Parlons RGPD | Les demandes d’autorisation de la CNIL dans le domaine de la Santé

Sarah : Bonjour à tous, et bienvenue pour ce nouveau podcast de l’équipe TNP Data Protection.  

Aujourd’hui, nous vous proposons un épisode sur les demandes d’autorisation auprès de la CNIL pour les traitements de données dans le domaine de la santé.  

Depuis l’entrée en vigueur du RGPD, les formalités administratives, qu’il s’agisse de demandes d’autorisation ou de simples déclarations ont été considérablement allégées, au profit d’une plus grande responsabilisation des organisations, c’est ce qu’on appelle « l’Accountability ». Cependant, toutes les démarches n’ont pas été supprimées. Certains traitements dans le domaine de la santé doivent faire l’objet d’une demande d’autorisation auprès de la CNIL avant leur mise en œuvre. 

Dans quels cas est-il nécessaire de réaliser une telle demande ?
Comment préparer et déposer sa demande à la CNIL ? Comment se passe l’instruction du dossier ? 
Autant de questions auxquelles nous vous proposons de répondre aujourd’hui. 
Et pour discuter de ce sujet, je suis accompagnée de Camille et Céline, consultantes comme moi au sein de TNP Consultants et expertes en protection des données.  

Bonjour Camille, bonjour Céline.  

Camille : Bonjour Sarah, bonjour à tous les auditeurs.  

Céline: Bonjour à toutes les deux, et ravie de participer à ce podcast.  

Sarah : Alors, en premier lieu, il me semble important d’indiquer à nos auditeurs que tous les traitements dans le domaine de la santé ne sont pas tous soumis à une demande d’autorisation auprès de la CNIL. En effet, un grand nombre de traitements sont exemptés de toute formalité. 

Camille : Oui tout à fait, il n’y a plus de formalités préalables pour les traitements listés aux articles 65 et 67 de la loi Informatique et Libertés. C’est notamment le cas des traitements réalisés aux fins de la médecine préventive ou des traitements qui permettent de réaliser des recherches à partir de données recueillies dans le cadre du suivi thérapeutique individuel des patients par le personnel soignant et pour leur usage exclusif : c’est ce que l’on appelle les recherches « internes ».  

Par conséquent, avant de se lancer dans un dossier de demande d’autorisation, il va falloir dans un premier temps bien identifier et qualifier son projet pour vérifier que celui-ci est soumis au régime de l’autorisation.  

Sarah : Oui, c’est bien de le rappeler. Finalement, le régime de l’autorisation pour les traitements dans le domaine de la santé ne s’applique qu’à 2 grandes familles de traitements :  

• Les traitements dont la finalité est ou devient la recherche, les études ou l’évaluation dans le domaine de la santé. On parlera désormais dans ce podcast uniquement de projets de recherche par facilité de langage.  
• Les traitements, hors recherche, qui présentent une finalité d’intérêt public dans le domaine de la santé : il s’agit par exemple des traitements qui vont avoir pour objectif de s’assurer que des dispositifs médicaux présentent des garanties élevées en matière de sécurité  

Il va donc falloir suivre un raisonnement en entonnoir pour vérifier, étape par étape, si le traitement en question entre dans l’une de ces deux catégories. Et bien entendu, la première chose à faire c’est de répondre à la question suivante : est-ce que mon projet s’inscrit dans le domaine de la santé et nécessite-t-il la collecte de données personnelles relatives à la santé ? 

Camille : Oui, exactement. En ce qui concerne la « donnée de santé », c’est une notion d’ailleurs assez large qui inclut toutes les informations concernant la santé physique ou mentale, passée, présente ou future d’une personne physique et qui révèlent des informations sur l’état de santé de cette personne. Cela englobe classiquement les informations relatives aux maladies, aux antécédents médicaux, aux diagnostics, mais aussi les données qui, croisées avec d’autres, vont permettre de révéler des informations sur l’état de santé de la personne : le croisement de la tension avec la mesure de l’effort par exemple.  

Sarah : Merci beaucoup Camille pour ce rappel très utile. Alors, une fois que l’on a identifié la présence de données de santé, il convient de qualifier ce dernier pour vérifier qu’il entre dans l’une des 2 grandes catégories soumises à autorisation que nous avons évoquées :  

• Est-ce que mon projet est un projet de recherche dans le domaine de la santé ?  

