Publicité en cours de chargement...
Recherches médicales : et si le RGPD ne s’appliquait (finalement) pas au promoteur de l’étude ?
Les traitements de données de santé mis en œuvre à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé sont encadrés par les dispositions du RGPD et du chapitre IX de la loi Informatique et Libertés modifiée. Ainsi, les recherches multicentriques et/ou accès des données en dehors de l’équipe de soins (impliquant la personne ou non) doivent faire l’objet par le promoteur d’une autorisation à la CNIL ou d’un engagement de conformité à l’une des normes de référence édictées par l’autorité de contrôle.
À lire aussi : Publication des critères de référencement des services et outils numériques dans le catalogue de « Mon Espace Santé »
En application de certaines normes (MR-001, MR-003, MR-004, etc.), les données transmises au promoteur, responsable du traitement, ne sont que des données « indirectement identifiantes ». Ainsi, le plus souvent, pour répondre à cette exigence, l’organisme (ex : le centre de recherche), qui transmet les données, remplace les nom et prénom des patients par un code alphanumérique, rendant ainsi les données « indirectement identifiantes » pour son destinataire, étant précisé que l’organisme transmetteur conserve les données d’identification des patients. L’application de cette règlementation contraignante (demande d’autorisation ou engagement de conformité) résulte du fait que les données traitées sont des données à caractère personnel relatives à la santé des patients, lesquelles sont considérées comme des données sensibles, et ce qu’elles soient « directement ou indirectement identifiantes ».
Une décision récente du Tribunal de l’Union pourrait remettre en cause l’application du RGPD dans le cadre de la mise en œuvre de ce type de recherches.
Dans cette affaire, il était reproché au CEPD d’avoir considéré que les données transmises étaient des données personnelles alors que le destinataire ne disposait pas des données d’identification. Selon le CEPD, il n’était en effet pas nécessaire de rechercher si les personnes concernées étaient réidentifiables par le destinataire ou si cette réidentification était raisonnablement probable, dès lors que de telles données devaient être considérées comme « pseudonymisées » (et donc à caractère personnel) puisque l’émetteur – contrairement au destinataire - détenait les données d’identification.
Le Tribunal de l’Union a sanctionné cette analyse, le CEPD s’étant contenté d’examiner la possibilité de réidentifier les personnes concernées du point de vue de l’émetteur et non du destinataire. Partant, « à défaut pour le CEPD d’avoir recherché si [le destinataire] disposait des moyens légaux et réalisables en pratique lui permettant d’accéder aux informations supplémentaires nécessaires à la réidentification [des personnes concernées], le CEPD ne pouvait conclure que les informations transmises [au destinataire] constituaient des informations se rapportant à une"personne physique identifiable" au sens de l’article 3, point 1, du règlement 2018/1725. »
Il ressort de ce qui précède que si le destinataire démontre qu’il ne dispose pas « des moyens légaux et réalisables en pratique » lui permettant d’accéder aux informations supplémentaires - détenues par le transmetteur - nécessaires à la réidentification des personnes concernées, les données transmises ne doivent pas être considérées comme des données à caractère personnel, car non « indirectement identifiantes ».
Ainsi, et pour en revenir à notre sujet, si le promoteur démontre qu’il est dans l’incapacité de réidentifier les patients dont les données lui ont été transmises par les centres de recherche, il pourrait s’affranchir de toute demande d’autorisation ou d’engagement de conformité à une norme et réaliser ainsi son étude sans se soucier du RGPD et de la loi Informatique et Libertés modifiée.
[1] CJUE, Tribunal, 26 avril 2023, t-557/20.
Alexandre FIEVEE est inscrit au Barreau de Paris depuis 2004.Il accompagne de nombreux acteurs notamment dans le secteur de l’informatique, de la santé, de l’assurance, de la banque et de l’intelligence artificielle.
Il a une grande connaissance et une forte expertise en droit des nouvelles technologies : data, RGPD, e-santé, dématérialisation et informatique. Il travaille aussi bien en conseil qu’en contentieux.
Avant de rejoindre le cabinet Derriennic Associés, Alexandre a travaillé notamment comme responsable juridique au sein de la direction juridique d’AXA France.
Il écrit de nombreux articles dans les revues spécialisées et a notamment une rubrique mensuelle dans la revue Expertises.
Avez-vous apprécié ce contenu ?
A lire également.

Inauguration du cross care data lab ©
04 août 2025 - 14:15,
Tribune
- Jacques HUBERT & Selim HAOUCHINE, GHT Moselle-EstPorté par les Hôpitaux de Sarreguemines et le GHT de Moselle-Est, le projet Cross Care Data Lab est une pépinière d’entreprises nouvelle génération, véritable écosystème, entièrement dédiée à l’innovation numérique, à la cybersécurité et à l’intelligence artificielle appliqué à la santé.

Le consortium AGORiA Santé en partenariat avec BIOGROUP obtient la 1ère autorisation de la CNIL permettant d’associer des données de biologie et du SNDS (système national des données de santé)
22 juil. 2025 - 10:23,
Communiqué
- Biogroup & Agoria Santéle 21 juillet 2025 – Le consortium AGORiA Santé est autorisé par la CNIL (Commission nationale de l'informatique et des libertés) à enrichir sa plateforme, entrepôt de données de santé système fils SNDS, avec des données d’analyses de biologie médicales issues du réseau BIOGROUP. Créé en 2021, le co...

Un code de bonnes pratiques pour les modèles d'IA à usage général
15 juil. 2025 - 16:57,
Actualité
-Entré en vigueur le 1er août 2024, le Règlement sur l'Intelligence Artificielle (AI Act) vise à créer un cadre juridique uniforme pour le développement, la mise sur le marché, la mise en service et l’utilisation de systèmes d'IA dans le respect des valeurs de l’Union. Parmi les systèmes d'IA encadré...

Le numérique médico-social : mutation systémique et levier d’humanité
08 juil. 2025 - 01:07,
Actualité
- DSIHLongtemps resté en périphérie des politiques publiques du numérique en santé, le secteur médico-social entre aujourd’hui dans une phase de transformation profonde. C’est cette bascule, inédite et structurante, que décrivent Olivier Babinet et Manon Lorenzo dans leur ouvrage Le virage du numérique en...