Le développement de la recherche médicale, et plus largement de la recherche scientifique, ainsi que des soins de santé, y compris dans le domaine de la thérapie génique et cellulaire, est aujourd'hui indissociable du traitement et de l'analyse des données de santé dont la production s'est fortement accélérée ces dernières années. En effet, la recherche médicale et les soins de santé apparaissent aujourd’hui guidés par l'exploitation de ces données considérées comme une mine d'informations indispensable à la recherche (data-driven research). Les données de santé révélant des informations sensibles sur les individus concernés, leur utilisation est strictement réglementée afin de préserver les droits des personnes concernées(également appelées " personnes concernées "). Au-delà de leur utilisation, c'est leur réutilisation (également appelée "traitement ultérieur" ou "utilisation secondaire") qui présente un intérêt dans le domaine de la recherche médicale. En effet, l’importante croissance que connaît la production de données ces dernières années combinée à l'évolution des techniques d'analyse pour le traitement des données, y compris les techniques d'intelligence artificielle, permet d'extraire des masses de données collectées des informations utiles pour la recherche médicale et les soins de santé. Néanmoins, en raison de la grande sensibilité des données relatives à la santé, l'utilisation de ces techniques doit être strictement encadrée afin de ne pas porter atteinte aux droits et libertés des personnes concernées.
Le règlement général sur la protection des données (règlement (UE)2016/679, ci-après dénommé le RGPD), entré en vigueur le 25 mai 2018, encadre strictement la collecte et le traitement des données à caractère personnel. Le RGPD impose des obligations aux organisations publiques ou privées, quelle que soit leur taille, qui traitent des données personnelles pour son compte ou non, établies en Europe ou qui, non établies en Europe, ciblent ou collectent des données relatives à des personnes physiques au sein de l'Union européenne. Le chapitre VIII du RGPD prévoit des sanctions financières importantes en cas de non-respect de ces règles (le montant des sanctions financières peut aller jusqu'à 20 millions d'euros ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial). Ces sanctions peuvent également être rendues publiques.
En ce qui concerne la réutilisation des données à des fins de recherche scientifique, le RGPD fournit un cadre juridique dont l'interprétation continue d'alimenter les débats.
En ce qui concerne plus particulièrement les données de santé et les données génétiques, elles sont considérées par le RGPD comme appartenant à des catégories particulières de données à caractère personnel (voir également la sous-rubrique "Classification des données"). En effet, en raison des informations sur l'état de santé d'une personne qu'elles sont susceptibles de révéler, leur sensibilité a conduit à l'établissement d'un principe général d'interdiction de leur traitement (Art. 9(1) RGPD) - principe auquel il existe plusieurs exceptions (Art.9(2) RGPD).
La protection des données à caractère personnel est un droit fondamental reconnu par la Charte des droits fondamentaux de l'Union européenne (UE) à son article 8. Les données des personnes doivent être traitées loyalement, pour des finalités déterminées et sur la base du consentement de la personne concernée ou d'un autre fondement légitime prévu par la loi (voir également la sous-entrée "Grands principes"). Toute personne a le droit d'accéder aux données collectées à son sujet et de les rectifier.
Personne concernée : La personne identifiée ou identifiable auprès de laquelle les données ont été collectées ou qui est concernée par le traitement des données effectué si les données n'ont pas été collectées directement auprès d'elle et à qui le RGPD accorde des droits concernant l'utilisation de ses données personnelles.
Responsable du traitement : Le responsable du traitement est la personne morale (entreprise, municipalité, etc.) ou physique qui détermine les finalités et les moyens d'un traitement, c'est-à-dire l'objectif et la manière dont il est effectué. En pratique et en général, c'est l'organisation en tant que telle, et non une personne physique au sein de l'organisation, qui agit en tant que responsable du traitement. Le RGPD donne une définition du responsable du traitement dans son article 4(7).
Le responsable du traitement est donc celui qui est chargé du contrôle des données. Selon le principe de responsabilité prévu par le RGPD, le responsable du traitement est responsable de la conformité du traitement des données personnelles avec les règles de protection des données personnelles.
Il est également possible d'avoir plusieurs responsables du traitement : ils seront alors conjointement responsables du traitement et définiront leurs obligations respectives afin d'assurer la conformité du ou des traitements effectués dans le cadre d'un contrat spécifique (article 26 du RGPD).
Sous-traitant : Le sous-traitant est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement (article 4(8) du RGPD). Le ou les sous-traitants doivent fournir des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées pour que le traitement soit conforme à la loi sur la protection des données à caractère personnel et garantisse la protection des droits et libertés des personnes. Les articles 28 et 29 du RGPD fixent les règles régissant la délégation des opérations de traitement aux sous-traitants par le(s) responsable(s) du traitement. Pour plus information : Comité européen de la protection des données, Lignes directrices 07/2020 concernant les notions de responsable du traitement et de sous-traitant dans le RGPD | European Data Protection Board.
Délégué à la protection des données : Le délégué à la protection des données (ci-après dénommé "DPD") est chargé de veiller au respect du RGPD au sein de l'organisation qui l'a désigné pour tous les traitements effectués par cette organisation. Il est chargé de contrôler le respect des règles du RGPD, mais aussi des autres dispositions du droit de l'UE ou des États membres relatives à la protection des données à caractère personnel, ainsi que des règles internes mises en place par le responsable du traitement et le sous-traitant en matière de protection des données à caractère personnel. Dans certains cas définis à l'article 37 du RGPD, la désignation du DPD par le responsable du traitement est obligatoire (notamment lorsque les activités du responsable du traitement comprennent le traitement massif de données particulières, y compris de données relatives à la santé). La désignation, la position et les tâches du DPD sont détaillées dans la section 4 du RGPD (articles 37 à 39). En particulier, lorsqu'un DPD est désigné, les personnes concernées peuvent le contacter pour toute question relative au traitement de leurs données à caractère personnel et à l'exercice de leurs droits. L'implication du DPD dans l'encadrement de tout traitement de données à caractère personnel est d'une grande importance, en particulier lorsque des catégories sensibles de données à caractère personnel sont en jeu et qu'une analyse d'impact relative à la protection des données est nécessaire
L'autorité de contrôle : L'autorité de contrôle est une autorité publique indépendante établie par un État membre pour surveiller l'application des lois sur la protection des données afin de protéger les libertés et droits fondamentaux des personnes physiques à l'égard du traitement de leurs données à caractère personnel et de faciliter la libre circulation des données à caractère personnel. Les personnes concernées par le traitement de leurs données personnelles peuvent saisir cette autorité en cas de violation de leurs droits. Les autorités de contrôle sont en relation avec les responsables de traitement et/ou les DPD pour assurer la conformité des traitements de données à caractère personnel sur le territoire.
Dans le cas d'un traitement transfrontalier de données, l'autorité de contrôle du principal ou de l'unique établissement du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu'autorité de contrôle chef de file (article 56 du RGPD).
Le chapitre VI du RGPD (articles 51 à 59) décrit leur statut, leur organisation, leurs compétences, leurs tâches et leurs pouvoirs.
Comité européen de la protection des données (CEPD) : Le Comité européen de la protection des données est un organe indépendant de l'Union européenne prévu par le RGPD (articles 68 à 76). Il a remplacé le Groupe de travail "Article 29" sur la protection des données. Sa tâche principale est d'assurer l'interprétation harmonisée du RGPD dans tous les États membres de l'UE. Sur la base de l'article 64 du RGPD, il est appelé à émettre des avis formels et, sur la base de l'article 65, des décisions contraignantes en cas de litiges entre autorités. En outre, par l'élaboration de lignes directrices et d'avis, le Comité européen de la protection des données contribue à la position commune des autorités de protection des données de l'UE en apportant des éclaircissements sur l'interprétation des dispositions du RGPD.
