IFERISS

Institut Fédératif d’Etudes et de Recherches Interdisciplinaires Santé Société

Vient de paraître

2018 02 couv reduireiss

Réduire les Inégalités Sociales de Santé. Une approche interdisciplinaire de l'évaluation - Nadine HASCHAR-NOÉ, Thierry LANG (dir.) - 1er ouvrage de la collection Santé Société des PUM : SOMMAIRE

Actualité

Colloque "Santé : équité ou égalité ? Définir, mesurer, agir", du 23 au 25 mai 2018

Les actes du colloque seront publiés dans un numéro spécial de la RESP en septembre ou octobre 2018.

Les communications orales et Pecha Kucha sont en ligne.

(Retour sur la page principale du dossier RGPD)
(Retrouvez les principales sources de cette FAQ)

(page mise à jour le 02/05/2018)

- Comment savoir quel est le CIL/DPO que je dois contacter ?

Dans un laboratoire de recherche, la désignation du DPO est de la responsabilité du directeur/trice du laboratoire. Il peut choisir de désigner le CIL/DPO de l'une de ses tutelles. Sans cela, par défaut, le DPO est celui de la structure employeuse du directeur/trice du laboratoire (Universités ou Institut de Recherche).

- Qu'appelle-t-on un "traitement" de données ou d'informations ?

Cela concerne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusionou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction (RGPD art. 2.1).

- Qui est considéré comme le responsable du traitement ?

La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui , seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement. C'est généralement le directeur/trice du laboratoire ou de la structure auquel appartient le responsable scientifique de la recherche. C'est aussi au directeur/trice du laboratoire de désigner son DPO et de veiller à la mise en conformité de l'activité de ses chercheurs.

- Quels sont les risques encourus à partir du 25 mai 2018 par le responsable du traitement ?

Le responsable du traitement peut être soumis à une responsabilité pénale liée à la violation des droits relatifs à la vie privée concernant les atteintes aux droits de la personne résultant des fichiers ou traitements informatiques. Quelques critères de qualification des infractions :
- Réalisation d'un traitement de données à caractère personnel sans respecter les formalités prévues par la loi CNIL, y compris par simple négligence ;
- Collecte des données à caractère personnel par un moyen frauduleux, déloyal ou illicite ;
- Réalisation d'un traitement de données personnelles dans une finalité de recherche en santé, sans respecter l'obligation préalable des personnes dont les données sont collectées ou sans leur consentement lorsqu'il est exigé, ou encore en dépit de son opposition ;
- L'usage détourné de données personnelles au regard de la finalité au titre de laquelle la loi ou le réglement a permis qu'elles soient collectées et traitées.

A cela s'ajoute les responsabilités pénale liée aux obligations des responsables de traitements de données personnelles :
- Conservation des données à caractère personnel au-delà de la durée prévue par la loi ou le réglement, par la demande d'autorisation ou d'avis, ou par la déclaration préalable adressée à la CNIL (s'y ajoute aujourd'hui la durée de conservation renseignée dans le registre du DPO) ;
- Traitement de données réalisé sans mise en oeuvre de mesures de précautions utiles pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ;
- Réalisation d'un transfer de données à caractère personnel hors Union européenne hors autorisation de la Commission européenne ou de la CNIL (par l'utilisation d'une adresse gmail ou un stockage sur un cloud Drive ou Dropbox par exemple) ;
- Divulgation de données personnelles, y compris par simple négligence ou imprudence, portant atteinte à la considération de l'intéressé ou à l'intimité de sa vie privée.
Les risques encours peuvent aller jusqu'à 300.000€ d'amende, l'injonction à effacer les données du traitement source de l'infraction et l'interdiction d'exercer l'activité professionnelle ou sociale dans l'exercice ou à l'occasion de laquelle l'infraction a été commine. Retrouvez plus d'information dans la présentation de E. Landros-Founalès le 23 mars 2018 à Toulouse.

- Qu'implique l'information à donner aux enquêtés dans le cas d'un reccueil d'informations les concernant ?

Pour chaque recherche, l’information du patient doit porter sur :
- les informations prévues par l’article L.1122-1 du code de la santé publique (objectifs, méthodologie, durée, bénéfices...) ;
- la nature des informations qui seront utilisées dans la recherche ;
- la finalité du traitement de données (présentation du projet de recherche) ;
- les destinataires des données (organismes de recherche, chercheurs, prestataires, sous-traitants, financeur du projet ayant demandé un accès aux données, etc.) ;
- les droits d'accès et de rectification aux données (articles 39 et 40 de la loi Informatique et Libertés) ;
- le droit d'opposition institué à l'article 56 de la loi Informatique et Libertés (le patient est libre de refuser de participer et de retirer son consentement à tout moment et par tout moyen) ;
- les modalités et le service ou la personne auprès duquel ces droits peuvent être exercés ;
- le caractère facultatif de leur participation ;
- l’avis du comité d’éthique et de l’autorité compétentes (références des décisions).
Retouvez sur le tableau synthétique dans quels cas d'applique l'obligation d'informer les enquêtés (de manière orale, affichée, écrite, générale ou individuelle, etc.).
Retrouvez des exemples de cette lettre / notice sur cette page de références.