• S’il ne s’agit pas d’un projet de recherche, quel est l’objectif de celui-ci ? Poursuit-il une finalité d’intérêt public dans le domaine de la santé ?  

Camille: D’expérience, il n’est pas toujours aisé d’identifier ce qu’est un projet de recherche. On peut par exemple utiliser un faisceau d’indices qui va permettre d’aider à cette qualification : un projet de recherche c’est un projet précis qui vise à répondre à une question scientifique bien identifiée et qui va reposer sur des critères déterminés et viser une population ciblée. Par ailleurs les données qui vont être utilisées seront des données spécifiquement sélectionnées au regard de l’objectif de la recherche, dans la plupart du temps listé au sein du protocole de recherche.  

Sarah : A contrario, donc, un entrepôt de données de santé a pour objectif de regrouper des données de façon massive concernant une large population afin de les réutiliser pour des finalités ultérieures qui ne sont pas encore toutes déterminées.  

Et s’il ne s’agit pas d’un projet de recherche, il va falloir vérifier s’il s’agit d’un traitement présentant une finalité d’intérêt public dans le domaine de la santé pour lequel des formalités seraient requises. Pour cela il faut vérifier quel est l’objectif poursuivi par le traitement. S’agit-il justement d’un entrepôt de données de santé, par exemple ? S’agit-il d’un traitement de données lié à la pharmacovigilance ?  

Camille, une fois que j’ai la certitude que mon projet implique des données de santé et qu’il s’agit soit d’un traitement de recherche soit d’un traitement présentant une finalité d’intérêt public, quelle est la prochaine étape à suivre ?  

Camille : Eh bien à ce stade, il n’est toujours pas possible de savoir si la demande d’autorisation auprès de la CNIL est requise ou non.  Je dois encore vérifier si mon projet ne fait pas partie des exemptions prévues par la loi I&L.  

En effet, dans certains cas, je peux de ce fait mettre en place un projet de recherche dans le domaine de la santé sans pour autant être soumis à quelconque demande d’autorisation. Par exemple, dans le domaine de la recherche, les recherches dites « internes » ne sont soumises à aucune formalité. A titre illustratif, une recherche interne peut être une recherche menée par un neurologue sur les patients qu’il a suivis post AVC et uniquement sur les données collectées lors de leur prise en charge.  

Sarah : Merci Camille. En admettant que mon projet ne fasse pas partie des exemptions prévues par la loi I&L, j’ai encore une dernière étape avant de commencer à constituer mon dossier CNIL. A ce stade, je sais désormais que mon traitement est soumis à certaines formalités. Mais, je ne sais pas si je dois procéder à une demande d’autorisation ou si je peux bénéficier de démarches allégées. En effet, la CNIL a élaboré des référentiels et, s’agissant de la recherche, des méthodologies de référence ou « MR ». Ces référentiels et MR fournissent des cadres avec différents points de conformité à respecter, s’agissant du type de données recueillies, des finalités poursuivies, des bases légales, ou encore des durées de conservation des données. Et dans le cas où le projet est conforme en tous points à l’un de ces référentiel ou MR que le porteur de projet s’engage à respecter, le traitement pourra être mis en œuvre sans avoir besoin d’obtenir une autorisation.  

Camille :  Oui tout à fait Sarah. Ces référentiels et MR fournissent un cadre très précis que ce soit pour les traitements de recherche ou ceux présentant une finalité d’intérêt public. S’agissant des projets à visée de recherche, il conviendra de vérifier si le traitement entre dans le périmètre de l’une des 6 MR. Sans entrer trop dans le détail ici, j’indiquerai simplement que les MR-001, 002 et 003 fournissent un cadre pour les recherches qui impliquent la personne humaine, tandis que les MR-004, 005 et 006 concernent les recherches qui n’impliquent pas la personne humaine.  

Sarah : Et pour les traitements, hors recherche, qui présentent une finalité d’intérêt public, il faudra se tourner non pas vers les MR mais vers les référentiels sectoriels élaborés par la CNIL. Il en existe plusieurs :  

• Le référentiel « vigilances sanitaires » qui encadre les traitements de données ayant pour objectif de prévenir ou gérer les évènements sanitaires indésirables. Il s’agit ici par exemple de la pharmacovigilance, de la cosmétovigilance ou encore de la vigilance alimentaire ;  
• Le référentiel « entrepôt de données de santé »   
• Les référentiels accès précoce et accès compassionnel qui s’appliquent aux traitements de données mis en œuvre par les laboratoires exploitant des médicaments sous autorisation d’accès précoce ou compassionnel.  