Définitions
Collecte des données : Il s'agit de la première étape de l'activité de traitement des données. En effet, elle consiste à collecter, par tout moyen, des données qui seront utiles à la finalité du traitement. Comme le rappelle l'article 5(b) du RGPD, les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes et ne peuvent être traitées ultérieurement pour une finalité incompatible avec la finalité initiale pour laquelle elles ont été collectées. Les opérations de collecte sont considérées comme des activités de traitement de données à caractère personnel et doivent donc être conformes aux exigences du RGPD.
Cette collecte peut être effectuée par le responsable du traitement directement auprès des personnes concernées. De même, les données peuvent ne pas avoir été collectées directement auprès des personnes concernées, notamment en cas de réutilisation de données collectées par un autre responsable du traitement.
Ce traitement implique l'information des personnes concernées, même si les données n'ont pas été collectées directement auprès d'elles (informations à fournir énumérées aux articles 13 et 14 du RGPD), à moins qu'une exception prévue à l'article 14 du RGPD ne s'applique.
Obtention de données : Il s'agit de la situation dans laquelle les données concernées ne sont pas collectées auprès des personnes concernées, mais par un tiers qui a déjà collecté des données à d'autres fins. Par exemple, les données peuvent être obtenues à partir d'un entrepôt de données. À cet égard, le considérant 10 du Règlement (UE) 2022/868 du 30 mai 2022 portant sur la gouvernance européenne des données utilise le terme "obtention de données" en référence à la Directive (UE) 2016/943, qui définit le cadre pour l'obtention, l'utilisation ou la divulgation licites de secrets d'affaires.
Traitement des données : Désigne une opération ou un ensemble d'opérations portant sur des données à caractère personnel, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, divulgation par transmission ou diffusion ou toute autre forme de mise à disposition, alignement, par des moyens automatisés ou non automatisés). (Article 4(2) du RGPD)
Cette notion englobe un large éventail de pratiques telles que la préparation et l'analyse des données, quelle que soit la finalité du traitement.
Le traitement des données doit répondre aux conditions de licéité fixées par le RGPD et doit notamment avoir une ou plusieurs finalités déterminées préalablement à la collecte et à l'utilisation des données.
On peut distinguer deux types de traitement : l'utilisation primaire (ou traitement initial) et l'utilisation secondaire des données (également appelée "réutilisation" ou "traitement ultérieur") :
L'utilisation primaire fait référence à la situation dans laquelle les données ont été collectées et traitées pour une finalité spécifique.
L'utilisation secondaire fait référence au traitement de données pour des finalités autres que celles pour lesquelles ces données ont été initialement collectées. Cette utilisation secondaire peut concerner des responsables du traitement autres que celui ou ceux qui ont collecté les données à l'origine.
Il existe différentes techniques de traitement des données :
Traitement manuel (c'est-à-dire non informatisé),
Et le traitement automatisé (c'est-à-dire le traitement informatisé qui peut inclure des systèmes d'intelligence artificielle).
Ainsi, le traitement des données personnelles n'est pas nécessairement informatisé : les dossiers papier sont également concernés et doivent être protégés dans les mêmes conditions. Quelle que soit la technique de traitement des données personnelles utilisée (automatisée ou non), les règles du RGPD s'appliqueront.
Système d'intelligence artificielle (SIA) : Selon la dernière version du texte de compromis sur la proposition de règlement sur l’intelligence artificielle datée du 2 février 2024, on entend par système d'intelligence artificielle un système basé sur une machine, conçu pour fonctionner avec différents niveaux d'autonomie, qui peut s'adapter après son déploiement et qui, pour des objectifs explicites ou implicites, déduit, à partir des données qu'il reçoit, comment générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer des environnements physiques ou virtuels.
Parmi les techniques de traitement des données par l'intelligence artificielle, on retrouve souvent deux types de techniques appelées deep et machine learning :
Le machine learning (ou apprentissage automatique) : L'apprentissage automatique est une technique d'intelligence artificielle qui vise à donner aux machines la capacité d'"apprendre" à partir de données, par le biais de modèles mathématiques. Plus précisément, il s'agit du processus par lequel des informations pertinentes sont tirées d'un ensemble de données d'apprentissage.
Le deep learning (ou apprentissage profond) : L'apprentissage profond fait référence aux systèmes qui apprennent par le biais de réseaux neuronaux sans être guidés par des humains et dont la logique peut être difficile à expliquer pour le développeur. L'apprentissage en profondeur est un sous-domaine des techniques d'apprentissage automatique.
Autorité de contrôle : Désigne une ou plusieurs autorités publiques indépendantes établies au sein d'un État membre pour contrôler l'application des règles de protection des données afin de protéger les libertés et droits fondamentaux des personnes physiques à l'égard du traitement de leurs données à caractère personnel, mais aussi de faciliter la libre circulation des données à caractère personnel au sein de l'Union européenne. Les personnes, les responsables du traitement et les sous-traitants pourront s'adresser à cette autorité en cas de violation de leurs droits, mais aussi pour toute autre question liée à l'application du RGPD et des lois nationales en vigueur concernant la protection des données à caractère personnel. Voir les articles 51 à 67 (chapitre VI) du RGPD.
Analyse d’impact sur la protection des données (AIPD) : Il s'agit d'une étude spécifique des risques liés au traitement des données à caractère personnel, des menaces pour la protection des données et des actifs qui doit être réalisée lorsqu'un traitement de données à caractère personnel est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes concernées. L'AIPD permet d'identifier des mesures adaptées d'atténuation/élimination des risques aux niveaux technique et organisationnel. Voir les articles 35 et 36 du RGPD.
Registre des activités de traitement : Le registre des activités de traitement fournit un inventaire des traitements de données à caractère personnel et une vue d'ensemble de ce que le responsable du traitement fait avec les données à caractère personnel. Il identifie notamment : les parties impliquées dans le traitement, les catégories de données traitées, l'utilisation des données, les personnes qui y ont accès et celles à qui elles sont communiquées, la durée de conservation des données à caractère personnel et la manière dont elles sont sécurisées. Ce registre des activités de traitement doit être conservé par le responsable du traitement et, le cas échéant, par son représentant. Voir l'article 30 du RGPD.
Code de conduite : Il s'agit d'un guide pratique détaillant l'application concrète de la réglementation applicable en matière de protection des données à un secteur d'activité donné et consistant en bonnes pratiques (durée de conservation, mentions d'information, modes opératoires [Procédures opérationnelles standardisées - Standard Operational Procedures], etc. Au sens du RGPD, un code de conduite est élaboré par des acteurs professionnels (fédérations, organisations professionnelles) représentant des catégories de responsables du traitement ou de sous-traitants. Une organisation peut adhérer librement à un code de conduite. Le RGPD prévoit qu'un organisme tiers sera chargé de contrôler le respect d'un code, ce qui confère à cet outil de conformité un caractère contraignant. Les codes de conduite peuvent être européens ou nationaux ; dans ce dernier cas, l'autorité de contrôle nationale chargée de surveiller l'application du RGPD validera leur contenu avant de les publier. Voir l'article 40 du RGPD.
Mécanisme de certification : L'article 42 du RGPD encourage la mise en place de mécanismes de certification de la protection des données afin de démontrer que les activités de traitement sont conformes aux réglementations en matière de protection des données. Le mécanisme de certification est une procédure par laquelle un organisme de certification externe ou l'autorité de contrôle compétente donne l'assurance écrite qu'un produit, un processus ou un service est conforme aux exigences énoncées dans une norme. La certification est contraignante pour l'organisme certifié et donne lieu à des contrôles réguliers par le tiers certificateur du respect de la norme par le biais d'audits et d'examens. Cette certification a une durée limitée et doit donc être renouvelée. Articles 42 et 43 du RGPD.
