Quelles formalités accomplir en cas de modification de traitement de santé ?

Quelles formalités accomplir en cas de modification de traitement de santé ?
⏱ Lecture 4 min

Par Haas Avocats

Alors que le RGPD a aboli la quasi-totalité des formalités déclaratives au profit du principe de redevabilité, la loi Informatique et Libertés exige l’accomplissement de ces formalités préalables pour certains traitements de données de santé.

 

Quelles finalités ?

C’est notamment le cas lorsque le traitement poursuit une finalité d’intérêt public relative :

  • Aux recherches, études et évaluations dans le domaine de la santé ;
  • A certaines bases de données élaborées dans le domaine de la santé (ex : la mise en place d’un entrepôt de données de santé).

Que faire en cas d’évolution du traitement ?

Pour une raison ou pour une autre, le traitement peut être amené à évoluer. Il se pose alors la question de savoir si une nouvelle demande d’autorisation à la CNIL doit être réalisée préalablement à ce changement.

La réponse à apporter à cette problématique diffère selon le caractère substantiel ou non de la modification opérée et de la nature de la formalité accomplie auprès de la CNIL. Par modification substantielle, il faut entendre tout changement qui porte sur les caractéristiques principales du traitement de données personnelles.

A titre de clarification, la CNIL a élaboré un tableau renseignant le caractère substantiel ou non des modifications les plus fréquemment opérées que nous portons à votre connaissance ci-après.

MODIFICATION ENVISAGÉE

MODIFICATION CONSIDÉRÉE COMME SUBSTANTIELLE

MODIFICATION CONSIDÉRÉE COMME NON SUBSTANTIELLE

Responsable de traitement

Changement de l’identité du responsable de traitement, ajout d'un responsable conjoint de traitement.

 

Destinataires ou catégories de destinataires de données

Nouvelle catégorie de destinataires (partenaire industriel, académique, autorité publique).

Changement de personnes physiques accédant aux données (changement de personnel chez un sous-traitant, changement au sein de l'équipe du promoteur ou des professionnels qui interviennent dans le projet (investigateur, ARC, TEC)).

MODIFICATION DE LA FINALITÉ DU TRAITEMENT

Finalité du traitement

Nouvelle finalité

Précisions / clarifications des finalités initiales

MODIFICATION PORTE SUR LES CARACTÉRISTIQUES DU TRAITEMENT

Nature des données

Ajout d'une nouvelle catégorie de données traitées particulières non prévues initialement :

  • données sensibles (santé, biométrie, génétique, vie ou orientation sexuelle, origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale)
  • données administratives d'identification (nom, prénom, coordonnées, date de naissance complète) ; ou
  • données particulières (NIR, données d'infraction, condamnation, mesures de sûreté, nationalité).

Collecte de données supplémentaires sans modification des catégories de données dont la collecte était prévue initialement.

Origine des données

Ajout d'une nouvelle source de données (base médico-administrative, cohorte, entrepôt de données, dossiers médicaux, questionnaires avec ajout de catégories de données non prévues, etc.).

Ajout ou retrait d'un ou quelques centres participants sans modification du circuit de données.

Mise en relation avec d'autres traitements

Appariements avec de nouvelles sources de données (ex. : système national des données de santé, base médico-administrative).

Recours à de nouvelles sources de données qui ne présentent pas de caractère personnel (données anonymes, open data, etc.).

Personnes concernées

Ajout d’une catégorie particulière de personnes concernées (mineurs, majeurs protégés, personnes hors d'état d'exprimer leur consentement, personnes privées de liberté, personnes faisant l'objet de soins psychiatriques).

Augmentation conséquente du nombre de personnes concernées (augmentation de plus de la moitié du nombre de personnes prévues initialement).

Ajustement des critères d’inclusion ou d’exclusion (sauf nouvelle catégorie de personnes concernées).

Augmentation non conséquente du nombre d’inclusions (augmentation de moins de la moitié du nombre de personnes prévues initialement).

MODIFICATION DES DROITS DES PERSONNES CONCERNÉES

Modalités d'exercice des droits

Restriction des modalités d’exercice des droits par rapport à ce qui était prévu initialement.

Changement de fonction, d’adresse, d’e-mail ou de numéro de téléphone de la personne ou du service auprès duquel s’exerce les droits, sous réserve que la modalité était prévue initialement.

MODIFICATION DES DURÉES DU TRAITEMENT

Durée de la collecte, du traitement, de conservation / archivage

Allongement conséquent de la durée de la collecte, du traitement, de la conservation et / ou de la durée d’archivage des données (ex : allongement de la durée de conservation de plus de la moitié de la durée initialement prévue).

Mise à jour du calendrier d’une l’étude, allongement négligeable de la durée du traitement, de la durée de conservation et / ou de l’archivage (ex : allongement de la durée de conservation de moins de la moitié de la durée initialement prévue).

Le responsable de traitement doit documenter précisément le caractère négligeable.

MODIFICATION CONCERNANT LA CONFIDENTIALITÉ ET LA SÉCURITÉ DES DONNÉES

Dispositions prises pour assurer la sécurité des traitements de données

Une modification des mesures techniques et organisationnelles susceptible d’affaiblir la sécurité des données

Une modification des mesures techniques et organisationnelles maintenant ou augmentant la sécurité des données

MODIFICATION PORTANT SUR DES TRANSFERTS DE DONNÉES HORS DE L'UNION EUROPÉENNE

Transfert de données hors de l’Union européenne

Encadrement du transfert autrement que par une décision d’adéquation (article 45 du RGPD) ou des garanties appropriées (article 46 du RGPD) telles que des clauses contractuelles types, des règles d'entreprise contraignantes, un code de conduite ou encore un mécanisme de certification).

Encadrement du transfert par une décision d’adéquation (article 45 du RGPD) ou des garanties appropriées (article 46 du RGPD) telles que des clauses contractuelles types, des règles d'entreprise contraignantes, un code de conduite ou encore un mécanisme de certification).

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Quelles sont les formalités à accomplir en cas de changement substantiel ?

Il convient de distinguer selon que le traitement a été déclenché dans le cadre d’une déclaration de conformité à un référentiel, ou qu’il ait été formellement autorisé par la CNIL :

  • Dans le premier cas, une nouvelle demande d’autorisation devra être formulée auprès de la CNIL.
  • Dans le second cas, une demande de modification de l’autorisation devra être réalisée si ladite modification affecte la conformité du traitement au référentiel qui lui est initialement applicable. En pareille hypothèse, l’avis préalable du comité d’éthique compétent sera indispensable à l’instruction de la demande de modification de l’autorisation.

Le cas échéant, les modifications apportées au traitement de données devront donner lieu à une nouvelle information des personnes concernées.

Afin de s’affranchir des formalités engendrées par les modifications des traitements de données soumis à des formalités préalables, il appartient aux acteurs d’envisager, dans le cadre d’une démarche de privacy by design, la finalité la plus appropriée à leur besoin.

***

Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.

 

Sources

https://www.cnil.fr/fr/modifications-des-traitements-de-donnees-soumis-formalites-quelles-demarches

https://www.cnil.fr/fr/quelles-formalites-pour-les-traitements-de-donnees-de-sante

https://www.cnil.fr/fr/thematiques/sante

Haas Avocats

Auteur Haas Avocats

Suivez-nous sur Linkedin