CNIL : sécurité et confidentialité des données

CNIL : sécurité et

confidentialité

des données :

Réglementation et

Législation Caroline Quintin Nov. 2017

Sommaire

Avant Ŕ propos

Les principes à respecter

Notions importantes

Données de santé

Typologie de la recherche : rappels

Quelle déclaration pour quel fichier?

Transfert de données à l’étranger (UE et hors UE)

Droit à l’information, Droit d’accès et Droit d’opposition

Contrôles et sanctions

Cas pratiques

Avant - propos

La loi 78-17 du 6 janvier 1978 = loi CNIL :

Réglemente l’exploitation des fichiers et des

traitements informatisés contenant des données

personnelles

Modification en Aout 2004 de la loi CNIL :

Renforcement des pouvoirs de la CNIL

Simplification des formalités de déclaration

Avant - propos

MISSIONS

Protection de la vie privée et des libertés individuelles ou publiques

Veiller au respect de la loi « informatique et liberté »

COMMENT ?

Information de la population

Contrôle des organismes demandeurs

Recenser les fichiers

Réglementer le traitement de données

Garantir le droit d’accès aux fichiers

Avant - propos

La loi Informatique et Libertés est applicable dès

lors qu’il existe un traitement automatisé ou

manuel (= fichier informatisé ou papier)

contenant des informations relatives à des

personnes.

Les principes à respecter sont relatifs à la collecte,

au traitement et à la conservation des données et

garantissent certains droits pour les personnes

Les 5 principes (1)

Le principe de finalité : les informations qui

concernent les patients ne peuvent être recueillies

et traitées que pour un usage déterminé et

légitime

Ex. mise en place d’un fichier de patients pour un

médecin lui permettant de gérer ses DM, ses RDV.…

pas d’utilisation de ce fichier à des fins de prospection commerciale

Pas d’utilisation de ce fichier à des fins de

communication politique

Les 5 principes (2)

Le principe de pertinence des données : seules

sont traitées les informations pertinentes et

nécessaires au regard des objectifs de la

recherche, du soin….

on ne peut pas récupérer la nationalité d’un patient

(dans le fichier d’un cabinet médical ou pharmacie)

on peut récupérer les habitudes de vie ou ethnie

seulement si ces informations sont nécessaire au diagnostic, au soins ou à la recherche justification

scientifique à apporter

Les 5 principes (3)

Le principe d’une durée limitée de conservation

des informations

Dans le cadre d’une recherche, en général :

- Au minimum 15 ans après la fin de la recherche ou de

son arrêt anticipé

- Cette période de 15 ans peut être allongée si accord

préalable entre le promoteur et l’investigateur

40 ans si cette recherche porte sur un

médicament dérivé du sang,

30 ans pour l’examen des caractéristiques

génétiques

Les 5 principes (4)

Le principe de sécurité et de confidentialité des

données : le professionnel de santé ou tout

responsable de fichier a une obligation de

sécurité et doit :

Garantir la confidentialité des informations

Éviter la divulgation des informations à des tiers non

autorisés

utilisation de mot de passe individuel, précisions

sur le droit d’accès (lecture, écriture,

suppression), liste des personnes habilitées….

Les 5 principes (5)

Le principe du respect des droits des personnes :

Information des personnes : pour la collecte des

données qui concerne la personne :

individuelle (par la remise d’une note d’info) ou

collective (panneaux d’affichage, livret d’accueil de l’hôpital, page spécifique sur le site internet…)

claire : avec précision

des objectifs poursuivis par cette collecte

des destinataires de ces données

des modalités d’exercice de leurs droits au titre de la loi

CNIL

réponse obligatoire (orale ou écrite) ou facultative

Les 5 principes (6)


Droit d’accès et de rectification :

toute personne peut demander au responsable du

fichier de lui communiquer les informations qui le

concernent.

La personne a le droit de faire rectifier ou supprimer les

informations erronées.

Les 5 principes (7)


Droit d’opposition : toute personne a le droit de

s’opposer (pour des motifs légitimes) que soient

enregistré les données qui le concernent dans un

fichier informatique.