Enjeux
En raison de la rapidité d’évolution des technologies, de la production croissante de données de santé et des promesses que leur traitement représente pour la recherche médicale et les soins de santé, il existe une réelle volonté de valoriser les données de santé en permettant leur accessibilité et leur réutilisation, y compris leur croisement avec d'autres données (géographiques ou environnementales, par exemple) afin de permettre des innovations et des améliorations de la connaissance médicale et de la prise en charge des patients. Cependant, au-delà des bénéfices qui pourraient être tirés du traitement des données personnelles, la collecte de données personnelles comporte des risques pour les droits et libertés des personnes concernées qui doivent être dûment pris en compte. En effet, les informations révélant directement ou indirectement l'état de santé des individus sont potentiellement exposées à des risques de mésusages (voir également la sous-entrée "Mission creep / data misuse | EuroGCT") si elles sont utilisées à d'autres fins, telles que la discrimination, par exemple par une compagnie d'assurance ou une banque. Il est donc essentiel de prévoir des mesures appropriées qui garantiront une collecte et un traitement responsables et éthiques des données personnelles dans la recherche ce qui renforcera la confiance des personnes concernées.
Ainsi, un équilibre doit être trouvé entre la protection des droits des personnes et la mise à disposition des données à la communauté de la recherche et de la santé. En effet, il est nécessaire de trouver un équilibre entre la sous-exploitation des données, qui mettrait en péril les recherches menées dans l'intérêt de la population, et le partage et l'accessibilité non réglementés, qui créeraient des risques majeurs pour les droits et libertés des individus.
C'est notamment cet équilibre entre préservation des droits des personnes et valorisation des données de santé qui est recherché dans le futur règlement sur l'Espace européen des données de santé (EEDS). Ce futur espace européen des données de santé vise à développer un cadre de gouvernance européen et des règles communes et spécifiques aux données de santé visant à faciliter leur circulation, partage et accès au profit du soin et de la recherche. Cet espace vise à :
Faciliter l'utilisation des données de santé en Europe pour améliorer les soins aux patients dans toute l'Europe en permettant aux citoyens européens de contrôler leurs propres données de santé dans leur propre pays mais aussi au-delà des frontières, et
Promouvoir la réutilisation des données sur la santé à des fins de recherche, d'innovation et de politiques publiques dans le champ de la santé.
La création prochaine de l'Espace européen des données de santé (EEDS) a pour principal objectif de renforcer l'efficacité des droits des personnes sur leurs données et d'ouvrir de nouvelles voies pour l'accès contrôlé aux données de santé et leur traitement à des fins d'intérêt public, y compris pour la recherche scientifique.
Pour que les personnes concernées puissent exercer leurs droits en vertu du RGPD et des lois nationales sur la protection des données, elles doivent être informées de manière claire et transparente du traitement effectué et de leurs droits par rapport à ce traitement. La recherche médicale reposant sur la participation des personnes, il est essentiel de préserver les droits, intérêts et libertés des individus afin de favoriser leur confiance et leur participation. Cette confiance est au cœur des mouvements réglementaires actuels afin d'assurer une utilisation responsable des données de santé sur le long terme.
A cet égard, le projet TEHDAS (Towards European Health Data Space) (TEHDAS est une action conjointe mobilisant vingt-cinq pays européens visant à développer le futur cadre politique, juridique et technique pour le partage et l’utilisation secondaire des données de santé dans le futur règlement européen sur l'Espace européen des données de santé) a placé la considération des citoyens au cœur de ses travaux. Une consultation électronique citoyenne a été lancée sur ce sujet entre fin 2021 et fin 2022 afin de recueillir l'avis des citoyens européens sur l'utilisation et la réutilisation de leurs données de santé, et ainsi proposer des recommandations sur ce sujet. Globalement, cette action commune vise à créer des conditions de gouvernance permettant à tous les acteurs impliqués dans la création de cet espace européen des données de santé d'accéder aux données de santé de manière sécurisée et transparente, quel que soit l'endroit où elles sont stockées en Europe. Pour en savoir plus et lire leurs conclusions, cliquez ici.
Les données génétiques et génomiques sont particulièrement sensibles en raison du caractère intime et unique du patrimoine génétique, ce qui les rend particulièrement personnelles et identifiables (notamment lorsque des séquences génomiques humaines sont utilisées) et peut impliquer des informations relatives à des tiers tels que des membres de la famille. Elles présentent un réel caractère informatif mais aussi un caractère potentiellement prédictif de l'état de santé d'un individu, ce qui explique la protection particulière qui leur est accordée au niveau européen par les règles du RGPD, au même titre que les données de santé de manière générale. A cet égard, la Convention d'Oviedo du Conseil de l'Europe du 4 avril 1997 interdit toute forme de discrimination fondée sur le patrimoine génétique. De même, la Charte des droits fondamentaux de l'Union européenneCharte des droits fondamentaux de l'Union européenne, dans son article 21, interdit toute forme de discrimination fondée sur les caractéristiques génétiques d'un individu. Ainsi, en raison des caractéristiques particulières des données génétiques et génomiques, il est juridiquement préférable de ne pas les considérer comme des données pouvant être anonymisées mais comme pseudonymisées afin de garantir une protection et des droits individuels appropriés. Pour certains cas spécifiques, tels que les tests génétiques somatiques (par exemple l'utilisation du génome des cellules tumorales), il est encore considéré comme possible d'anonymiser les données à condition de respecter des conditions d'anonymisation strictes (Texte de référence sur le sujet : Groupe de travail "Article 29" sur la protection des données, Avis 05/2014 sur les Techniques d’anonymisation.
Par ailleurs, l'un des défis au niveau européen est la fragmentation du paysage juridique en ce qui concerne les règles applicables au traitement des données génétiques et des données relatives à la santé. En effet, en raison de la spécificité de ces données, le RGPD a prévu la possibilité pour les États membres d'introduire des conditions supplémentaires, y compris des limitations au traitement de ces données (article 9(4) RGPD). Le cadre juridique est donc susceptible de changer d'un État à l'autre. Le responsable du traitement devra donc s'assurer qu'au-delà des règles du RGPD, il respecte les lois nationales.
En ce qui concerne spécifiquement la réutilisation des données pour la recherche scientifique, le cadre réglementaire au niveau de l'UE doit encore être clarifié. En pratique, il fait encore l'objet d'interprétations divergentes dans les différents États membres. Le Conseil européen de la protection des données a répondu à certaines des questions soulevées à cet égard. Des lignes directrices axées sur le traitement des données à caractère personnel à (en langue anglaise European Data Protection Board questionnaire) des fins de recherche scientifique sont attendues de la part du Comité européen de protection des données.
Par ailleurs, la Commission européenne a proposé une Directive sur les règles de responsabilité en matière d'IA pour protéger les consommateurs et encourager l'innovation.
Opportunités et incitations
Les initiatives de partage et de réutilisation des données de santé et des données génétiques pour la recherche médicale constituent une réelle opportunité pour le développement de la recherche médicale et l'amélioration des soins aux patients. A cet égard, le futur Espace européen des données de santé a axé l'un de ses objectifs sur la promotion de la réutilisation des données pour la recherche, l'innovation et les politiques publiques. Plusieurs projets européens favorisent cette réutilisation des données à des fins de recherche dans un cadre qui respecte les lois sur la protection des données et préserve les droits et libertés des individus. On peut citer à titre d'exemple BBMRI-ERIC, le projet européen CINECA (Common Infrastructure for National Cohorts in Europe, Canada, and Africa), et le Data Analysis and Real World Interrogation Network (DARWIN EU).