Camille : Et que l’on soit dans le cadre d’un projet de recherche ou pas, il est très important de vérifier que le projet est conforme en tous points avec la méthodologie de recherche ou le référentiel en question. En effet, c’est seulement dans ce cas précis que l’on pourra s’exempter de la demande d’autorisation et se contenter d’une déclaration de conformité sur le site de la CNIL.   

Sarah : Merci Camille. Le sujet que l’on traite aujourd’hui est assez dense et très technique. Je propose donc à nos auditeurs de résumer brièvement les étapes que nous venons de développer avant de poursuivre. Voici les questions à se poser :   

• Est-ce que je suis dans le domaine de la santé et est-ce que je traite des données de santé ?  

Si la réponse est positive :  

• Est-ce que je porte un projet de recherche, impliquant ou non la personne humaine, ou est-ce que je porte un projet, hors recherches, dans le domaine de la santé, poursuivant une finalité d’intérêt public ?  

Si la réponse est positive :  

• Est-ce que je bénéficie des exemptions des Articles 65 et 67 de la Loi Informatique et Liberté ? Exemptions s’appliquant par exemple, on l’a vu, aux recherches internes.   

Si la réponse est négative, que mon projet n’entre dans le champ d’aucune exemption :  

• Est-ce que je rentre dans le champ des Méthodologies de référence de la CNIL ou bien des référentiels « santé » (e.g., vigilance, entrepôt, etc.) et est-ce que je suis conforme en tout point à ces documents ?  

Si la réponse est négative, que mon projet ne coche pas toutes les cases des éléments exigés par les MR ou référentiels : je dois dans ce cas préparer mon dossier de demande d’autorisation lequel doit contenir un certain nombre d’éléments que je vous propose de détailler désormais en compagnie de Céline. 

Céline : Oui tu as bien résumé. Afin de constituer un dossier de demande d’autorisation, il pourra être nécessaire de mobiliser plusieurs acteurs clés, par exemple le DPO ou encore le RSSI. Si la demande porte sur l’utilisation de données du Système National des Données de Santé (SNDS), il sera également opportun de contacter les personnes dépositaires des données dans le SNDS pour de plus amples informations. Afin de vous aider dans l’instruction de ce dossier, la CNIL a notamment publié en début d’année deux articles qui livrent des bonnes pratiques en cas de demande d’autorisation, qu’elle soit “recherche” ou “hors recherche”, que nous vous recommandons d’aller lire. Il s’agit de deux articles en date du 6 février 2023.  

Sarah : S’agissant d’abord des demandes d’autorisation dites « recherches », peux-tu nous préciser, Céline, quelles sont les pièces devant être fournies en conséquence ?     

Céline : En premier lieu, il convient de fournir une description détaillée des caractéristiques du traitement envisagé, à la fois sur les aspects juridiques et techniques.   Je ne vais pas lister les éléments requis par la CNIL, que nos auditeurs pourront retrouver en intégralité dans les articles précités.  

Par ailleurs, la CNIL recommande fortement aux demandeurs de préciser les points de non-conformité juridiques et techniques à l’un des référentiels ou MR dans lequel le projet de recherche s’inscrit. Il conviendra d’attester de la conformité en tous points au référentiel applicable, sauf sur les éléments identifiés, de détailler les points de non-conformité et d’en justifier les écarts.  

Lorsqu’une AIPD est requise, la CNIL préconise de la réaliser avant de déposer la demande d’autorisation et de la transmettre lors du dépôt du dossier (en pièce jointe ou via le téléservice dédié), et ce, afin de faciliter l’instruction du dossier. Dans le cas contraire, celle-ci pourra être demandée lors de l’instruction. Si vous estimez que la réalisation d’une AIPD n’est pas obligatoire, il faudra le justifier dans le dossier. 

Sarah : Merci Céline. Comment vont être transmis ces éléments dans le dossier de demande d’autorisation ?  

Céline : En pratique, l’ensemble des éléments évoqués ci-dessus doivent être décrits dans un protocole de recherche scientifique ; son résumé et la check list des éléments clés du protocole devront être joints au dossier.  