- Que sont les données anonymisées/anonymes ?

Le RGPD s’applique seulement aux données personnelles, et non pas aux données anonymisées/anonymes (non-personnelles). Le Règlement ne fait pas la distinction entre les données anonymes et anonymisées.
Les données anonymisées/anonymes sont définies comme étant à l’opposer des données personnelles : « informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable ».
L’anonymat n’est pas un état statique, cela dépend du contexte des connaissances et de « tous les moyens raisonnablement susceptibles d’être utilisés » afin de ré-identifier la personne derrière les enregistrements de données.
Le fait de déterminer s’il faut qualifier des données de données anonymes
doit être établi au cas par cas, ce qui requiert une évaluation des risques. Des « facteurs d’objectifs », (tels que le coût de l’identification et le temps nécessaire à celle-ci, la disponibilité des technologies au moment du traitement et l’évolution de celles-ci), doivent être pris en compte afin de décider de la qualification de ces données
en pratique.

- L'anonymisation est-elle une nécessité pour la recherche scientifique ?

Le principe de la minimisation des données est une exigence du RGPD. Cela signifie que les données doivent être autant que possible dé-identifiées
dans la mesure où les objectifs de la recherche peuvent être accomplis. Cependant, l’anonymisation ne sera pas toujours requise. D’autres moyens comme la pseudonymisation peuvent être également envisagés. Dans la mise en œuvre du principe de minimisation, les utilisations futures des données à des fins de recherche ainsi que le respect des droits des
participants à la recherche devraient être pris en compte.
En effet, l’anonymisation rend impossible la communication ultérieure avec les individus dont les données ont été enregistrées, afin par exemple
de faire un retour sur les résultats de recherche ou pour demander un suivi d’informations.
Par ailleurs, cela prive le participant du droit de retirer son consentement. Les analyses au cas par cas sont nécessaires.

- Qu'est-ce que la pseudonomysation des données ?

Le RGPD définit la pseudonymisation comme « le traitement de données à caractère personnel de telles façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ».

- Quelle différence y'a-t-il entre anonymisation et pseudonomysation ?

Avec la pseudonymisation, l’attribution de données à des individus reste possible en utilisant des « informations additionnelles » (par exemple une clé ou un code de cryptage). Les données pseudonymisées restent
a priori des données à caractère personnel. Pour les données anonymisées, de telles informations ne sont plus disponibles.
Ces dernières ne sont donc pas à considérer comme des données à caractère personnel au sens du RGPD. Les données pseudonymisées restent donc considérées comme des données à caractère personnel, alors que les données anonymisées ne le sont plus.

- Est-ce que le réglement recquiert la pseudonomysation des données pour la recherche scientifique ?

La pseudonymisation est favorisée dans le Règlement comme étant l’une des méthodes principales pour réduire les risques associés au traitement des données personnelles et « aider les responsables du traitement et les sous-traitants à remplir leurs obligations en matière de protection des données ». Cependant, d’autres garanties (comme le cryptage) devront être envisagés et mises en œuvre (Considérant 28 du préambule). Dans le même temps, la pseudonymisation n’est pas requise si cela empêche de poursuivre des objectifs particuliers de la recherche scientifique (article 89).

- Des questions relatives à la nouvelle procédure d'accès aux données de santé médico-administratives ?

(voir les réponses de l'INDS "pour nous aider")

- Des questions relatives aux études, recherches ou évaluations dans le domaine de la santé relevant du champ de compétence INDS-CEREES-CNIL ?

(voir les réponses de l'INDS "pour nous aider")

- Des questions relatives au système national des données de santé (SNDS) et ses composantes (PMSI...) ?

(voir les réponses de l'INDS "pour nous aider")

- Des questions relatives aux élements attendus dans le cadre d'un dépôt auprès de l'INDS ?

(voir les réponses de l'INDS "pour nous aider")

- Comment le RGPD va-t-il s'appliquer à l'activité des Biobanques ?

(voir le dossier FAQ v2.0 du site Biobanque.eu)

...

 

logo ut1ut2UT3PRES sign  logo universite tlse   CNRSfilaire-grand logo inserm  Logo HôpToul Quad  LogoOrsmipV3transp