Deux organismes procédant à des recherches médicales ont été contrôlés par la CNIL entre janvier et juillet 2022, et ce à la suite d’un signalement.
Des manquements ont été constatés, et un rappel aux obligations légales leur a été adressé, les données de santé faisant l’objet d’une protection particulièrement importante et devant susciter une vigilance renforcée.
L’obligation de réaliser une analyse d’impact avant certaines recherches médicales
Les deux organismes de recherche médicale n’ont réalisé aucune analyse d’impact, alors que cela était nécessaire.
En effet, les recherches en santé (sauf les recherches internes) doivent être autorisées par la CNIL ou être conformes à une des méthodologies de référence, qui imposent d’ailleurs de réaliser une analyse d’impact avant de procéder à la recherche.
L’obligation de donner une information complète aux personnes concernées
Les deux organismes de recherche médicale avaient délivré une information incomplète et incorrecte aux personnes ayant participé aux recherches.
En effet, le type de données personnelles collectées n’était pas précisé, ni leur durée de conservation.
Certaines notices d’information n’indiquaient pas les coordonnées du délégué à la protection des données ni les modalités de recours auprès de la CNIL.
Enfin, il était indiqué dans une mention d’information que les données étaient anonymisées, alors qu’elles étaient simplement pseudonymisées. Ce point permet de mettre en lumière que cette confusion est particulièrement courante.
« L’anonymisation est un traitement qui consiste à utiliser un ensemble de techniques de manière à rendre impossible, en pratique, toute identification de la personne par quelque moyen que ce soit et de manière irréversible. » alors que la pseudonymisation « consiste à remplacer les données directement identifiantes (nom, prénom, etc.) d’un jeu de données par des données indirectement identifiantes (alias, numéro séquentiel, etc.). » et une réidentification est possible, elle n’a pas un caractère irréversible.[1]
Pour en savoir plus :
Données de santé : la CNIL rappelle à deux organismes de recherche médicale leurs obligations légales, CNIL, 13 mars 2023.
[1] L’anonymisation de données personnelles, CNIL, 19 mai 2020.
Par Laura Martini | News, Protection des données