cnil : sécurité et confidentialité des données
TRANSCRIPT
CNIL : sécurité et
confidentialité
des données :
Réglementation et
Législation Caroline Quintin Nov. 2017
Sommaire
Avant Ŕ propos
Les principes à respecter
Notions importantes
Données de santé
Typologie de la recherche : rappels
Quelle déclaration pour quel fichier?
Transfert de données à l’étranger (UE et hors UE)
Droit à l’information, Droit d’accès et Droit d’opposition
Contrôles et sanctions
Cas pratiques
Avant - propos
La loi 78-17 du 6 janvier 1978 = loi CNIL :
Réglemente l’exploitation des fichiers et des
traitements informatisés contenant des données
personnelles
Modification en Aout 2004 de la loi CNIL :
Renforcement des pouvoirs de la CNIL
Simplification des formalités de déclaration
Avant - propos
MISSIONS
Protection de la vie privée et des libertés individuelles ou publiques
Veiller au respect de la loi « informatique et liberté »
COMMENT ?
Information de la population
Contrôle des organismes demandeurs
Recenser les fichiers
Réglementer le traitement de données
Garantir le droit d’accès aux fichiers
Avant - propos
La loi Informatique et Libertés est applicable dès
lors qu’il existe un traitement automatisé ou
manuel (= fichier informatisé ou papier)
contenant des informations relatives à des
personnes.
Les principes à respecter sont relatifs à la collecte,
au traitement et à la conservation des données et
garantissent certains droits pour les personnes
Les 5 principes (1)
Le principe de finalité : les informations qui
concernent les patients ne peuvent être recueillies
et traitées que pour un usage déterminé et
légitime
Ex. mise en place d’un fichier de patients pour un
médecin lui permettant de gérer ses DM, ses RDV.…
pas d’utilisation de ce fichier à des fins de prospection commerciale
Pas d’utilisation de ce fichier à des fins de
communication politique
Les 5 principes (2)
Le principe de pertinence des données : seules
sont traitées les informations pertinentes et
nécessaires au regard des objectifs de la
recherche, du soin….
on ne peut pas récupérer la nationalité d’un patient
(dans le fichier d’un cabinet médical ou pharmacie)
on peut récupérer les habitudes de vie ou ethnie
seulement si ces informations sont nécessaire au diagnostic, au soins ou à la recherche justification
scientifique à apporter
Les 5 principes (3)
Le principe d’une durée limitée de conservation
des informations
Dans le cadre d’une recherche, en général :
- Au minimum 15 ans après la fin de la recherche ou de
son arrêt anticipé
- Cette période de 15 ans peut être allongée si accord
préalable entre le promoteur et l’investigateur
40 ans si cette recherche porte sur un
médicament dérivé du sang,
30 ans pour l’examen des caractéristiques
génétiques
Les 5 principes (4)
Le principe de sécurité et de confidentialité des
données : le professionnel de santé ou tout
responsable de fichier a une obligation de
sécurité et doit :
Garantir la confidentialité des informations
Éviter la divulgation des informations à des tiers non
autorisés
utilisation de mot de passe individuel, précisions
sur le droit d’accès (lecture, écriture,
suppression), liste des personnes habilitées….
Les 5 principes (5)
Le principe du respect des droits des personnes :
Information des personnes : pour la collecte des
données qui concerne la personne :
individuelle (par la remise d’une note d’info) ou
collective (panneaux d’affichage, livret d’accueil de l’hôpital, page spécifique sur le site internet…)
claire : avec précision
des objectifs poursuivis par cette collecte
des destinataires de ces données
des modalités d’exercice de leurs droits au titre de la loi
CNIL
réponse obligatoire (orale ou écrite) ou facultative
Les 5 principes (6)
Le principe du respect des droits des personnes :
Droit d’accès et de rectification :
toute personne peut demander au responsable du
fichier de lui communiquer les informations qui le
concernent.
La personne a le droit de faire rectifier ou supprimer les
informations erronées.
Les 5 principes (7)
Le principe du respect des droits des personnes :
Droit d’opposition : toute personne a le droit de
s’opposer (pour des motifs légitimes) que soient
enregistré les données qui le concernent dans un
fichier informatique.