Ex : un patient atteint d’une affection grave motif

invoqué : éviter qu’un membre de sa famille (travaillant

dans l’hôpital) accède à son dossier ; le patient ne

souhaitant pas révéler sa pathologie

Notions importantes (1)

Aucun fichier ou traitement de données susceptible de

contenir des informations personnelles ne peut être crée

sans autorisation ou déclaration auprès de la CNIL

Données à caractère personnel

= toute information relative à une personne

permettant d’identifier directement (nom, prénom….)

ou indirectement la personne (N° d’inclusion dans un

essai…)


Traitement de données à caractère personnel

= toute opération informatisée de :

collecte enregistrement organisation

conservation modification extraction

consultation utilisation communication

rapprochement interconnexion

verrouillage effacement destruction


Anonymisation

= aucun moyen de revenir au patient

Pas d’initiales

Pas de N° enregistrement

Pas de date de naissance

….

Un fichier anonyme existe rarement !


Donnés sensibles

= origines raciales ou ethniques, opinions politiques, philosophiques ou religieuses, ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci, les données génétiques, les infractions, condamnations, mesures de sureté, le N° de sécurité sociale, les données biométriques (empreintes digitales, contour de la main, iris de l’œil…), appréciations sur les difficultés sociales des personnes.

Leur traitement est en principe interdit !

des dérogations existent !

Données de santé (1)

= Données sensibles

Utilisation et communication

uniquement dans l’intérêt du patient ou

pour les besoins de santé publique

Selon les conditions déterminées par la

CNIL


Dans quels cas peut on utiliser (collecte /

traitement) les données de santé?

Les traitements pour lesquels la personne

concernée a donné son consentement exprès

Les traitements nécessaires aux fins de suivi

médicales des personnes, de prévention, de

diagnostic, d’administration de soins ou de

traitements, ou de gestion de service de santé

Les traitements nécessaires à la recherche dans le

domaine de la santé (chap IX de la loi CNIL)


Dans quels cas peut on utiliser (collecte /

traitement) les données de santé?

Les traitements à des fins d’évaluation ou d’analyse

des pratiques ou des activités de soins et de

prévention (ancien chap X de la loi CNIL chap IX )

Si les données sont appelées à faire l’objet, à bref

délai, d’un procédé d’anonymisation

Les traitements justifiés par l’intérêt public et

autorisés par la CNIL


Dans quels cas peut on utiliser (collecte / traitement) les données de santé?

Pour les équipes de soin :

possibilité d’échanger des informations d’un même patient afin d’assurer la continuité des soins ou de déterminer la meilleure prise en charge

Sauf opposition du patient

Pour la télémédecine :

Possibilité d’échanger des informations

Sauf opposition du patient dûment informé

Pour la sécurité sociale et la déclaration obligatoire de certaines maladies


Les utilisations interdites

Les données de santé ne peuvent pas faire l’objet de cession ou d’exploitation commerciale

Même si elles sont rendues anonymes à l’égard du patient

Dès lors que ces fichiers permettent d’identifier (directement ou indirectement) le professionnel prescripteur

Les communications à des tiers autorisés uniquement les autorités judiciaires, des experts et des agents de l’administration fiscale

Quelle typologie pour savoir

quelle formalités auprès de la

CNIL?

RECHERCHE DANS LE DOMAINE DE LA SANTE

IMPLIQUANT LA PERSONNE HUMAINE (RIPH) N’IMPLIQUANT PAS LA PERSONNE HUMAINE

LOI NATIONALE INFORMATIQUE ET LIBERTE (CNIL)

LOI JARDE CODIFIEE / CODE DE LA SANTE PUBLIQUE RECHERCHE DITE « HORS

CHAMP » (n’entrant pas dans le champ de la loi Jardé)