L'initiative DARWIN EU (Data Analysis and Real World Interrogation Network) a pour ambition d'établir un centre de coordination afin de fournir en temps utile des données fiables sur l'utilisation, la sécurité et l'efficacité des médicaments à usage humain, y compris les vaccins, à partir de bases de données de soins de santé en situation réelle dans l'ensemble de l'UE. Ces données peuvent notamment être utilisées par l'Agence européenne des médicaments et les autorités nationales de contrôle des médicaments à tout moment du cycle de vie d'un médicament. Le projet DARWIN est directement lié à la mise en place de l'Espace européen des données de santé, puisqu'il contribuera au développement de cet espace de données. En effet, leurs objectifs se rejoignent puisque l'initiative DARWIN permettra l'échange de données sur les soins de santé en vue de leur utilisation dans la prestation de soins de santé, l'élaboration de politiques et la recherche en Europe, tout en respectant pleinement les exigences en matière de protection des données.
Interactions avec les régulateurs
Interactions entre le contrôleur et/ou le sous-traitant et une autorité de contrôle
Coopération du responsable du traitement et du sous-traitant avec l'autorité de contrôle (article 31 du RGPD). À la demande de l'autorité de contrôle compétente, le responsable du traitement et le sous-traitant doivent coopérer avec cette autorité. En particulier, la documentation (y compris le registre des activités de traitement) attestant de la conformité des processus de collecte et de traitement des données à caractère personnel doit être disponible à la demande de l'autorité de contrôle.
Consultation préalable de l'autorité de contrôle par le responsable du traitement en cas de traitement de données à caractère personnel présentant un risque élevé. Pour rappel, lorsque le traitement de données envisagé porte sur des données sensibles, le responsable du traitement doit effectuer une analyse d'impact relative à la protection des données avant de traiter les données (article 35 du RGPD). Cette analyse d'impact doit donc être effectuée en cas de traitement de données relatives à la santé et de données génétiques. Si cette analyse montre que le traitement présente un risque élevé pour les personnes concernées que le responsable du traitement ne peut atténuer par des mesures appropriées, il doit consulter l'autorité de contrôle avant de mettre en œuvre le traitement. Les autorités de contrôle nationales ont adopté des listes de traitements soumis à une AIPD obligatoire.
Violation de données à caractère personnel (articles 33 et 34 du RGPD). En cas de violation de données à caractère personnel, le responsable du traitement doit en informer l'autorité de contrôle compétente dans les meilleurs délais (si possible dans les 72 heures suivant la violation s'il existe des risques pour les droits et libertés des personnes physiques). Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance. L'article 33 du RGPD détaille les informations qui doivent être incluses dans la notification de la violation. Le responsable du traitement doit documenter toute violation de données à caractère personnel et les mesures prises pour y remédier. Cette documentation peut permettre au responsable du traitement de certifier si nécessaire à l'autorité de contrôle que la procédure prévue en cas de violation de données à caractère personnel a été suivie.
Si la violation en question est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne, le responsable du traitement doit communiquer dans les meilleurs délais à la personne concernée, en des termes clairs et simples, la nature de la violation et doit inclure les informations décrites à l'article 34(2) du RGPD. Dans certains cas spécifiques décrits à l'article 34(3), du RGPD, cette communication n'est pas nécessaire.
Interactions entre le délégué à la protection des données et une autorité de contrôle
Interaction entre le délégué à la protection des données et l'autorité de contrôle nationale. En vertu desmissions conférées par le RGPD (article 39) au délégué à la protection des données, ce dernier doit coopérer avec l'autorité de contrôle si nécessaire (par exemple en communiquant la documentation attestant de la conformité des activités de traitement de données mises en œuvre) et doit servir de point de contact pour l'autorité de contrôle si nécessaire (notamment en cas de consultation préalable à un traitement de données présentant un risque élevé).
Interactions entre les personnes concernées et une autorité de contrôle
Plaintes des particuliers auprès d'une autorité de contrôle (article 77 du RGPD). Toute personne concernée a le droit d'introduire une réclamation auprès d'une autorité de contrôle si elle considère que le traitement des données à caractère personnel la concernant constitue une violation des règles de protection des données. L'autorité de contrôle informe la personne qui a introduit la réclamation de l'état et de l'issue de celle-ci, y compris de la possibilité d'un recours juridictionnel tel que prévu à l'article 78 du RGPD.
Droit à un recours juridictionnel effectif contre une autorité de contrôle (article 78 du RGPD). Toute personne physique ou morale a droit à un recours juridictionnel effectif lorsque l'autorité de contrôle ne traite pas une réclamation ou n'informe pas la personne concernée, dans un délai de trois mois, de l'état d'avancement ou de l'issue de la réclamation introduite.
Droit à un recours juridictionnel contre un responsable du traitement ou un sous-traitant (article 79 du RGPD). Toute personne concernée a droit à un recours juridictionnel effectif si elle considère que ses droits au titre du RGPD ont été violés du fait du traitement de ses données à caractère personnel. Ce recours peut être exercé en plus de tout recours administratif ou extrajudiciaire, y compris le droit d'introduire une réclamation auprès de l'autorité de contrôle, conformément à l'article 77 du RGPD. Toute personne ayant subi un préjudice matériel ou moral du fait d'une violation des règles de protection des données a le droit d'obtenir du responsable du traitement et du sous-traitant réparation du préjudice subi (article 82 du RGPD).
Étapes pratiques
Sur la collecte, l'acquisition et le traitement des données à caractère personnel
Quels sont les principes à respecter pour établir la licéité de la collecte et du traitement des données ? La collecte et le traitement des données doivent remplir certaines conditions pour être considérés comme licites. Ces conditions de licéité portent sur la finalité de la collecte et du traitement des données, mais aussi sur la manière dont les données sont collectées et traitées.
L'article 5 du RGPD énonce les principes à respecter en matière de traitement des données à caractère personnel :
Les données doivent être traitées de manière transparente : cela implique que les personnes concernées soient informées du traitement.
Le principe de limitation de la finalité : la finalité de la collecte doit être spécifique (c'est-à-dire qu'elle ne doit pas être décrite en termes trop larges ou trop vagues), explicite (clarté et précision des informations données à l'avance et de préférence par écrit) et légitime (exigence légale ou justifiée par la recherche). Ce principe interdit le traitement des données pour des finalités qui ne sont pas compatibles avec celles pour lesquelles elles ont été traitées à l'origine. En ce qui concerne spécifiquement la recherche scientifique, le considérant 33 du RGPD prévoit la possibilité d'une approche plus souple de l'exigence de spécificité en disposant que les personnes peuvent donner leur consentement pour certains domaines de recherche ou certaines parties du projet de recherche dans le respect des normes éthiques de la recherche scientifique lorsqu'il n'est pas possible d'identifier pleinement la finalité du traitement des données à caractère personnel à des fins de recherche scientifique au moment de la collecte des données. En pratique, il peut s'agir d'un programme de recherche comprenant plusieurs projets de recherche ayant le même objectif global.
Le principe de minimisation des données : les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la finalité du traitement.
Le principe d'exactitude : les données doivent être exactes, mises à jour et corrigées si nécessaire.
Le principe de limitation de la conservation : les données identifiantes ne sont conservées que pendant la durée nécessaire à la réalisation de la finalité du traitement. Toutefois, il est possible de dépasser cette durée à des fins de recherche scientifique, à condition que des mesures techniques et organisationnelles soient mises en œuvre pour garantir les droits et libertés des personnes concernées (telles que la pseudonymisation des données pour minimiser le risque d'identification des personnes concernées).