Ex : un patient atteint d’une affection grave motif
invoqué : éviter qu’un membre de sa famille (travaillant
dans l’hôpital) accède à son dossier ; le patient ne
souhaitant pas révéler sa pathologie
Notions importantes (1)
Aucun fichier ou traitement de données susceptible de
contenir des informations personnelles ne peut être crée
sans autorisation ou déclaration auprès de la CNIL
Données à caractère personnel
= toute information relative à une personne
permettant d’identifier directement (nom, prénom….)
ou indirectement la personne (N° d’inclusion dans un
essai…)
Notions importantes (2)
Traitement de données à caractère personnel
= toute opération informatisée de :
collecte enregistrement organisation
conservation modification extraction
consultation utilisation communication
rapprochement interconnexion
verrouillage effacement destruction
Notions importantes (3)
Anonymisation
= aucun moyen de revenir au patient
Pas d’initiales
Pas de N° enregistrement
Pas de date de naissance
….
Un fichier anonyme existe rarement !
Notions importantes (4)
Donnés sensibles
= origines raciales ou ethniques, opinions politiques, philosophiques ou religieuses, ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci, les données génétiques, les infractions, condamnations, mesures de sureté, le N° de sécurité sociale, les données biométriques (empreintes digitales, contour de la main, iris de l’œil…), appréciations sur les difficultés sociales des personnes.
Leur traitement est en principe interdit !
des dérogations existent !
Données de santé (1)
= Données sensibles
Utilisation et communication
uniquement dans l’intérêt du patient ou
pour les besoins de santé publique
Selon les conditions déterminées par la
CNIL
Données de santé (2)
Dans quels cas peut on utiliser (collecte /
traitement) les données de santé?
Les traitements pour lesquels la personne
concernée a donné son consentement exprès
Les traitements nécessaires aux fins de suivi
médicales des personnes, de prévention, de
diagnostic, d’administration de soins ou de
traitements, ou de gestion de service de santé
Les traitements nécessaires à la recherche dans le
domaine de la santé (chap IX de la loi CNIL)
Données de santé (3)
Dans quels cas peut on utiliser (collecte /
traitement) les données de santé?
Les traitements à des fins d’évaluation ou d’analyse
des pratiques ou des activités de soins et de
prévention (ancien chap X de la loi CNIL chap IX )
Si les données sont appelées à faire l’objet, à bref
délai, d’un procédé d’anonymisation
Les traitements justifiés par l’intérêt public et
autorisés par la CNIL
Données de santé (4)
Dans quels cas peut on utiliser (collecte / traitement) les données de santé?
Pour les équipes de soin :
possibilité d’échanger des informations d’un même patient afin d’assurer la continuité des soins ou de déterminer la meilleure prise en charge
Sauf opposition du patient
Pour la télémédecine :
Possibilité d’échanger des informations
Sauf opposition du patient dûment informé
Pour la sécurité sociale et la déclaration obligatoire de certaines maladies
Données de santé (4)
Les utilisations interdites
Les données de santé ne peuvent pas faire l’objet de cession ou d’exploitation commerciale
Même si elles sont rendues anonymes à l’égard du patient
Dès lors que ces fichiers permettent d’identifier (directement ou indirectement) le professionnel prescripteur
Les communications à des tiers autorisés uniquement les autorités judiciaires, des experts et des agents de l’administration fiscale
Quelle typologie pour savoir
quelle formalités auprès de la
CNIL?
