16 Mar

Données de santé : un rappel à l’ordre pour deux organismes de recherche médicale par la CNIL​​

Deux organismes procédant à des recherches médicales ont été contrôlés par la CNIL entre janvier et juillet 2022, et ce à la suite d’un signalement.

Des manquements ont été constatés, et un rappel aux obligations légales leur a été adressé, les données de santé faisant l’objet d’une protection particulièrement importante et devant susciter une vigilance renforcée.

L’obligation de réaliser une analyse d’impact avant certaines recherches médicales

Les deux organismes de recherche médicale n’ont réalisé aucune analyse d’impact, alors que cela était nécessaire.

En effet, les recherches en santé (sauf les recherches internes) doivent être autorisées par la CNIL ou être conformes à une des méthodologies de référence, qui imposent d’ailleurs de réaliser une analyse d’impact avant de procéder à la recherche.

L’obligation de donner une information complète aux personnes concernées

Les deux organismes de recherche médicale avaient délivré une information incomplète et incorrecte aux personnes ayant participé aux recherches.

En effet, le type de données personnelles collectées n’était pas précisé, ni leur durée de conservation.

Certaines notices d’information n’indiquaient pas les coordonnées du délégué à la protection des données ni les modalités de recours auprès de la CNIL.

Enfin, il était indiqué dans une mention d’information que les données étaient anonymisées, alors qu’elles étaient simplement pseudonymisées. Ce point permet de mettre en lumière que cette confusion est particulièrement courante.

« L’anonymisation est un traitement qui consiste à utiliser un ensemble de techniques de manière à rendre impossible, en pratique, toute identification de la personne par quelque moyen que ce soit et de manière irréversible. » alors que la pseudonymisation « consiste à remplacer les données directement identifiantes (nom, prénom, etc.) d’un jeu de données par des données indirectement identifiantes (alias, numéro séquentiel, etc.). » et une réidentification est possible, elle n’a pas un caractère irréversible.[1]

Pour en savoir plus :

Données de santé : la CNIL rappelle à deux organismes de recherche médicale leurs obligations légales, CNIL, 13 mars 2023.

[1] L’anonymisation de données personnelles, CNIL, 19 mai 2020.

Par Laura Martini | News, Protection des données

TAGS :

Autres articles

12 Jan

Cyberattaques : les hôpitaux comme cible de choix pour les hackers

07 Oct

Vers une prise en compte des données à caractère personnel par les autorités de la concurrence ?

23 Mar

Le ticket dématérialisé : quel impact sur mes données personnelles ?​​
Logo DPM
Linkedin

© Copyright 2005 – 2023 DPM by Lexagone. Tous droits réservés

Lexagone est membre des organismes suivants

DPM by Lexagone, c'est ...

Un logiciel

Des services

Un blog

Une démo

afcdp

... mais aussi

Des utilisateurs

Des partenaires

Une société 

Un contact

Clubster NSL

... Légal

Mentions légales

Protection des données

Conditions Générales d’Utilisation

Cookies

Mentions légales

Protection des données

Conditions Générales d’utilisation

Cookies

Apssis