Le principe d'intégrité et de confidentialité : Ce principe implique la mise en œuvre de mesures techniques ou organisationnelles limitant toute utilisation abusive des données et garantissant leur sécurité.
Qui est responsable de la mise en œuvre de ces principes ? L'article 5 RGPD désigne le responsable du traitement comme la personne responsable durespect de ces principes.
Comment identifier le responsable du traitement des données ? Le responsable du traitement est l'entité juridique ou la personne physique qui détermine les finalités et les moyens du traitement des données, c'est-à-dire l'objectif et la manière de l'atteindre. En pratique et en général, il s'agit de l'entité juridique (par exemple un institut de recherche) incarnée par son représentant légal. Il peut y avoir plusieurs responsables du traitement si plusieurs acteurs participent à la détermination des finalités et des moyens du traitement. Dans ce cas, ces différents acteurs seront conjointement responsables du traitement.
Quand ces principes doivent-ils être mis en œuvre ? Conformément au principe du respect de la vie privée dès la conception et par défaut (prévu et décrit à l'article 25 du RGPD), le responsable du traitement doit mettre en œuvre des mesures techniques et organisationnelles appropriées (telles que la pseudonymisation), tant lors de la détermination des moyens de traitement que lors du traitement lui-même, afin demettre en œuvre efficacement les principes de protection des données (tels que la minimisation des données) et de garantir le respect des droits et des libertés des personnes concernées. Un mécanisme de certification (prévu à l'article 42 du RGPD) peut servir à démontrer le respect des exigences de ce principe.
Comment s'assurer de la licéité du traitement des données effectué ? Comme défini à l'article 5 du RGPD, le traitement doit être licite, c'est-à-dire que tout traitement doit être fondé sur l'un des motifs légaux énoncés à l'article 6 du RGPD. La base juridique du traitement est la première condition de la licéité du traitement. Il est interdit de traiter des données à caractère personnel sans base juridique.
Quelles sont les bases juridiques prévues par le RGPD pour le traitement des données personnelles ? L'article 6 du RGPD prévoit comme bases légales :
Le consentement : la personne a consenti au traitement de ses données ; ou
le contrat : le traitement est nécessaire à l'exécution ou à la préparation d'un contrat avec la personne concernée ; ou
l’obligation légale : le traitement est imposé par des textes légaux ; ou
la mission d'intérêt public : le traitement est nécessaire à l'exécution d'une mission d'intérêt public ; ou
l’intérêt légitime : le traitement est nécessaire à la poursuite des intérêts légitimes de l'organisme qui traite les données ou d'un tiers, dans le strict respect des droits et des intérêts des personnes dont les données sont traitées ; ou
la sauvegarde des intérêts vitaux : le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'un tiers.
Il convient de noter que lorsqu'une autre base juridique que le consentement est choisie, les personnes concernées doivent néanmoins être informées du traitement des données et avoir le droit de s'y opposer (mécanisme de non-opposition ou « d'opt-out » en anglais).
Qui définit la base juridique du traitement ? La base juridique doit être définie par le responsable du traitement au cas par cas, de manière appropriée à la situation. Le responsable du traitement doit documenter le choix de la base juridique afin d’attester de la conformité réglementaire du traitement des données. En outre, la base juridique choisie doit être mentionnée dans les notices/lettres d'information envoyées aux personnes concernées par le traitement des données. En pratique, pour les activités de recherche, la base juridique choisie est le plus souvent :
L’intérêt public (article 6(1)e), du RGPD) : utilisé par des organisations publiques ou privées tant qu'elles poursuivent une mission d'intérêt public ou sont dotées de prérogatives de puissance publique ; ou
L’intérêt légitime (article 6(1)f), du RGPD) : couramment utilisé par les organisations privées pour les traitements qui n'affectent pas de manière significative les droits et les intérêts des personnes concernées ; ou
Il convient de noter que le traitement de catégories particulières de données (telles que les données relatives à la santé ou les données génétiques) doit répondre à une finalité de traitement prévue par l'article 9 du RGPD (comme expliqué ci-dessous).
Quelles sont les règles spécifiques applicables à la collecte et au traitement des données relatives à la santé et des données génétiques ? Comme expliqué ci-dessus, le RGPD a prévu un principe général d'interdiction de la collecte et du traitement de catégories particulières de données à caractère personnel, y compris les données relatives à la santé et les données génétiques (article 9(1) du RGPD). Toutefois, il existe plusieurs exceptions à ce principe d'interdiction. Elles permettent la collecte et le traitement de données dans des cas très limités, notamment le consentement de la personne concernée, l'intérêt public du traitement et les finalités de la recherche scientifique (article 9(2) du RGPD.
Quelles sont les règles spécifiques applicables au traitement des données médicales et génétiques à des fins de recherche scientifique ? Lafinalité de la recherche scientifique est l'une des exceptions prévues par le RGPD (Art.9(2)j) permettant le traitement de données personnelles sensibles conformément à des dispositions spécifiques : le traitement doit être soumis à des garanties appropriées pour les droits et libertés des personnes concernées telles que la mise en œuvre de mesures techniques et organisationnelles, en particulier pour assurer le respect du principe de minimisation des données (Article 89(1) RGPD). En particulier, la technique de pseudonymisation est explicitement mentionnée dans le RGPD.
Ces mesures supplémentaires requises sont justifiées par le fait que la collecte et le traitement à des fins de recherche bénéficient de certaines dérogations qui concernent principalement les droits des personnes concernées (dérogations au droit d'accès, au droit de rectification, au droit à la limitation du traitement, au droit d'opposition), dans la mesure où ces droits rendent impossible ou entravent sérieusement la réalisation de l'objectif de la recherche (article 89(2), du RGPD).
En outre, comme expliqué précédemment, une certaine souplesse est prévue en ce qui concerne la délimitation de la finalité de la recherche. En effet, le considérant 33 du RGPD prévoit qu'il n'est pas toujours possible d'identifier pleinement la finalité du traitement des données à caractère personnel à des fins de recherche scientifique au moment de la collecte des données. Les personnes peuvent donner leur consentement pour certains domaines de recherche ou des programmes de recherche dans le respect des normes éthiques de la recherche scientifique. Néanmoins, la description de l'objectif global de la recherche doit rester précise.
En outre, le RGPD prévoit l'obligation de réaliser une analyse d'impact sur la protection des données (AIPD) pour tout traitement de données considéré comme à risque (article 35 RGPD). Les données génétiques et les données relatives à la santé étant considérées comme des données particulières en raison de leur sensibilité, leur traitement nécessitera la réalisation de cette analyse d'impact. Cette analyse d'impact garantit que le traitement sera conforme au RGPD et respectera les droits des personnes concernées.
Comment réaliser une analyse d'impact relative à la protection des données ? L'analyse d'impact relative à la protection des données (AIPD) doit être effectuée avant la mise en place du traitement et doit être réexaminée au cours du traitement, en particulier si des changements importants interviennent dans la manière dont les données sont traitées. Les participants à la réalisation de l'AIPD sont le responsable du traitement, le délégué à la protection des données, le(s) sous-traitant(s) éventuel(s), le personnel informatique et les personnes concernées par le traitement. L’AIPD se compose de trois parties :
Une description détaillée du traitement mis en œuvre, y compris les aspects techniques et opérationnels du traitement ;
Une évaluation du respect des principes fondamentaux de la protection des données, à savoir : un examen de la nécessité du traitement et du respect du principe de proportionnalité (les données collectées et traitées sont strictement nécessaires à la finalité du traitement) ainsi qu'une description des mesures mises en place pour garantir les droits des personnes concernées.
