Publicité en cours de chargement...

Publicité en cours de chargement...

Recherches médicales : et si le RGPD ne s’appliquait (finalement) pas au promoteur de l’étude ?

05 juin 2023 - 14:24,
Tribune - Alexandre FIEVEE, Derriennic Associés
Dans une affaire récente[1], le Tribunal de l’Union Européenne a considéré que les données transmises à un destinataire ne peuvent être considérées comme des données personnelles que sous réserve que ce destinataire dispose des « moyens légaux et réalisables en pratique » lui permettant d’accéder aux informations supplémentaires nécessaires à la réidentification des personnes concernées détenues par le transmetteur desdites données. Une telle décision pourrait avoir un écho très fort dans le domaine de la recherche. Explications…    

Les traitements de données de santé mis en œuvre à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé sont encadrés par les dispositions du RGPD et du chapitre IX de la loi Informatique et Libertés modifiée. Ainsi, les recherches multicentriques et/ou accès des données en dehors de l’équipe de soins (impliquant la personne ou non) doivent faire l’objet par le promoteur d’une autorisation à la CNIL ou d’un engagement de conformité à l’une des normes de référence édictées par l’autorité de contrôle. 

À lire aussi : Publication des critères de référencement des services et outils numériques dans le catalogue de « Mon Espace Santé »

En application de certaines normes (MR-001, MR-003, MR-004, etc.), les données transmises au promoteur, responsable du traitement, ne sont que des données « indirectement identifiantes ». Ainsi, le plus souvent, pour répondre à cette exigence, l’organisme (ex : le centre de recherche), qui transmet les données, remplace les nom et prénom des patients par un code alphanumérique, rendant ainsi les données « indirectement identifiantes » pour son destinataire, étant précisé que l’organisme transmetteur conserve les données d’identification des patients. L’application de cette règlementation contraignante (demande d’autorisation ou engagement de conformité) résulte du fait que les données traitées sont des données à caractère personnel relatives à la santé des patients, lesquelles sont considérées comme des données sensibles, et ce qu’elles soient « directement ou indirectement identifiantes ».

Une décision récente du Tribunal de l’Union pourrait remettre en cause l’application du RGPD dans le cadre de la mise en œuvre de ce type de recherches. 

Dans cette affaire, il était reproché au CEPD d’avoir considéré que les données transmises étaient des données personnelles alors que le destinataire ne disposait pas des données d’identification. Selon le CEPD, il n’était en effet pas nécessaire de rechercher si les personnes concernées étaient réidentifiables par le destinataire ou si cette réidentification était raisonnablement probable, dès lors que de telles données devaient être considérées comme « pseudonymisées » (et donc à caractère personnel) puisque l’émetteur – contrairement au destinataire - détenait les données d’identification. 

Le Tribunal de l’Union a sanctionné cette analyse, le CEPD s’étant contenté d’examiner la possibilité de réidentifier les personnes concernées du point de vue de l’émetteur et non du destinataire. Partant, « à défaut pour le CEPD d’avoir recherché si [le destinataire] disposait des moyens légaux et réalisables en pratique lui permettant d’accéder aux informations supplémentaires nécessaires à la réidentification [des personnes concernées], le CEPD ne pouvait conclure que les informations transmises [au destinataire] constituaient des informations se rapportant à une"personne physique identifiable" au sens de l’article 3, point 1, du règlement 2018/1725. »

Il ressort de ce qui précède que si le destinataire démontre qu’il ne dispose pas « des moyens légaux et réalisables en pratique » lui permettant d’accéder aux informations supplémentaires - détenues par le transmetteur - nécessaires à la réidentification des personnes concernées, les données transmises ne doivent pas être considérées comme des données à caractère personnel, car non « indirectement identifiantes ». 

Ainsi, et pour en revenir à notre sujet, si le promoteur démontre qu’il est dans l’incapacité de réidentifier les patients dont les données lui ont été transmises par les centres de recherche, il pourrait s’affranchir de toute demande d’autorisation ou d’engagement de conformité à une norme et réaliser ainsi son étude sans se soucier du RGPD et de la loi Informatique et Libertés modifiée.


[1] CJUE, Tribunal, 26 avril 2023, t-557/20.


 

Alexandre FIEVEE est inscrit au Barreau de Paris depuis 2004.Il accompagne de nombreux acteurs notamment dans le secteur de l’informatique, de la santé, de l’assurance, de la banque et de l’intelligence artificielle.
Il a une grande connaissance et une forte expertise en droit des nouvelles technologies : dataRGPDe-santédématérialisation et informatique. Il travaille aussi bien en conseil qu’en contentieux.
Avant de rejoindre le cabinet Derriennic Associés, Alexandre a travaillé notamment comme responsable juridique au sein de la direction juridique d’AXA France.
Il écrit de nombreux articles dans les revues spécialisées et a notamment une rubrique mensuelle dans la revue Expertises.

 

 

 

 

 

 

 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

24 avril 2025 - 15:14,

Actualité

- DSIH

La Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...

Illustration Le GHT Hôpitaux de Provence optimise ses flux patients avec la solution M-SESAME de Maincare

Le GHT Hôpitaux de Provence optimise ses flux patients avec la solution M-SESAME de Maincare

24 avril 2025 - 10:06,

Communiqué

- Maincare

Le GHT Hôpitaux de Provence, un des groupements hospitaliers les plus importants de France avec 13 établissements et un bassin de 2 millions d’habitants, a choisi la solution M-SESAME, développée par Atout Majeur Concept, distribuée et intégrée par Maincare, pour répondre à ses besoins en matière de...

Illustration Le Groupe Softway Medical accueille Bain Capital Europe au sein de sa structure capitalistique

Le Groupe Softway Medical accueille Bain Capital Europe au sein de sa structure capitalistique

22 avril 2025 - 15:27,

Communiqué

- Groupe Softway Medical

22 avril, 2025 – le Groupe Softway Medical, un leader européen des systèmes d’information en santé, à la fois éditeur, hébergeur et intégrateur pour les établissements de santé publics et privés en France, au Canada et à travers l’Europe, annonce aujourd’hui l’arrivée du fonds de capital-investissem...

Illustration L’IA en action : les conditions d’un déploiement réussi au sein des équipes de soins

L’IA en action : les conditions d’un déploiement réussi au sein des équipes de soins

21 avril 2025 - 18:55,

Tribune

- Arnaud HAVE, Directeur Conseil Weliom

L’intégration de l’intelligence artificielle (IA) dans les établissements sanitaires et médico-sociaux représente un défi majeur – à la fois culturel, opérationnel et technique. Pour maximiser les bénéfices concrets de l’IA, les ambitions doivent être alignées sur la maturité de la structure, des éq...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.