CATEGORIE 1 CATEGORIE 2 CATEGORIE 3 CATEGORIE 4

INTERVENTIONNELLE

INTERVENTIONNELLE A RISQUES ET CONTRAINTES

MINIMES (RIRCM) liste des interventions

relevant de cette catégorie fixée par arrêté

NON INTERVENTIONNELLE

aucun risque ; aucune contrainte

observationnelle

réutilisation 2aire de données (et/ou collections) déjà acquises

ou d’un registre agréé, ou de dossiers médicaux sans que de

nouvelles infos soient collectées auprès des participants

pas de nécessité de revenir au participant

INFORMATION INDIVIDUELLE

spécifique au projet

INFORMATION INDIVIDUELLE


INFORMATION INDIVIDUELLE OU COLLECTIVE


INFORMATION INDIVIDUELLE OU COLLECTIVE

CONSENTEMENT ECRIT CONSENTEMENT ECRIT OU

EXPRES NON OPPOSITION* NON OPPOSITION*

AVIS FAVORABLE CPP AVIS FAVORABLE CPP AVIS FAVORABLE CPP AVIS ETHIQUE POUR PUBLICATION (IRB)

ASSURANCE ASSURANCE

AUTORISATION ANSM INFORMATION ANSM INFORMATION ANSM

MR-001 OU CNIL UNITAIRE

MR-001 OU CNIL UNITAIRE MR-003 OU CNIL UNITAIRE MR-003 OU

CNIL UNITAIRE +/- CEREES

la méthodologie de référence impose une

information individuelle et écrite de chaque participant

CNIL unitaire : si monocentrique (pas de diffusion

de données) : déclaration ; si multicentrique (=

diffusion) : autorisation

* : examen des caractéristiques

génétiques identifiantes : information et recueil du

consentement écrit

Instances réglementaires

INDS : Institut national des données de santé

CEREES : Comité d’expertise pour les recherches, les études et les évaluations dans le domaine de la santé

Applicable uniquement pour les recherche n’impliquant pas la personne humaine au regard de la loi Jardé

Dépôt du dossier au INDS transmet au CEREES avis favorable (1 mois) transmet à la CNIL pour autorisation

Dossier INDS : grille + protocole + déclaration d’intérêt + demande d’autorisation CNIL + NI + avis éthique + liste des financeurs

Instances réglementaires

CNIL : Commission nationale Informatique et Liberté

Selon projet : MR001 / MR003 / Déclaration ou Autorisation préalable au démarrage de la recherche

monocentrique / multicentrique

Consentement et caractéristiques génétiques identifiantes NIFC + hors MR

Disparition du chapitre X de la CNIL (évaluations des pratiques de soins)

Quelle déclaration pour quel fichier? (1)

Déclaration normale : démarche en ligne – accusé de réception uniquement

Fichier de gestion administrative et médicale

Fichier de gestion du PMSI

Gestion de la médecine du travail

Enquête de satisfaction

Étude mono-centrique sur une pathologie (= pas de diffusion de données = pas de rupture du secret médical)

Selon la CNIL : une étude monocentrique est menée à partir des données issues du dossier médical du patient réalisée par les personnels assurant ce suivi et destinée à leur usage exclusif.


Déclaration simplifiée : MR001

Recueil de consentement

Uniquement des recherches interventionnelles (RI + RIRCM) qui respectent la méthodologie de référence

Déclaration simplifiée : MR003

ne nécessitant pas le recueil du consentement exprès de la personne concernée (= recueil de la non opposition)

Uniquement des recherches non interventionnelles (RNI de la loi jardé) qui respectent la méthodologie de référence

Extension aux recherches hors champ en attendant la MR spécifique MR004

La CNIL a publié à ce jour 3 méthodologies de référence

(MR-001, MR-002 et MR-003). La MR-003 vise les projets ne

nécessitant pas le recueil du consentement exprès ou écrit de la personne concernée. Publiée avant la mise en œuvre

de la nouvelle procédure, elle repose sur une terminologie

des projets qui était différente avant l’entrée en vigueur de

la loi Jardé. Il est donc possible que la MR-003 soit

applicable à des projets qui relèvent aujourd’hui des recherches impliquant la personne humaine mais aussi des

recherches n’impliquant pas la personne humaine.