Une étude plus technique des risques pour la sécurité des données (confidentialité, intégrité et disponibilité) et de leur impact potentiel sur la vie privée. Cette étude doit être complétée par une description des mesures techniques et organisationnelles envisagées pour faire face à ces risques et protéger les données.
Quelles sont les règles relatives à l'information des personnes concernées par le traitement de leurs données personnelles ? Le responsable du traitement doit fournir des informations aux personnes concernées sur le traitement envisagé, conformément au principe de transparence. Le RGPD distingue deux situations à cet égard :
Lorsque les données sont collectées directement auprès de la personne concernée (article 13 du RGPD),
Lorsque les données n'ont pas été collectées auprès de la personne concernée (article 14 du RGPD).
Ces informations doivent notamment comprendre :
L’identité et les coordonnées du responsable du traitement,
les finalités du traitement et la base juridique du traitement,
les destinataires des données à caractère personnel, le cas échéant,
des informations sur les droits individuels attachés à ce traitement de données (articles 15 à 20 du RGPD) et sur la procédure à suivre pour exercer ces droits,
l'intention, le cas échéant, d'effectuer un transfert de données vers un pays tiers,
le cas échéant, l'intention de procéder à un traitement ultérieur des données pour une autre finalité.
Pour une lecture complète des exigences relatives aux informations individuelles, veuillez vous référer aux articles 13 ou 14 du RGPD en fonction de la situation applicable.
En ce qui concerne la situation où les données à caractère personnel utilisées n'ont pas été collectées auprès de la personne concernée, l'article 14(5) du RGPD prévoit des exceptions à cette obligation d'information, par exemple dans les cas où :
La personne concernée dispose déjà de ces informations,
ou que la fourniture de ces informations exigerait des efforts disproportionnés, en particulier dans le cas du traitement des données à des fins de recherche scientifique.
Veuillez-vous référer à l'article 14(5), du RGPD pour connaître toutes les exceptions prévues.
Si de telles exceptions sont mises en place, le responsable du traitement devra documenter et expliquer l'utilisation de ces exceptions.
Cette information des personnes concernées doit être renouvelée en cas de modification substantielle des activités de traitement (c'est-à-dire concernant les principales caractéristiques du traitement, telles qu'une nouvelle finalité, l'ajout d'une collecte de données sensibles, un changement de responsable du traitement, etc. ou en cas d’événement spécifique lié au traitement des données (par ex. en cas de violation de données).
Est-il obligatoire d'obtenir le consentement des personnes concernées avant la collecte et le traitement de leurs données médicales et génétiques ? Leconsentement au traitement des données n'estpas toujours nécessaire. Il dépend de la base juridique du traitement. Si le traitement est fondé sur le consentement des personnes concernées, le recueil du consentement avant la mise en œuvre du traitement est obligatoire. Ce consentement doit être conforme aux exigences fixées par le RGPD, à savoir : libre, spécifique (donné pour une ou plusieurs finalités), éclairé (informations données à la personne sur le traitement) et univoque (donné par un acte positif clair et sans ambiguïté).
Les personnes concernées peuvent changer d'avis à tout moment et retirer leur consentement.
À ces exigences s'ajoute, dans le cas du traitement de données sensibles (y compris les données relatives à la santé et les données génétiques), le critère du caractère explicite, c'est-à-dire que la personne concernée doit déclarer expressément son consentement (par écrit, par exemple).
La collecte du consentement doit être documentée par les responsables du traitement, qui doivent être en mesure de prouver que le consentement a été obtenu conformément à ces exigences.
Toutefois, dans le contexte de la recherche scientifique, la base juridique des finalités de la recherche scientifique sera souvent privilégiée (article 9(2)j) et article 6(1)e) ou f), du RGPD). Le recours à cette base juridique ne nécessite pas le consentement préalable des personnes pour le traitement de leurs données. Toutefois, l'obligation d'informer doit toujours être respectée en permettant aux personnes concernées de s'opposer au traitement (droit d'opposition).
Néanmoins, il est nécessaire de rappeler que les États membres peuvent introduire des conditions supplémentaires, y compris des limitations, concernant le traitement des données relatives à la santé et des données génétiques (article 9(4), du RGPD). Ainsi, le droit national peut prévoir que le traitement de ces catégories de données peut nécessiter un consentement même si celui-ci n'est pas requis par le RGPD et quelle que soit la base juridique choisie pour le traitement des données. Le responsable du traitement devra alors veiller au respect des lois nationales en vigueur dans les États membres dans lesquels les données sont collectées et/ou traitées.
Que faut-il prendre en considération avant de choisir le consentement comme base juridique du traitement des données à caractère personnel ? Toutes les exigences du RGPD concernant le consentement doivent être respectées, à savoir que le consentement soit librement donné, spécifique, informé et non ambigu (article 4 RGPD). Outre ces critères, la nature explicite du consentement (article 9(2)a), du RGPD) doit être respectée en cas de traitement de données à caractère personnel considérées comme sensibles (telles que les données relatives à la santé et les données génétiques). En outre, comme l'a rappelé le Comité européen de la protection des données, il convient d'accorder une importance particulière à la condition du consentement "librement donné". En effet, cela implique que la personne a fait un choix et qu'elle dispose d'un contrôle réel. S'il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, le consentement ne devrait pas constituer une base juridique valable pour le traitement des données à caractère personnel (considérant 43 du RGPD). Ces éléments sont importants dans le contexte de la recherche médicale où des situations de déséquilibre de pouvoir entre le commanditaire/l'investigateur du projet de recherche peuvent souvent exister (enfants, personnes en situation de dépendance institutionnelle ou hiérarchique, catégories de personnes économiquement ou socialement défavorisées, etc.) L'investigateur et/ou le responsable du traitement doivent tenir compte de tous ces éléments lorsqu'ils choisissent la base juridique du traitement de données qu'ils ont l'intention d'effectuer.
Quelle est la différence entre le consentement au traitement de données à des fins de recherche et le consentement à participer à une recherche ? Il est nécessaire de faire la distinction entre le consentement éclairé à la recherche et le consentement au traitement des données à des fins de recherche. En effet, la participation à la recherche est régie par des lois nationales qui peuvent exiger un consentement éclairé dans des conditions spécifiques. Au niveau européen, l'article 28 du Règlement européen relatif aux essais cliniques rappelle le caractère obligatoire du consentement éclairé pour toute participation à un essai clinique. Comme l'a rappelé le Comité européen de la protection des données, ces dispositions répondent avant tout aux exigences éthiques essentielles relatives à l'encadrement des projets de recherche impliquant des personnes humaines et qui découlent de la Déclaration d’Helsinki (Comité européen de protection des données, Avis 3/2019 concernant les questions et réponses sur l’interaction entre le règlement relatif aux essais cliniques et le règlement général sur la protection des données (RGPD) (article 70(1)b) Adopté le 23 janvier 2019). Le consentement éclairé implique la fourniture d'une information exhaustive, complète et intelligible sur la recherche envisagée. À cet égard, l'article 29 du Règlement européen relatif aux essais cliniques décrit la liste des éléments qui doivent être fournis aux personnes concernées pour que l'information soit valable.
Au-delà de la situation des essais cliniques, ce consentement éclairé a été décrit par le Comité européen de la protection des données comme une "garantie appropriée" potentielle (prévue à l'article 89(1) du RGPD) à mettre en place pour sauvegarder les droits et libertés des personnes dans le contexte du traitement des données à des fins de recherche scientifique. Ainsi, même si la base juridique choisie est celle de la recherche scientifique et qu'il n'y a pas d'obligation légale d'obtenir le consentement des personnes concernées, le consentement peut être recueilli de manière volontaire dans une démarche éthique. Cette position est également défendue par le projet européen CINECA (Common Infrastructure for National Cohorts in Europe, Canada, and Africa), en langue anglaise.
