Recherches médicales : et si le RGPD ne s’appliquait (finalement) pas au promoteur de l’étude ?

Les traitements de données de santé mis en œuvre à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé sont encadrés par les dispositions du RGPD et du chapitre IX de la loi Informatique et Libertés modifiée. Ainsi, les recherches multicentriques et/ou accès des données en dehors de l’équipe de soins (impliquant la personne ou non) doivent faire l’objet par le promoteur d’une autorisation à la CNIL ou d’un engagement de conformité à l’une des normes de référence édictées par l’autorité de contrôle. 

À lire aussi : Publication des critères de référencement des services et outils numériques dans le catalogue de « Mon Espace Santé »

En application de certaines normes (MR-001, MR-003, MR-004, etc.), les données transmises au promoteur, responsable du traitement, ne sont que des données « indirectement identifiantes ». Ainsi, le plus souvent, pour répondre à cette exigence, l’organisme (ex : le centre de recherche), qui transmet les données, remplace les nom et prénom des patients par un code alphanumérique, rendant ainsi les données « indirectement identifiantes » pour son destinataire, étant précisé que l’organisme transmetteur conserve les données d’identification des patients. L’application de cette règlementation contraignante (demande d’autorisation ou engagement de conformité) résulte du fait que les données traitées sont des données à caractère personnel relatives à la santé des patients, lesquelles sont considérées comme des données sensibles, et ce qu’elles soient « directement ou indirectement identifiantes ».

Une décision récente du Tribunal de l’Union pourrait remettre en cause l’application du RGPD dans le cadre de la mise en œuvre de ce type de recherches. 

Dans cette affaire, il était reproché au CEPD d’avoir considéré que les données transmises étaient des données personnelles alors que le destinataire ne disposait pas des données d’identification. Selon le CEPD, il n’était en effet pas nécessaire de rechercher si les personnes concernées étaient réidentifiables par le destinataire ou si cette réidentification était raisonnablement probable, dès lors que de telles données devaient être considérées comme « pseudonymisées » (et donc à caractère personnel) puisque l’émetteur – contrairement au destinataire - détenait les données d’identification. 

Le Tribunal de l’Union a sanctionné cette analyse, le CEPD s’étant contenté d’examiner la possibilité de réidentifier les personnes concernées du point de vue de l’émetteur et non du destinataire. Partant, « à défaut pour le CEPD d’avoir recherché si [le destinataire] disposait des moyens légaux et réalisables en pratique lui permettant d’accéder aux informations supplémentaires nécessaires à la réidentification [des personnes concernées], le CEPD ne pouvait conclure que les informations transmises [au destinataire] constituaient des informations se rapportant à une"personne physique identifiable" au sens de l’article 3, point 1, du règlement 2018/1725. »

Il ressort de ce qui précède que si le destinataire démontre qu’il ne dispose pas « des moyens légaux et réalisables en pratique » lui permettant d’accéder aux informations supplémentaires - détenues par le transmetteur - nécessaires à la réidentification des personnes concernées, les données transmises ne doivent pas être considérées comme des données à caractère personnel, car non « indirectement identifiantes ». 

Ainsi, et pour en revenir à notre sujet, si le promoteur démontre qu’il est dans l’incapacité de réidentifier les patients dont les données lui ont été transmises par les centres de recherche, il pourrait s’affranchir de toute demande d’autorisation ou d’engagement de conformité à une norme et réaliser ainsi son étude sans se soucier du RGPD et de la loi Informatique et Libertés modifiée.

[1] CJUE, Tribunal, 26 avril 2023, t-557/20.

Alexandre FIEVEE est inscrit au Barreau de Paris depuis 2004.Il accompagne de nombreux acteurs notamment dans le secteur de l’informatique, de la santé, de l’assurance, de la banque et de l’intelligence artificielle.
Il a une grande connaissance et une forte expertise en droit des nouvelles technologies : data, RGPD, e-santé, dématérialisation et informatique. Il travaille aussi bien en conseil qu’en contentieux.
Avant de rejoindre le cabinet Derriennic Associés, Alexandre a travaillé notamment comme responsable juridique au sein de la direction juridique d’AXA France.
Il écrit de nombreux articles dans les revues spécialisées et a notamment une rubrique mensuelle dans la revue Expertises.