Une mise à jour des méthodologies de référence sera

prochainement lancée afin notamment d’homologuer une

méthodologie de référence spécifique aux recherches

n’impliquant pas la personne humaine. Dans l'attente, les

projets qui relèvent de cette catégorie et respectent le

cadre de la MR-003 peuvent être menés sans qu’un dossier

ne soit soumis à l’INDS, au CEREES et à la CNIL.


Autorisation CNIL :

Préalablement à la CNIL : Obligation de

soumission et d’obtention d’un avis favorable par

le CEREES (via l’INDS)

Démarche CNIL peut se faire en ligne

courrier officiel autorisant la recherche est envoyé

par la CNIL

délai de réponse : 2 mois renouvelable. Sans

réponse sous 4 mois = demande rejetée.


Autorisation CNIL :

DMP , Dossier pharmaceutique (DP)

Télémédecine

Traitement qui comporte des données biométriques

ou génétiques

Les traitements justifiés par l’intérêt public

Les traitements à des fins d’évaluation ou d’analyse

des pratiques ou des activités de soins et de

prévention (chap X de la loi CNIL)

Les fichiers mis en œuvre à des fins de recherche

médicale (ex Chap IX de la loi CNIL)

Les traitements des données appelées à faire l’objet,

à bref délai, d’un procédé d’anonymisation

Méthodologie de référence

Objectifs et formalité de déclaration




















Un seule condition de la méthodologie de

référence non respectée

Déclaration ou demande d’autorisation

CNIL à obtenir avant de démarrage de la

recherche


Grille d’étude des risques

Le schéma doit s’étendre de la collecte

jusqu’à la destruction des données

chiffrement, anonymisation,

sécurité des documents papier

Cloisonnement du traitement, moyens d’authentification, profils

utilisateurs, journalisation, mises à jour et correctifs, antivirus,

équipements mobiles, sauvegarde, maintenance, sécurité réseau,

contrôle d’accès physique, sécurité physique

Politique de sécurité, gestion des

risques et des incidents, gestion des

personnels, relation avec les tiers….

Échelle proposée : 1 = négligeable ; 2= limitée ; 3= importante ; 4=

maximale

Demande d’autorisation CNIL

1. Demande d’avis préalable au CEREES

via l’INDS uniquement pour les recherches

non évaluées par un CPP

2. Demande d’autorisation auprès de la

CNIL

* en attente d’une méthodologie de référence spécifique pour cette catégorie de recherche : MR004 1 le CEREES n’émet pas un avis éthique du projet de recherche

² pas d’obligation réglementaire

RECHERCHE DANS LE DOMAINE DE LA SANTE

IMPLIQUANT LA PERSONNE HUMAINE (RIPH) N’IMPLIQUANT PAS LA PERSONNE HUMAINE

LOI NATIONALE INFORMATIQUE ET LIBERTE (CNIL)

LOI JARDE CODIFIEE / CODE DE LA SANTE PUBLIQUE RECHERCHE DITE « HORS

CHAMP » (n’entrant pas dans le champ de la loi Jardé)

CATEGORIE 1 CATEGORIE 2 CATEGORIE 3 CATEGORIE 4

INTERVENTIONNELLE

INTERVENTIONNELLE A RISQUES ET CONTRAINTES

MINIMES (RIRCM) liste des interventions

relevant de cette catégorie fixée par arrêté

NON INTERVENTIONNELLE

aucun risque ; aucune contrainte

observationnelle

réutilisation 2aire de données (et/ou collections) déjà acquises

ou d’un registre agréé, ou de dossiers médicaux sans que de

nouvelles infos soient collectées auprès des participants

pas de nécessité de revenir au participant

MR-001 ou

MR-001 ou

MR-003 ou

MR-003* ou

Si non respect de la MR001



Si non respect de la MR003*

AVIS FAVORABLE CPP AVIS FAVORABLE CPP AVIS FAVORABLE CPP AVIS ETHIQUE POUR PUBLICATION (IRB)²

Pas de diffusion Diffusion

AVIS

FAVORABLE CEREES1

Déclaration ou demande d’autorisation CNIL



Déclaration CNIL

Demande d’autorisation

CNIL

INDS Ŕ CEREES

DOSSIER Ŕ pièces constitutives :

identification des acteurs et caractéristiques de la demande

un protocole scientifique incluant au moins les précisions demandées dans le résumé. Protocole peut être en anglais

