Publicité en cours de chargement...
Recherches médicales : et si le RGPD ne s’appliquait (finalement) pas au promoteur de l’étude ?
Les traitements de données de santé mis en œuvre à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé sont encadrés par les dispositions du RGPD et du chapitre IX de la loi Informatique et Libertés modifiée. Ainsi, les recherches multicentriques et/ou accès des données en dehors de l’équipe de soins (impliquant la personne ou non) doivent faire l’objet par le promoteur d’une autorisation à la CNIL ou d’un engagement de conformité à l’une des normes de référence édictées par l’autorité de contrôle.
À lire aussi : Publication des critères de référencement des services et outils numériques dans le catalogue de « Mon Espace Santé »
En application de certaines normes (MR-001, MR-003, MR-004, etc.), les données transmises au promoteur, responsable du traitement, ne sont que des données « indirectement identifiantes ». Ainsi, le plus souvent, pour répondre à cette exigence, l’organisme (ex : le centre de recherche), qui transmet les données, remplace les nom et prénom des patients par un code alphanumérique, rendant ainsi les données « indirectement identifiantes » pour son destinataire, étant précisé que l’organisme transmetteur conserve les données d’identification des patients. L’application de cette règlementation contraignante (demande d’autorisation ou engagement de conformité) résulte du fait que les données traitées sont des données à caractère personnel relatives à la santé des patients, lesquelles sont considérées comme des données sensibles, et ce qu’elles soient « directement ou indirectement identifiantes ».
Une décision récente du Tribunal de l’Union pourrait remettre en cause l’application du RGPD dans le cadre de la mise en œuvre de ce type de recherches.
Dans cette affaire, il était reproché au CEPD d’avoir considéré que les données transmises étaient des données personnelles alors que le destinataire ne disposait pas des données d’identification. Selon le CEPD, il n’était en effet pas nécessaire de rechercher si les personnes concernées étaient réidentifiables par le destinataire ou si cette réidentification était raisonnablement probable, dès lors que de telles données devaient être considérées comme « pseudonymisées » (et donc à caractère personnel) puisque l’émetteur – contrairement au destinataire - détenait les données d’identification.
Le Tribunal de l’Union a sanctionné cette analyse, le CEPD s’étant contenté d’examiner la possibilité de réidentifier les personnes concernées du point de vue de l’émetteur et non du destinataire. Partant, « à défaut pour le CEPD d’avoir recherché si [le destinataire] disposait des moyens légaux et réalisables en pratique lui permettant d’accéder aux informations supplémentaires nécessaires à la réidentification [des personnes concernées], le CEPD ne pouvait conclure que les informations transmises [au destinataire] constituaient des informations se rapportant à une"personne physique identifiable" au sens de l’article 3, point 1, du règlement 2018/1725. »
Il ressort de ce qui précède que si le destinataire démontre qu’il ne dispose pas « des moyens légaux et réalisables en pratique » lui permettant d’accéder aux informations supplémentaires - détenues par le transmetteur - nécessaires à la réidentification des personnes concernées, les données transmises ne doivent pas être considérées comme des données à caractère personnel, car non « indirectement identifiantes ».
Ainsi, et pour en revenir à notre sujet, si le promoteur démontre qu’il est dans l’incapacité de réidentifier les patients dont les données lui ont été transmises par les centres de recherche, il pourrait s’affranchir de toute demande d’autorisation ou d’engagement de conformité à une norme et réaliser ainsi son étude sans se soucier du RGPD et de la loi Informatique et Libertés modifiée.
[1] CJUE, Tribunal, 26 avril 2023, t-557/20.
Alexandre FIEVEE est inscrit au Barreau de Paris depuis 2004.Il accompagne de nombreux acteurs notamment dans le secteur de l’informatique, de la santé, de l’assurance, de la banque et de l’intelligence artificielle.
Il a une grande connaissance et une forte expertise en droit des nouvelles technologies : data, RGPD, e-santé, dématérialisation et informatique. Il travaille aussi bien en conseil qu’en contentieux.
Avant de rejoindre le cabinet Derriennic Associés, Alexandre a travaillé notamment comme responsable juridique au sein de la direction juridique d’AXA France.
Il écrit de nombreux articles dans les revues spécialisées et a notamment une rubrique mensuelle dans la revue Expertises.
Avez-vous apprécié ce contenu ?
A lire également.

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée
24 avril 2025 - 15:14,
Actualité
- DSIHLa Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...

Le GHT Hôpitaux de Provence optimise ses flux patients avec la solution M-SESAME de Maincare
24 avril 2025 - 10:06,
Communiqué
- MaincareLe GHT Hôpitaux de Provence, un des groupements hospitaliers les plus importants de France avec 13 établissements et un bassin de 2 millions d’habitants, a choisi la solution M-SESAME, développée par Atout Majeur Concept, distribuée et intégrée par Maincare, pour répondre à ses besoins en matière de...

Le Groupe Softway Medical accueille Bain Capital Europe au sein de sa structure capitalistique
22 avril 2025 - 15:27,
Communiqué
- Groupe Softway Medical22 avril, 2025 – le Groupe Softway Medical, un leader européen des systèmes d’information en santé, à la fois éditeur, hébergeur et intégrateur pour les établissements de santé publics et privés en France, au Canada et à travers l’Europe, annonce aujourd’hui l’arrivée du fonds de capital-investissem...

L’IA en action : les conditions d’un déploiement réussi au sein des équipes de soins
21 avril 2025 - 18:55,
Tribune
- Arnaud HAVE, Directeur Conseil WeliomL’intégration de l’intelligence artificielle (IA) dans les établissements sanitaires et médico-sociaux représente un défi majeur – à la fois culturel, opérationnel et technique. Pour maximiser les bénéfices concrets de l’IA, les ambitions doivent être alignées sur la maturité de la structure, des éq...