La Plateforme des Données de Santé (ou Health Data Hub) a élaboré un « starter kit », en concertation avec la CNAM et le Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (dont son acronyme est le CESREES). Ce starter kit est disponible sur le site internet du Health Data Hub et contient des modèles de protocoles scientifiques et de résumés qu’il est possible d’utiliser.  

Une partie de ces éléments pourront également figurer dans l’éventuelle AIPD jointe au dossier lorsque celle-ci est requise.  

Camille : Merci pour ces précisions. Tu ne nous as pas dit si dans le cadre des demandes d’autorisation « recherche », le demandeur devait aussi fournir l’avis d’une instance scientifique ou éthique sur le projet de recherche ?  

Céline : Oui tu as raison Camille. En plus des éléments que je viens de préciser, il convient également de communiquer dans le dossier l’avis favorable du comité compétent.  

• Pour les projets de recherche impliquant la personne humaine, il s’agit du Comité de protection des personnes (CPP) et dans certains cas, de l’Agence nationale de sécurité du médicament et des produits de santé (ANSM) ;  
• Pour les projets de recherche n’impliquant pas la personne humaine, et lorsque le projet n’est pas conforme à une méthodologie de référence, il s’agira du CESREES.   

 Sarah :  Nous venons d’évoquer les pièces à communiquer lors d’une demande d’autorisation dite “recherche”, qu’en est-il Céline du dossier pour les demandes d’autorisation « hors recherche » ?  

Céline : Comme pour les projets de recherches en santé, le dossier devra comporter :  

• Une description du traitement envisagé tant sur les aspects techniques que juridiques, mais dans ce cas, ces éléments figureront dans un document unique ou dans l’AIPD lorsque celle-ci est requise et non pas dans le protocole de recherche ;  
• Et dans le cas où il y aurait une non-conformité à un référentiel applicable, il conviendra de détailler les points de non-conformité, d’en justifier les écarts et de décrire les mesures supplémentaires envisagées pour les compenser.  

Céline : Exactement. Une AIPD est par exemple obligatoire pour la constitution d’un entrepôt de données de santé ; la mise en œuvre d’un traitement ayant pour finalité la gestion des vigilances sanitaires ou encore pour les traitements de données génétiques de patients.   

Dans tous les cas, il faut également garder en tête que la plupart des traitements des données de santé nécessitant une autorisation de la CNIL remplissent au moins deux des neufs critères élaborés par le CEPD et nécessitent donc la réalisation d’une AIPD.  

Camille : Une fois le dossier constitué, où et comment en pratique ce dossier doit-il être déposé ? 

Sarah : Rassurez-vous cette étape est moins complexe que les précédentes. Cela étant, il y a tout de même une distinction à faire. Les projets de recherches impliquant la personne humaine ainsi que les projets, hors recherches, dans le domaine de la santé doivent faire l’objet d’un dépôt de dossier auprès de la CNIL, de manière dématérialisée sur une plateforme dédiée et sécurisée. Il est aussi possible de procéder à un dépôt papier, sous forme de formulaire à imprimer, mais une déclaration en ligne vous permettra de raccourcir les délais de traitement de la demande. 

En revanche, les projets de recherches n’impliquant pas la personne humaine doivent faire l’objet d’un dépôt sur la plateforme des données de santé, ou « Health Data Hub ». Le dossier sera ensuite adressé pour avis au CESREEES avant dépôt à la CNIL pour autorisation.

Céline : Exactement. Il faut aussi préciser à nos auditeurs que le formulaire à remplir pour le dépôt de la demande reprend point par point les éléments que nous avons décrit plus tôt. C’est pour cela qu’il est extrêmement important de constituer un dossier complet et détaillé pour faciliter la phase de dépôt et pouvoir donner le maximum d’informations à la CNIL pour qu’elle puisse étudier le projet.  

Cela étant, les plateformes impose pas non plus aux responsables de traitement de remplir le formulaire en une seule fois. En effet, lorsque vous lancez une demande d’autorisation, un brouillon de votre formulaire est créé avec un numéro d’identification. Le brouillon reste valable pendant 6 mois à compter du dernier enregistrement et accessible en tout temps par le responsable de traitement via son numéro d’identification. Cela permet aux responsables de traitement de prendre connaissance du formulaire et de le remplir petit à petit avant de procéder au véritable dépôt. 

Camille : Merci pour ces précisions. Et qu’en est-il alors de l’instruction du dossier par la CNIL ?  