Un résumé de l’étude, de la recherche ou de l’évaluation : obligatoirement en français ; 2 à 3 pages

La(les) déclaration(s) d’intérêt du(des) responsable(s) de traitement et du responsable de la recherche

L’engagement au respect du cadre législatif et réglementaire encadrant l’accès aux données

La demande d’autorisation CNIL pré-remplie

La lettre : notice d’information aux personnes concernées, de non opposition et/ou de consentement le cas échéant

La liste des financeurs de l’étude, le cas échéant

L’avis émis par le comité scientifique et/ou éthique, le cas échéant

Demande d’autorisation CNIL

L’investigateur : Il s'agit d'identifier la personne physique ou morale qui dirige et surveille la réalisation de la recherche.

Personne en charge de la Mise en Œuvre = coordonnées du service ou de l'organisme chargé de l'exploitation informatique du traitement. Ce peut être un service interne (ex, le service informatique) ou un organisme extérieur.

Contact : coordonnées de la personne qui a complété ce formulaire et qui répondra aux éventuelles demandes de compléments de la CNIL.

Identification du responsable : La personne qui signe le formulaire doit appartenir à l'organisme déclarant. (attention différent de l’investigateur)

Finalité : objectifs et titre de la recherche ou étude

Déclaration CNIL

Mêmes informations que pour la demande

d’autorisation (L’investigateur, La Mise en Œuvre,

Contact, Identification du responsable , Finalité …)

sauf :

pas d’avis CPP ou CEREES à communiquer

Pas de transmission de la note d’information

réception d’un récépissé de déclaration CNIL :

attestation de la transmission à la CNIL d’un dossier

de déclaration formellement complet = la mise en

œuvre du traitement de données à caractère

personnel est possible (= démarrage de la

recherche)

Transfert de données à

l’étranger

Transfert de données à l’étranger (1)

Transfert de données à l’étranger (2)

Droit à l’information Ŕ Droit

d’accès Ŕ Droit d’opposition

Droit à l’information

= Toute personne a un droit de regard sur ses

propres données ; par conséquent, quiconque met

en œuvre un fichier ou un traitement de données

personnelles est obligé d’informer les personnes

fichées de son identité, de l’objectif de la collecte

d’informations et de son caractère obligatoire ou

facultatif, des destinataires des informations, des

droits reconnus à la personne, des éventuels

transferts de données vers un pays hors de l’Union

européenne.

Contenu obligatoire à l’information

Droit d’accès

= droit d’une personne de demander directement

au responsable d'un fichier s'il détient des

informations sur elle (site web, magasin, banque...),

et demander à ce que lui soit communiqué

l’intégralité de ces données. L'exercice du droit

d’accès permet de contrôler l'exactitude des

données et, au besoin, de les faire rectifier ou

effacer.

Droit d’opposition = droit d’une personne à s’opposer, pour des motifs légitimes, à figurer dans un fichier. En matière de prospection, notamment commerciale, ce droit peut s'exercer sans avoir à justifier d'un motif légitime. La personne peut s’opposer à ce que les données la concernant soient diffusées, transmises ou conservées.

Le droit d'opposition s'exerce, par écrit :

soit au moment de la collecte d'informations ;

soit plus tard, en s'adressant au responsable du fichier.

Toutes les données précédemment collectées pourront faire l’objet de traitement SAUF en cas d’opposition par écrit de la personne exerçant son droit Concerne l’arrêt prématuré de participation, le retrait de

consentement (sans droit d’opposition par écrit), le patient perdu de vue….

