
2. Les étapes à suivre lorsque projet de recherche nécessite une autorisation de la CNIL
Lorsque le projet de recherche n’est pas une recherche interne ou le traitement n’est pas conforme à une MR, le responsable de traitement doit obtenir l’autorisation de la CNIL.
2.1. Comment procéder à la demande d’autorisation ?
Les demandes d’autorisation recherche « impliquant la personne humaine (RIPH) » s’effectuent via le formulaire disponible sur le site web de la CNIL.
Les demandes d’autorisation recherche « n’impliquant pas la personne humaine (RNIPH) » s’effectue via le formulaire disponible sur le site web de la plateforme des données de santé.
Il convient de faire figurer les termes « COVID-19 » dans la partie « finalité » ou « dénomination » du formulaire afin que la CNIL puisse identifier les dossiers prioritaires.
2.2. Les éléments supplémentaires à fournir
En plus des éléments habituellement requis (avis du comité compétent, protocole de recherche et son résumé, document d’information destiné aux patients, etc.), la CNIL demande que les éléments suivants soient fournis afin d’instruire la demande en urgence:
- l’identification des points de non-conformité du projet de traitement à la méthodologie de référence (ex : impossibilité d’informer les personnes concernées, accès du responsable de traitement à des données directement identifiantes) ;
- les destinataires des données directement identifiantes (dans le protocole);
- la durée de conservation des données en base active et en archivage et, le cas échéant, des échantillons biologiques, exprimées années (dans le protocole);
En cas d’inclusion en situation d’urgence et en situation d’urgence vitale immédiate :
-
- la note d’information à destination du proche ou de la personne de confiance (patient hors d’état d’exprimer sa volonté) ;
- la note d’information de poursuite à destination du patient ;
- la note d’information de poursuite à destination du proche ou de la personne de confiance (inclusion en situation d’urgence vitale immédiate).
S’il manque encore certaines pièces, (ex: l’avis d’un CPP), le projet de demande et les éléments d’ores-et-déjà collectés peuvent être adressés aux services de la CNIL en vue de leur pré-instruction, à l’adresse suivante : rerecherchecovid19nil.fr
Toutefois, le responsable de traitement devra toujours effectuer une demande d’autorisation une fois tous les éléments en sa possession.