Céline : Une fois que la CNIL s’est saisie du dossier, elle a en principe 2 mois, à compter de la réception de la demande, pour émettre sa décision. Ce délai peut être prolongé de 2 mois supplémentaires, donc 4 mois en tout, sur décision motivée du président de la CNIL.

Il y a également une petite spécificité pour les recherches qu’il est important de rappeler. En effet, à défaut de réponse de la CNIL, la demande d’autorisation est réputée acceptée uniquement lorsque l’avis préalable du comité compétent est expressément favorable. Dans ce cas, le projet fait l’objet d’une autorisation tacite, sans envoi systématique d’une conformité écrite.  

Sarah : C’est effectivement une précision importante à donner. Et concrètement, est-ce que la CNIL interagit avec les responsables de traitement lorsqu’elle analyse les dossiers ?  

Camille : Oui, bien évidemment, la CNIL s’efforce d’accompagner les responsables de traitement dans la mise en conformité de leurs traitements. Pour résumer, lorsqu’elle étudie un dossier, trois cas de figure peuvent se présenter.  

Premier cas : le dossier est complet et apporte des réponses satisfaisantes aux questions. Dans cette situation, l’autorisation est donnée par la CNIL.  

Deuxième cas : le dossier est imprécis et insuffisant. Ici, la CNIL va demander des compléments d’information à la personne désignée comme point de contact dans le dossier. Cette dernière aura un délai maximal de 15 jours pour répondre et pour transmettre les documents modifiés en conséquence., en suivi de modification bien entendu.  

Sarah : Excuse-moi de t’interrompre Camille, mais est-ce que cette demande de complément interrompt le délai d’instruction de 2 mois, ou 4 mois s’il est prolongé ?  

Camille : Non justement, le délai n’est pas interrompu, c’est pour cela qu’il est particulièrement important d’être disponible ou remplacée en cas d’absence pour répondre dans les meilleurs délais. En effet, en cas d’absence de réponse ou si les réponses apportées ne sont pas satisfaisantes, la CNIL peut refuser la mise en œuvre du projet.  

Sarah : Merci pour cette information très importante. Nous avons donc le premier cas où le dossier est complet, le deuxième cas où le dossier est imprécis ou insuffisant, quel est donc le troisième ?  

Céline : C’est finalement le plus simple. Il s’agit du cas où le dossier est manifestement lacunaire ou s’il porte sur la mise en œuvre d’un traitement manifestement illicite en l’état. La CNIL peut en refuser la mise en œuvre sans échange préalable avec le responsable de traitement.  

Sarah : D’accord, d’où finalement l’importance, lors de la préparation du dossier, de véritablement cibler les points de divergences avec les méthodologies de référence ou bien les référentiels applicables et de les justifier, comme le recommande la CNIL, pour anticiper les éventuels écarts de conformité et ainsi pouvoir y remédier correctement. 

Céline :  Oui, bonne remarque, merci. Avant de clôturer ce podcast, il faut bien évidemment préciser qu’en cas de modification substantielle du dossier, par exemple de l’identité ou de l’adresse du responsable de traitement, des finalités, des interconnexions, des données traitées, des destinataires, etc. il faudra faire une demande de modification substantielle auprès de la CNIL.  

Pour cela, rien de compliqué, il suffit de se munir du numéro de la déclaration initiale ainsi que des coordonnées précises du responsable de traitement (n° SIREN) et d’aller sur le site internet de la CNIL afin de cliquer sur le bon formulaire de demande. Une fois la demande déposée, vous recevez immédiatement un accusé réception technique par voie électronique et les services de la CNIL instruisent la demande en vérifiant la nature des modifications et leur portée. Ils pourront si besoin vous contacter par voie électronique pour toutes précisions complémentaires.  

Camille :  Merci pour ces dernières précisions. Nous sommes arrivées au terme de ce podcast. Nous espérons qu’il aura permis à nos auditeurs de mieux décrypter le sujet des autorisations CNIL dans le domaine de la santé, sujet assez complexe. Merci beaucoup Sarah et Céline pour votre participation.  

Céline : Merci à toi également.  

Sarah : Merci à toutes les deux. 

Camille : Et bien évidemment merci à tous nos auditeurs pour votre écoute et pour plus d’informations, ou pour toute question n’hésitez pas à visiter notre site. Nous revenons très vite vers vous avec un nouveau podcast !