Les données seront utilisées dans l’analyse statistique

Contrôles et Sanctions

La CNIL a le pouvoir d’effectuer des contrôles auprès de l’ensemble des responsables de traitement, sur le territoire français (établissement, et en tout ou partie)

Ces contrôles peuvent se dérouler sur place, sur pièces, sur audition ou en ligne

C’est un moyen d’action pour vérifier l’application de la loi informatique et libertés

Les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s’opposer à l’action de la CNIL, au contraire, doivent prendre les mesures utiles pour faciliter la mission de la CNIL

Évolution de ce cadre en mai 2018 avec l’entrée en vigueur du règlement européen prévoit la réalisation de contrôles conjointement avec plusieurs autorités européennes de protection de données

Ce qui se passe avant un contrôle ?

Décision prise par la président de la CNIL

Le responsable du traitement peut ou ne pas

être prévenu de ce contrôle

Ce qui se passe pendant un contrôle ?

Accès à un maximum d’informations : formulaires,

dossiers papiers, contrats de sous-traitance, base de

données, programmes informatiques…

Un procès verbal de fin de mission est établi en

précisant notamment la liste des documents dont

une copie a été effectuée

Ce qui se passe après un contrôle ?

Examen des documents dont une copie a été effectuée afin d’apprécier la mise en œuvre des dispositions de la loi CNIL

Si pas d’observations particulières : le contrôle est clôturé par un courrier du président ; courrier pouvant contenir des recommandations

Si les manquements relevés sont sérieux, le dossier est alors transmis au service contentieux de la CNIL qui prononce alors des sanctions (article 45) avec possibilités de dénonciation au Parquet

Les sanctions

Les sanctions

Les sanctions

CAS PRATIQUES

Thèse / mémoire :

La recherche est interne (monocentrique)

à partir de données recueillies dans le cadre du suivi

thérapeutique ou médical individuel des patients

Et par les personnes assurant ce suivi

Et pour leur usage exclusif

Soit déclaration normale sur le site de la CNIL

Soit inscription au registre du CIL (correspondant

informatique et libertés) de l’organisme déclarant

Le responsable du traitement est l’établissement de soin.

Les patients doivent être informés lors de la collecte de

leurs données et au plus tard avant le début du

traitement

ou la recherche implique que les données sont rendues accessibles à des personnes en dehors de l’équipe de soins

Par ex :

Les patients sont issus de plusieurs établissements ou centres de soins distincts

Les patients sont issus du même établissement mais tout ou partie des données n’ont pas été recueillies par les professionnels de santé assurant leur prise en charge

Les données de l’étude sont transmises à un partenaire public ou privé

Le doctorant non rattaché au service concerné de l’établissement de santé consulte les données identifiantes des patients

Thèse / mémoire :

La recherche est multicentrique

soit la recherche respecte une MR et un engagement

de conformité a été réalisé par le responsable du traitement pas de CEREES, pas de demande

d’autorisation CNIL

Soit demande d’autorisation recherche (même s’il

existe un référent CIL au sien de l’organisme)

Les patients doivent, avant le début du traitement de

leurs données, être individuellement informés.

Pour les recherches « loi Jardé » : avis CPP préalable

Pour les recherches « hors champ » : avis INDS /CEREES

Thèse / mémoire :

La recherche est multicentrique

Par ex :

Utilisation de reliquats de prélèvements sanguins sans aucune donnée clinique associée aux paramètres biologiques.

Utilisation de scanners, imagerie, complètement anonymisés et sans aucune donnée clinique associée

o Aucune démarche particulière à réaliser auprès de la CNIL (ni déclaration CNIL, ni autorisation CNIL, ni CEREES)

o Information individuelle des patients

o Si recherche « loi jardé » : CPP obligatoire

Données anonymes : Informations qui ne permettent pas d’identifier directement ou indirectement une personne physique même par regroupement

Prélèvements biologiques / Imagerie :

références

Informations recueillies sur les sites CNIL, INDS,

CEREES

Présentation de Sabine Helfen Ŕ URC

Avicenne Ŕ novembre 2016 : CNIL : instruction

dans la recherche clinique

Documents

CNIL : sécurité et confidentialité des données