Guide sur la politique en matière de consentement : La politique de consentement de l'Alliance mondiale pour la génomique et la santé (GA4GH), en langue anglaise, vise à guider le partage international des données génomiques et des données liées à la santé d'une manière qui respecte la prise de décision autonome tout en promouvant le bien commun du partage international des données.
Comment assurer la protection des droits des personnes concernées par le traitement de leurs données personnelles dans le cadre du RGPD ? Le RGPD reconnaît plusieurs droits aux personnes concernées par le traitement de leurs données personnelles. Le responsable du traitement doit prendre les mesures appropriées pour fournir les informations visées aux articles 13 et 14 du RGPD aux personnes concernées afin d'assurer un traitement transparent de leurs données à caractère personnel. Ces informations doivent expliquer comment exercer les droits de la personne concernée afin d'en garantir l'effectivité. Ces informations doivent être concises, transparentes, compréhensibles et facilement accessibles en termes simples et clairs. En outre, les informations doivent être adaptées au public cible, tel que les enfants.
Ces droits sont énumérés au chapitre III du RGPD et incluent :
Le droit à l'information : respect du principe de transparence (articles 13 et 14),
le droit d'accès à ses données (article 15),
le droit de rectifier les données personnelles inexactes (article 16),
le droit à l'effacement ou droit à l'oubli pour certains motifs (article 17),
le droit de limiter le traitement dans certaines situations déterminées (article 18),
le droit à la portabilité des données (article 20),
le droit d'opposition : à tout moment au traitement des données (article 21).
Il convient de noter que le RGPD prévoit des exceptions à certains de ces droits en ce qui concerne le traitement des données à des fins de recherche scientifique. En particulier, le droit à l'information, le droit à l'effacement et le droit à la portabilité des données peuvent ne pas être applicables (si l'exercice de ces droits est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs de la recherche). Ces exceptions doivent être justifiées et documentées.
Quelles sont les règles à respecter lorsqu'un système d'intelligence artificielle est utilisé dans le cadre d'un traitement de données de santé ? L'utilisation de ces systèmes dans le cadre d'un traitement de données à caractère personnel est soumise aux règles du RGPD, à savoir :
Définir un objectif,
Respecter le principe de transparence : qui se traduit ici par l'information des personnes concernées sur l'utilisation de l'intelligence artificielle dans le traitement de leurs données personnelles, mais aussi par l'explicabilité de l'IA, c'est-à-dire que les individus doivent être en mesure de comprendre les résultats et les conclusions créés par l'algorithme.
Respecter le principe de minimisation des données : n'utiliser que les données nécessaires à la formation et au fonctionnement du système d'IA en fonction de la finalité du traitement.
Assurer l'exercice des droits des personnes physiques à l'égard du traitement de leurs données à caractère personnel : Tout d'abord, il est important de noter que l'article 22 du RGPD prévoit que la personne concernée par un système de prise de décision fondée exclusivement sur un traitement automatisé qui produit des effets juridiques à son égard ou l'affecte de manière significative de façon similaire, a le droit de ne pas être soumise à cette décision. En outre, les droits des personnes physiques en matière de protection des données à caractère personnel s'appliquent tout au long du cycle de vie du système d'IA utilisant les données à caractère personnel des personnes concernées. L'exercice de ces droits concerne à la fois les données contenues dans les bases de données utilisées pour l'apprentissage du système et les données traitées, ce qui implique également les données produites par le système. Si le système d'IA est utilisé à des fins de recherche scientifique, les exceptions aux droits individuels prévues par le RGPD peuvent également s'appliquer, pour autant qu'elles soient justifiées et documentées.
Le responsable de traitement doit donc être conscient de toutes ces exigences qui doivent être respectées (privacy by design, ethics by design). En outre, il est important que ces systèmes soient supervisés et contrôlés en continu, en particulier dans le cas de l'apprentissage automatique en raison de la nature hautement évolutive de ces systèmes. C'est l'idée d'une supervision humaine qui faitpartie des lignes directrices de la Commission européenne pour une IA de confiance.
Réutilisation/utilisation secondaire/traitement ultérieur des données à caractère personnel
Est-il possible de réutiliser des données pour une finalité différente de celle pour laquelle elles ont été collectées ? Souvent désignées par les expressions de "traitement ultérieur" ou "réutilisation des données", ces pratiques consistent à traiter les données pour une finalité autre que celle pour laquelle elles ont été initialement collectées. La recherche en santé est aujourd'hui largement basée sur la réutilisation des données de santé (« data driven research »).
Le RGPD prévoit la possibilité d'un traitement ultérieur des données pour des finalités compatibles (article 5(1)b)). Afin de vérifier si le traitement envisagé est compatible avec les finalités initiales du traitement, le responsable du traitement doit effectuer un test de compatibilité si le traitement ultérieur des données n'est pas fondé sur le consentement de la personne ou sur le droit de l'UE. Le RGPD a prévu une présomption de compatibilité lorsque les finalités de traitement envisagées sont la recherche scientifique (voir ci-dessous).
Est-il nécessaire de disposer d'une base juridique distincte pour le traitement ultérieur des données relatives à la santé ? Leconsidérant 50 du RGPD prévoit que si les finalités de la collecte initiale et du traitement ultérieur sont compatibles, il n'est pas nécessaire de disposer d'une nouvelle base juridique distincte de celle sur laquelle les données ont été collectées.
Qu'est-ce que le test de compatibilité ? Le test consiste en une analyse au cas par cas du contexte de la collecte et du traitement initial des données afin de s'assurer de la compatibilité du traitement ultérieur des données, en tenant compte des attentes légitimes des personnes concernées.
Pour effectuer ce test, le responsable du traitement doit prendre en compte (article 6(4) du RGPD) :
l'existence d'un lien entre l'objectif initial et l'objectif visé,
le contexte dans lequel les données ont été collectées et la relation entre les personnes concernées et le responsable du traitement,
la nature des données et en particulier si les données appartiennent à des catégories particulières de données (y compris les données relatives à la santé et les données génétiques),
les conséquences possibles d'un traitement ultérieur pour les personnes concernées,
et l'existence de garanties appropriées pour la préservation des droits et libertés des personnes concernées, y compris, par exemple, la pseudonymisation.
Quel est le cadre juridique de l'utilisation/réutilisation ultérieure des données pour la recherche scientifique ? Comme expliqué ci-dessus, la recherche scientifique repose aujourd'hui largement sur la réutilisation des données. Des dispositions spécifiques sont prévues par le RGPD pour la recherche scientifique : le traitement ultérieur de données à des fins de recherche scientifique n'est pas considéré comme incompatible avec les finalités initiales (présomption de compatibilité). En d'autres termes, le traitement sera considéré a priori commecompatible avec les finalités initiales du traitement, à condition que des garanties appropriées pour les droits et libertés des personnes concernées soient mises en place (mise en œuvre de mesures techniques et organisationnelles pour respecter le principe de minimisation des données, y compris la pseudonymisation - article 89(2), du RGPD). Toutefois, comme le rappelle le Contrôleur européen de la protection des données (en langue anglaise), cette présomption ne constitue pas une autorisation générale d'utilisation ultérieure des données dans tous les cas de recherche ; chaque cas doit être examiné en fonction de son contexte.
Les personnes concernées devront être informées de ce traitement ultérieur avant qu'il ne soit effectué, sauf si l'une des exceptions au droit d'information prévues à l'article 14(5)b), du RGPD s'applique.
