retour

Retour de la CNIL quant aux avis obtenus sur ses référentiels « santé »

Article IT et données personnelles | 11/12/24 | 4 min. | Florence Chafiol Roxane Blanc-Dubois

La France fait figure d’exception parmi les pays de l’Union européenne en ayant conservé un mécanisme de formalités préalables obligatoires dans le domaine de la santé[1]. Ce régime contraint les organismes mettant en œuvre des traitements de données personnelles dans le domaine de la santé à procéder à des déclarations ou demandes d’autorisation auprès de la CNIL.[2]

Plus concrètement, la CNIL a élaboré des référentiels sur différentes thématiques en santé. Il existe, par exemple, un référentiel CNIL sur les traitements mis en œuvre aux fins de gestion des vigilances sanitaires ou encore des référentiels couvrant des traitements de données effectués à des fins de recherches, études et évaluations dans le domaine de la santé (appelés « méthodologies de référence »). Si le traitement tombe dans le champ d’application d’un référentiel de la CNIL et respecte en tous points ses conditions, alors une simple déclaration de conformité audit référentiel par le responsable de traitement concerné suffit. Dans le cas contraire, cela ne signifie pas que le traitement est nécessairement non-conforme au RGPD et à la Loi Informatique et Libertés, mais il revient à l’organisme concerné de demander et d’obtenir l’autorisation préalable de la CNIL pour pouvoir mettre en œuvre son traitement (faute d’autorisation, le traitement ne peut avoir lieu).

Recevant de nombreuses questions (voire réclamations) quant à ce régime et le contenu des référentiels parfois jugés mal adaptés ou contraignants par certains acteurs, la CNIL a lancé une consultation publique qui s’est achevée le 12 juillet 2024. Après plusieurs mois d’analyse des retours obtenus sur ces référentiels « santé », elle livre ses premières observations[3] parmi lesquelles :

  • Certains référentiels existants devraient être adaptés pour tenir compte de l’évolution de la réglementation (par exemple en lien avec l’adoption du règlement sur les dispositifs médicaux) et/ou des réglementations sectorielles et/ou de la réalité des besoins des acteurs (il a notamment été soulevé que les méthodologies de référence devraient élargir les catégories de destinataires pouvant avoir accès à la fois à des données directement identifiantes et des données de santé des participants à une recherche ; un autre besoin remonté par les acteurs est celui de pouvoir aménager l’information individuelle des personnes ou d’intégrer d’autres catégories de données dans les référentiels) ;
  • Certains besoins ne sont pas couverts par les référentiels actuels et devraient l’être selon les acteurs (par exemple, pour couvrir les recherches exclusivement menées à l’étranger) et la question de l’élaboration de nouveaux référentiels se pose ;
  • Les méthodologies de référence devraient être traduites en anglais pour les acteurs ;
  • Le formulaire de demande d’autorisation devrait être révisé afin d’être plus facile d’utilisation ;
  • L’onglet « santé » du site internet de la CNIL devrait être réorganisé afin d’améliorer la visibilité des contenus déjà publiés et leur identification par les acteurs.

La CNIL semble vouloir tenir compte des retours des acteurs pour mettre à jour/refondre les référentiels « santé » et coller au plus près des réalités des traitements mis en œuvre au quotidien par les organismes du secteur.

Pour cela, dès le premier trimestre 2025, la CNIL va constituer des groupes de travail dont l’objectif sera ainsi de construire collectivement les futurs référentiels « santé » de la CNIL. Pour être intégré à ces groupes de travail, un email peut être envoyé au service concerné de la CNIL (concertationsante@cnil.fr).

 

[1] Comme le lui permet l’article 9-4 du RGPD qui dispose que les Etats membres peuvent introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données concernant la santé.

[2] Sauf si le traitement tombe dans l’une des exceptions de l’article 65-1° à 6° de la Loi Informatique et Libertés.

[3] Par une publication en date du 9 décembre 2024 et un webinaire en date du 10 décembre 2024 auquel nous avons assisté.

Explorez notre collection de documents PDF et enrichissez vos connaissances dès maintenant !
[[ typeof errors.company === 'string' ? errors.company : errors.company[0] ]]
[[ typeof errors.email === 'string' ? errors.email : errors.email[0] ]]
L'email a été ajouté correctement