RECHERCHE DANS LE DOMAINE DE LA SANTE
IMPLIQUANT LA PERSONNE HUMAINE (RIPH) N’IMPLIQUANT PAS LA PERSONNE HUMAINE
LOI NATIONALE INFORMATIQUE ET LIBERTE (CNIL)
LOI JARDE CODIFIEE / CODE DE LA SANTE PUBLIQUE RECHERCHE DITE « HORS
CHAMP » (n’entrant pas dans le champ de la loi Jardé)
CATEGORIE 1 CATEGORIE 2 CATEGORIE 3 CATEGORIE 4
INTERVENTIONNELLE
INTERVENTIONNELLE A RISQUES ET CONTRAINTES
MINIMES (RIRCM) liste des interventions
relevant de cette catégorie fixée par arrêté
NON INTERVENTIONNELLE
aucun risque ; aucune contrainte
observationnelle
réutilisation 2aire de données (et/ou collections) déjà acquises
ou d’un registre agréé, ou de dossiers médicaux sans que de
nouvelles infos soient collectées auprès des participants
pas de nécessité de revenir au participant
INFORMATION INDIVIDUELLE
spécifique au projet
INFORMATION INDIVIDUELLE
spécifique au projet
INFORMATION INDIVIDUELLE OU COLLECTIVE
spécifique au projet
INFORMATION INDIVIDUELLE OU COLLECTIVE
CONSENTEMENT ECRIT CONSENTEMENT ECRIT OU
EXPRES NON OPPOSITION* NON OPPOSITION*
AVIS FAVORABLE CPP AVIS FAVORABLE CPP AVIS FAVORABLE CPP AVIS ETHIQUE POUR PUBLICATION (IRB)
ASSURANCE ASSURANCE
AUTORISATION ANSM INFORMATION ANSM INFORMATION ANSM
MR-001 OU CNIL UNITAIRE
MR-001 OU CNIL UNITAIRE MR-003 OU CNIL UNITAIRE MR-003 OU
CNIL UNITAIRE +/- CEREES
la méthodologie de référence impose une
information individuelle et écrite de chaque participant
CNIL unitaire : si monocentrique (pas de diffusion
de données) : déclaration ; si multicentrique (=
diffusion) : autorisation
* : examen des caractéristiques
génétiques identifiantes : information et recueil du
consentement écrit
Instances réglementaires
INDS : Institut national des données de santé
CEREES : Comité d’expertise pour les recherches, les études et les évaluations dans le domaine de la santé
Applicable uniquement pour les recherche n’impliquant pas la personne humaine au regard de la loi Jardé
Dépôt du dossier au INDS transmet au CEREES avis favorable (1 mois) transmet à la CNIL pour autorisation
Dossier INDS : grille + protocole + déclaration d’intérêt + demande d’autorisation CNIL + NI + avis éthique + liste des financeurs
Instances réglementaires
CNIL : Commission nationale Informatique et Liberté
Selon projet : MR001 / MR003 / Déclaration ou Autorisation préalable au démarrage de la recherche
monocentrique / multicentrique
Consentement et caractéristiques génétiques identifiantes NIFC + hors MR
Disparition du chapitre X de la CNIL (évaluations des pratiques de soins)
Quelle déclaration pour quel fichier? (1)
Déclaration normale : démarche en ligne – accusé de réception uniquement
Fichier de gestion administrative et médicale
Fichier de gestion du PMSI
Gestion de la médecine du travail
Enquête de satisfaction
Étude mono-centrique sur une pathologie (= pas de diffusion de données = pas de rupture du secret médical)
Selon la CNIL : une étude monocentrique est menée à partir des données issues du dossier médical du patient réalisée par les personnels assurant ce suivi et destinée à leur usage exclusif.
Quelle déclaration pour quel fichier? (1)
Déclaration simplifiée : MR001
Recueil de consentement
Uniquement des recherches interventionnelles (RI + RIRCM) qui respectent la méthodologie de référence
Déclaration simplifiée : MR003
ne nécessitant pas le recueil du consentement exprès de la personne concernée (= recueil de la non opposition)
Uniquement des recherches non interventionnelles (RNI de la loi jardé) qui respectent la méthodologie de référence
Extension aux recherches hors champ en attendant la MR spécifique MR004
La CNIL a publié à ce jour 3 méthodologies de référence
(MR-001, MR-002 et MR-003). La MR-003 vise les projets ne
nécessitant pas le recueil du consentement exprès ou écrit de la personne concernée. Publiée avant la mise en œuvre
de la nouvelle procédure, elle repose sur une terminologie
des projets qui était différente avant l’entrée en vigueur de
la loi Jardé. Il est donc possible que la MR-003 soit
applicable à des projets qui relèvent aujourd’hui des recherches impliquant la personne humaine mais aussi des
recherches n’impliquant pas la personne humaine.
Une mise à jour des méthodologies de référence sera
prochainement lancée afin notamment d’homologuer une
méthodologie de référence spécifique aux recherches
n’impliquant pas la personne humaine. Dans l'attente, les
projets qui relèvent de cette catégorie et respectent le
cadre de la MR-003 peuvent être menés sans qu’un dossier
ne soit soumis à l’INDS, au CEREES et à la CNIL.
Quelle déclaration pour quel fichier? (2)
Autorisation CNIL :
Préalablement à la CNIL : Obligation de
soumission et d’obtention d’un avis favorable par
le CEREES (via l’INDS)
Démarche CNIL peut se faire en ligne
courrier officiel autorisant la recherche est envoyé
par la CNIL
délai de réponse : 2 mois renouvelable. Sans
réponse sous 4 mois = demande rejetée.
Quelle déclaration pour quel fichier? (3)
Autorisation CNIL :
DMP , Dossier pharmaceutique (DP)
Télémédecine
Traitement qui comporte des données biométriques
ou génétiques
Les traitements justifiés par l’intérêt public
Les traitements à des fins d’évaluation ou d’analyse
des pratiques ou des activités de soins et de
prévention (chap X de la loi CNIL)
Les fichiers mis en œuvre à des fins de recherche
médicale (ex Chap IX de la loi CNIL)
Les traitements des données appelées à faire l’objet,
à bref délai, d’un procédé d’anonymisation
Méthodologie de référence
Objectifs et formalité de déclaration
Méthodologie de référence
Méthodologie de référence
Méthodologie de référence
Méthodologie de référence
Méthodologie de référence
Méthodologie de référence
Méthodologie de référence
Méthodologie de référence
Méthodologie de référence
Méthodologie de référence
Méthodologie de référence
Méthodologie de référence
Méthodologie de référence
Méthodologie de référence
Méthodologie de référence
Méthodologie de référence
Méthodologie de référence
Méthodologie de référence
Méthodologie de référence
Un seule condition de la méthodologie de
référence non respectée
Déclaration ou demande d’autorisation
CNIL à obtenir avant de démarrage de la
recherche
Méthodologie de référence
Grille d’étude des risques
Le schéma doit s’étendre de la collecte
jusqu’à la destruction des données
chiffrement, anonymisation,
sécurité des documents papier
Cloisonnement du traitement, moyens d’authentification, profils
utilisateurs, journalisation, mises à jour et correctifs, antivirus,
équipements mobiles, sauvegarde, maintenance, sécurité réseau,
contrôle d’accès physique, sécurité physique
Politique de sécurité, gestion des
risques et des incidents, gestion des
personnels, relation avec les tiers….
Échelle proposée : 1 = négligeable ; 2= limitée ; 3= importante ; 4=
maximale
Demande d’autorisation CNIL
1. Demande d’avis préalable au CEREES
via l’INDS uniquement pour les recherches
non évaluées par un CPP
2. Demande d’autorisation auprès de la
CNIL
* en attente d’une méthodologie de référence spécifique pour cette catégorie de recherche : MR004 1 le CEREES n’émet pas un avis éthique du projet de recherche
² pas d’obligation réglementaire
RECHERCHE DANS LE DOMAINE DE LA SANTE
IMPLIQUANT LA PERSONNE HUMAINE (RIPH) N’IMPLIQUANT PAS LA PERSONNE HUMAINE
LOI NATIONALE INFORMATIQUE ET LIBERTE (CNIL)
LOI JARDE CODIFIEE / CODE DE LA SANTE PUBLIQUE RECHERCHE DITE « HORS
CHAMP » (n’entrant pas dans le champ de la loi Jardé)
CATEGORIE 1 CATEGORIE 2 CATEGORIE 3 CATEGORIE 4
INTERVENTIONNELLE
INTERVENTIONNELLE A RISQUES ET CONTRAINTES
MINIMES (RIRCM) liste des interventions
relevant de cette catégorie fixée par arrêté
NON INTERVENTIONNELLE
aucun risque ; aucune contrainte
observationnelle
réutilisation 2aire de données (et/ou collections) déjà acquises
ou d’un registre agréé, ou de dossiers médicaux sans que de
nouvelles infos soient collectées auprès des participants
pas de nécessité de revenir au participant
MR-001 ou
MR-001 ou
MR-003 ou
MR-003* ou
Si non respect de la MR001
Si non respect de la MR001
Si non respect de la MR003
Si non respect de la MR003*
AVIS FAVORABLE CPP AVIS FAVORABLE CPP AVIS FAVORABLE CPP AVIS ETHIQUE POUR PUBLICATION (IRB)²
Pas de diffusion Diffusion
AVIS
FAVORABLE CEREES1
Déclaration ou demande d’autorisation CNIL
Déclaration ou demande d’autorisation CNIL
Déclaration ou demande d’autorisation CNIL
Déclaration CNIL
Demande d’autorisation
CNIL
INDS Ŕ CEREES
DOSSIER Ŕ pièces constitutives :
identification des acteurs et caractéristiques de la demande
un protocole scientifique incluant au moins les précisions demandées dans le résumé. Protocole peut être en anglais
Un résumé de l’étude, de la recherche ou de l’évaluation : obligatoirement en français ; 2 à 3 pages
La(les) déclaration(s) d’intérêt du(des) responsable(s) de traitement et du responsable de la recherche
L’engagement au respect du cadre législatif et réglementaire encadrant l’accès aux données
La demande d’autorisation CNIL pré-remplie
La lettre : notice d’information aux personnes concernées, de non opposition et/ou de consentement le cas échéant
La liste des financeurs de l’étude, le cas échéant
L’avis émis par le comité scientifique et/ou éthique, le cas échéant
Demande d’autorisation CNIL
L’investigateur : Il s'agit d'identifier la personne physique ou morale qui dirige et surveille la réalisation de la recherche.
Personne en charge de la Mise en Œuvre = coordonnées du service ou de l'organisme chargé de l'exploitation informatique du traitement. Ce peut être un service interne (ex, le service informatique) ou un organisme extérieur.
Contact : coordonnées de la personne qui a complété ce formulaire et qui répondra aux éventuelles demandes de compléments de la CNIL.
Identification du responsable : La personne qui signe le formulaire doit appartenir à l'organisme déclarant. (attention différent de l’investigateur)
Finalité : objectifs et titre de la recherche ou étude
Déclaration CNIL
Mêmes informations que pour la demande
d’autorisation (L’investigateur, La Mise en Œuvre,
Contact, Identification du responsable , Finalité …)
sauf :
pas d’avis CPP ou CEREES à communiquer
Pas de transmission de la note d’information
réception d’un récépissé de déclaration CNIL :
attestation de la transmission à la CNIL d’un dossier
de déclaration formellement complet = la mise en
œuvre du traitement de données à caractère
personnel est possible (= démarrage de la
recherche)
Transfert de données à
l’étranger
Transfert de données à l’étranger (1)
Transfert de données à l’étranger (2)
Droit à l’information Ŕ Droit
d’accès Ŕ Droit d’opposition
Droit à l’information
= Toute personne a un droit de regard sur ses
propres données ; par conséquent, quiconque met
en œuvre un fichier ou un traitement de données
personnelles est obligé d’informer les personnes
fichées de son identité, de l’objectif de la collecte
d’informations et de son caractère obligatoire ou
facultatif, des destinataires des informations, des
droits reconnus à la personne, des éventuels
transferts de données vers un pays hors de l’Union
européenne.
Contenu obligatoire à l’information
Droit d’accès
= droit d’une personne de demander directement
au responsable d'un fichier s'il détient des
informations sur elle (site web, magasin, banque...),
et demander à ce que lui soit communiqué
l’intégralité de ces données. L'exercice du droit
d’accès permet de contrôler l'exactitude des
données et, au besoin, de les faire rectifier ou
effacer.
Droit d’opposition = droit d’une personne à s’opposer, pour des motifs légitimes, à figurer dans un fichier. En matière de prospection, notamment commerciale, ce droit peut s'exercer sans avoir à justifier d'un motif légitime. La personne peut s’opposer à ce que les données la concernant soient diffusées, transmises ou conservées.
Le droit d'opposition s'exerce, par écrit :
soit au moment de la collecte d'informations ;
soit plus tard, en s'adressant au responsable du fichier.
Toutes les données précédemment collectées pourront faire l’objet de traitement SAUF en cas d’opposition par écrit de la personne exerçant son droit Concerne l’arrêt prématuré de participation, le retrait de
consentement (sans droit d’opposition par écrit), le patient perdu de vue….
Les données seront utilisées dans l’analyse statistique
Contrôles et Sanctions
La CNIL a le pouvoir d’effectuer des contrôles auprès de l’ensemble des responsables de traitement, sur le territoire français (établissement, et en tout ou partie)
Ces contrôles peuvent se dérouler sur place, sur pièces, sur audition ou en ligne
C’est un moyen d’action pour vérifier l’application de la loi informatique et libertés
Les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s’opposer à l’action de la CNIL, au contraire, doivent prendre les mesures utiles pour faciliter la mission de la CNIL
Évolution de ce cadre en mai 2018 avec l’entrée en vigueur du règlement européen prévoit la réalisation de contrôles conjointement avec plusieurs autorités européennes de protection de données
Ce qui se passe avant un contrôle ?
Décision prise par la président de la CNIL
Le responsable du traitement peut ou ne pas
être prévenu de ce contrôle
Ce qui se passe pendant un contrôle ?
Accès à un maximum d’informations : formulaires,
dossiers papiers, contrats de sous-traitance, base de
données, programmes informatiques…
Un procès verbal de fin de mission est établi en
précisant notamment la liste des documents dont
une copie a été effectuée
Ce qui se passe après un contrôle ?
Examen des documents dont une copie a été effectuée afin d’apprécier la mise en œuvre des dispositions de la loi CNIL
Si pas d’observations particulières : le contrôle est clôturé par un courrier du président ; courrier pouvant contenir des recommandations
Si les manquements relevés sont sérieux, le dossier est alors transmis au service contentieux de la CNIL qui prononce alors des sanctions (article 45) avec possibilités de dénonciation au Parquet
Les sanctions
Les sanctions
Les sanctions
CAS PRATIQUES
Thèse / mémoire :
La recherche est interne (monocentrique)
à partir de données recueillies dans le cadre du suivi
thérapeutique ou médical individuel des patients
Et par les personnes assurant ce suivi
Et pour leur usage exclusif
Soit déclaration normale sur le site de la CNIL
Soit inscription au registre du CIL (correspondant
informatique et libertés) de l’organisme déclarant
Le responsable du traitement est l’établissement de soin.
Les patients doivent être informés lors de la collecte de
leurs données et au plus tard avant le début du
traitement
ou la recherche implique que les données sont rendues accessibles à des personnes en dehors de l’équipe de soins
Par ex :
Les patients sont issus de plusieurs établissements ou centres de soins distincts
Les patients sont issus du même établissement mais tout ou partie des données n’ont pas été recueillies par les professionnels de santé assurant leur prise en charge
Les données de l’étude sont transmises à un partenaire public ou privé
Le doctorant non rattaché au service concerné de l’établissement de santé consulte les données identifiantes des patients
Thèse / mémoire :
La recherche est multicentrique
soit la recherche respecte une MR et un engagement
de conformité a été réalisé par le responsable du traitement pas de CEREES, pas de demande
d’autorisation CNIL
Soit demande d’autorisation recherche (même s’il
existe un référent CIL au sien de l’organisme)
Les patients doivent, avant le début du traitement de
leurs données, être individuellement informés.
Pour les recherches « loi Jardé » : avis CPP préalable
Pour les recherches « hors champ » : avis INDS /CEREES
Thèse / mémoire :
La recherche est multicentrique
Par ex :
Utilisation de reliquats de prélèvements sanguins sans aucune donnée clinique associée aux paramètres biologiques.
Utilisation de scanners, imagerie, complètement anonymisés et sans aucune donnée clinique associée
o Aucune démarche particulière à réaliser auprès de la CNIL (ni déclaration CNIL, ni autorisation CNIL, ni CEREES)
o Information individuelle des patients
o Si recherche « loi jardé » : CPP obligatoire
Données anonymes : Informations qui ne permettent pas d’identifier directement ou indirectement une personne physique même par regroupement
Prélèvements biologiques / Imagerie :
références
Informations recueillies sur les sites CNIL, INDS,
CEREES
Présentation de Sabine Helfen Ŕ URC
Avicenne Ŕ novembre 2016 : CNIL : instruction
dans la recherche clinique