Les droits des personnes concernées sont garantis, sauf si l'une des exceptions prévues à l'article 89(2), du RGPD est applicable.
Quelles sont les règles spécifiques applicables à l'utilisation secondaire, à des fins scientifiques des données d'un essai clinique en dehors du protocole de l'essai clinique ? Le Règlement européen relatif aux essais cliniques aborde spécifiquement cette question à l'article 28(2). Cet article se concentre en particulier sur le consentement. Les situations couvertes sont celles où le promoteur souhaite traiter les données d'un participant à un essai clinique en dehors du protocole prévu, mais uniquement et exclusivement à des fins scientifiques. En vertu de cet article, le promoteur doit obtenir le consentement de la personne concernée ou de son représentant légal pour cette finalité spécifique du traitement (utilisation secondaire en dehors du protocole) au moment où le consentement éclairé à participer à l'essai clinique est demandé.
Toutefois, comme expliqué ci-dessus, le consentement au titre de l'article 28(2) du Règlement européen relatif aux essais cliniques doit être distingué du consentement en tant que base juridique pour le traitement des données à caractère personnel tel que prévu par le RGPD. Ainsi, le promoteur ou l'investigateur souhaitant utiliser ultérieurement des données à caractère personnel collectées à des fins scientifiques différentes de celles prévues par le protocole de l'essai clinique, devra établir une base juridique qui peut ne pas être le consentement (au sens du RGPD). En outre, comme expliqué ci-dessus, la présomption de compatibilité prévue à l'article 5(1)b), du RGPD peut s'appliquer, sous réserve du respect des conditions énoncées à l'article 89 du RGPD (garanties appropriées pour les droits et libertés des personnes concernées).
Dans tous les cas, les règles relatives au traitement des données à caractère personnel énoncées dans le RGPD s'appliquent.
Sur le contrôle du respect du cadre juridique de la protection des données à caractère personnel
Qui est responsable de la conformité de la collecte et du traitement des données personnelles ? Le RGPD a été conçu selon une logique de responsabilisation des acteurs (articles 5 et 24 RGPD), c'est-à-dire qu'en dehors des procédures mises en place dans chaque pays concernant l'utilisation ou la réutilisation des données de santé (par exemple, avis d'un comité éthique et scientifique, autorisation spécifique d'une autorité compétente en la matière), le responsable de traitement est tenu de mettre en œuvre des mesures de protection des données, qu'il mettra à jour si nécessaire, et doit être en mesure de prouver la conformité des traitements de données qu'il a mis en œuvre au regard du cadre réglementaire applicable. Ce travail de conformité peut être effectué en relation avec le délégué à la protection des données (article 37 du RGPD). Un délégué à la protection des données devra être désigné par le responsable du traitement et le sous-traitant lorsque les activités mises en œuvre par ce dernier consistent en un traitement à grande échelle de catégories particulières de données, y compris les données relatives à la santé et les données génétiques.
Cette documentation doit comprendre :
l'enregistrement des activités de traitement effectuées,
les AIPD des activités de traitement susceptibles d'entraîner des risques élevés pour les droits et libertés des personnes,
le contrôle des transferts de données effectués,
les informations données aux personnes sur l'utilisation de leurs données (et, le cas échéant, une description des raisons pour lesquelles les personnes n'ont pas été informées),
le cas échéant, les formulaires de consentement,
les mesures mises en place pour garantir les droits des personnes,
et les contrats avec les sous-traitants, par exemple, s'il y a lieu.
Que doit contenir le registre des activités de traitement ? Le(s) responsable(s) du traitement doit(vent) consigner par écrit les activités de traitement effectuées sous sa(leur) responsabilité. L'article 30(1) du RGPD détaille toutes les informations qui doivent figurer dans le registre afin de pouvoir attester de la conformité des activités de traitement. Par exemple, les coordonnées du responsable du traitement, des responsables conjoints du traitement et du délégué à la protection des données, le cas échéant, doivent être décrites ; les finalités du traitement ; une description des catégories de personnes concernées et de données à caractère personnel, etc. En pratique, c'est le délégué à la protection des données qui tient et met à jour le registre des activités de traitement.
En outre, chaque sous-traitant devra tenir un registre des activités de traitement effectuées pour le compte du responsable du traitement. L'article 30(2) du RGPD détaille les informations qui doivent être incluses.
Les autorités de contrôle peuvent demander au DPD, au responsable du traitement et/ou au sous-traitant de mettre ce registre à disposition afin de certifier la conformité des activités de traitement effectuées.
Quelles sont les règles à respecter en matière de sécurité des données à caractère personnel ? L'article 32 du RGPD désigne le responsable du traitement et le sous-traitant comme étant chargés de mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque. Parmi ces mesures, on trouve :
la pseudonymisation et le cryptage des données à caractère personnel,
les moyens de garantir la confidentialité des données,
les moyens de rétablir l'accès aux données en cas d'incident physique ou technique,
une procédure permettant d'évaluer régulièrement l'efficacité des mesures de sécurité mises en place pour assurer la sécurité du traitement.
Afin d'évaluer au mieux les mesures de sécurité à mettre en place, le responsable du traitement et le sous-traitant doivent tenir compte des risques que le traitement présente pour les droits et libertés des personnes concernées, notamment en ce qui concerne la destruction, la perte, la divulgation ou l'accès non autorisé potentiels à des données à caractère personnel.
Afin de démontrer la conformité avec ces exigences de sécurité, un code de conduite approuvé (article 40 du RGPD) ou un système de certification approuvé (article 42 du RGPD) peut être utilisé pour démontrer la conformité avec les exigences de sécurité du RGPD.
Charte des droits fondamentaux de l'Union européenne, JO C 326 du 26.10.2012, p. 391-407.
Texte original (disponible dans les 24 langues officielles de l'UE)
Règlement (UE) n° 536/2014 du Parlement européen et du Conseil du 16 avril 2014 relatif aux essais cliniques de médicaments à usage humain et abrogeant la directive 2001/20/CE Texte présentant de l'intérêt pour l'EEE, JO L 158 du 27.5.2014, p. 1-76, numéro CELEX : 32014R0536.
Texte original (disponible dans les 24 langues officielles de l'UE)
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l'intérêt pour l'EEE), JO L 119 du 4.5.2016, p. 1-88, numéro CELEX : 32016R0679.
Texte original (disponible dans les 24 langues officielles de l'UE)
Proposition de règlement du Parlement européen et du Conseil relatif à l'espace européen des données de santé, 3 mai 2022, COM/2022/197 final, numéro CELEX : 52022PC0197
Texte original (disponible dans les 24 langues officielles de l'UE)
Proposition de règlement du Parlement européen et du Conseil établissant des règles harmonisées en matière d'intelligence artificielle (loi sur l'intelligence artificielle) et modifiant certains actes législatifs de l'Union, 21 avril 2021, COM/2021/206 final, numéro CELEX : 52021PC0206.
Texte original (disponible dans les 24 langues officielles de l'UE)
Règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 relatif à la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (loi sur la gouvernance des données) (Texte présentant de l'intérêt pour l'EEE), PE/85/2021/REV/1, JO L 152 du 3.6.2022, p. 1-44, numéro CELEX : 32022R0868.
Texte original (disponible dans les 24 langues officielles de l'UE)
GDPR and the secondary use of health data, Report from EMA workshop held with the EMA Patients' and Consumers' Working Party and Healthcare Professionals' Working Party on 23 September 2020, EMA/532436/2020, 2 décembre 2020, (en langue anglaise).
Avis conjoint 05/2021 de l’EDPB et du CEPD sur la proposition de règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle