Modification d’un traitement de données ayant pour finalité une recherche, une étude ou une évaluation dans le domaine de la santé
Les recherches, études ou évaluations dans le domaine de la santé sont souvent des projets menés à long terme, pendant plusieurs mois ou années. Elles sont naturellement susceptibles d’évoluer au gré des contraintes scientifiques du projet ou des changements d’organisation des différents acteurs impliqués. Si les modifications ont un impact sur le traitement des données à caractère personnel ou les droits des personnes concernées, elles peuvent nécessiter une nouvelle autorisation de la CNIL. Le présent document présente les cas les plus fréquents de modifications du traitement de données et leurs conséquences en termes de formalités.
Que faire lorsque vous envisagez de modifier un traitement de données de recherche, étude ou évaluation dans le domaine de la santé ?
La procédure à suivre varie en fonction de plusieurs critères :
- La modification apportée est-elle substantielle ?
- Quelle catégorie de recherche avez-vous mise en œuvre ?
- Quelle formalité préalable aviez-vous réalisée auprès de la CNIL ?
Quelles sont les modifications relatives à la protection des données à caractère personnel devant faire l’objet de nouvelles démarches ?
Seules les modifications substantielles sont concernées.
Il s’agit des modifications portant sur les caractéristiques principales du traitement de données à caractère personnel (par exemple : ajout de nouvelles finalités, ajout de la collecte de données sensibles, etc.).
Les comités compétents (CPP pour les recherches biomédicales ou recherches de soins courants ou les recherches impliquant la personne humaine ; CEREES pour les recherches n’impliquant pas la personne humaine) et la CNIL ne se prononceront pas sur les modifications non substantielles du traitement de données. Elles n’ont pas à leur être transmises et font uniquement l’objet d’une documentation en interne.
Afin de vous aider, un tableau présentant des exemples de modifications avec les procédures à suivre est disponible ci-après. Un arbre décisionnel est également publié en même temps que le présent document.
Exemples de modifications substantielles et non substantielles
Attention : La modification d’un traitement de données en cours devra s’accompagner d’une information aux participants si les mentions obligatoires d’information prévues par le RGPD doivent être modifiées.
Cas particuliers : Changement de l’adresse du responsable de traitement ou du service chargé de la mise en œuvre du traitement : fait l’objet d’une information auprès de la CNIL et aucune nouvelle autorisation n’est délivrée.
Modifications envisagées |
est une modification substantielle si elle porte sur : |
n’est pas une modification substantielle si elle ne porte que sur :
|
---|---|---|
Responsable de traitement |
changement de l’identité du Responsable de Traitement |
|
Finalité du ou des traitements |
nouvelle question / ajout d’une étude ancillaire |
précisions / clarifications |
Mise en relation avec d’autres traitements |
interconnexion / rapprochements / appariements avec de nouvelles données à caractère personnel |
recours à de nouvelles sources de données qui ne présentent pas de caractère personnel |
Les données à caractère personnel traitées |
ajout de catégories de données particulières non prévues par l'autorisation initiale (données directement identifiantes / données sensibles article 8 LIL et 9 du RGPD / données d'infractions, condamnations, mesures de sûreté / NIR / biométrie / appréciations sur les difficultés sociales / date de naissance complète / adresse des personnes) |
ajout d’une analyse intermédiaire / ajout, retrait ou mise à jour d’un questionnaire tant que les catégories de données ne changent pas |
Origine des données |
accès à ou extraction d'une base de données (base médico-administrative, cohorte, entrepôt de données, etc.) / nouvelle source (dossiers médicaux, questionnaires avec ajout de catégories de données non prévues, etc.) |
ajout ou retrait d'un ou quelques centres investigateurs sans augmentation du risque d’impact sur la protection des données au sens du RGPD |
Les catégories de personnes concernées par le traitement |
ajout de mineurs, majeurs protégés, personnes hors d'état d'exprimer leur consentement, personnes privées de liberté par une décision judiciaire ou administrative, les personnes faisant l'objet de soins psychiatriques, augmentation conséquente du nombre d'inclusions |
critères d’inclusion ou d’exclusion (sauf nouvelle catégorie de personnes concernées) tant qu’ils n’ont pas pour conséquence une augmentation du risque d’impact sur la protection des données au sens du RGPD |
Durée de l'étude et durée de conservation / archivage |
allongement conséquent de la durée de l'étude et / ou de la durée d’archivage augmentation conséquente de la période d’inclusion ou de recueil des données qui conduirait à une augmentation conséquente du nombre d’inclusions |
mise à jour du calendrier de l’étude, allongement négligeable de la durée de l’étude, allongement négligeable de la durée de l’archivage (le responsable de traitement doit documenter précisément le caractère négligeable) |
Information des personnes |
modalités d’information / recueil du consentement (nouveau type de support, destinataires de l’information) / toute modification relative aux mentions obligatoires d’information prévues par l’article 13 ou 14 du RGPD si elle est consécutive à une modification substantielle |
|
Destinataires ou catégories de destinataires des données |
nouvelle catégorie de destinataire (partenaire industriel, académique, autorité publique) |
|
Service auprès duquel s’exerce le droit d’accès |
changement de fonction de la personne ou du service auprès duquel s’exerce le droit d’accès / changement des modalités d’exercice de ce droit |
changement d’adresse, d’e-mail ou de numéro de téléphone de la personne ou du service auprès duquel s’exerce le droit d’accès, sous réserve que la modalité était prévue initialement |
Dispositions prises pour assurer la sécurité des traitements de données |
une modification des mesures techniques et organisationnelles susceptible d’affaiblir la sécurité des données |
une modification des mesures techniques et organisationnelles maintenant ou augmentant la sécurité des données |
Transfert de données hors de l’Union Européenne |
un transfert de données hors Union européenne non conforme aux cadres ci-contre |
transfert vers un pays assurant un niveau de protection suffisante ou autorisation unique « BCR » correspondant à la finalité du traitement ou mécanisme de certification ou conformité à un code de conduite ou clauses contractuelles types |
Autres |
|
changement au sein de l’équipe du promoteur ou des professionnels qui interviennent dans le projet (investigateur, ARC, TEC) tant que les catégories de professionnels ne bougent pas |
Vos modifications sont substantielles. Quelles démarches réaliser ?
Votre recherche est réalisée dans le cadre d’un engagement de conformité à une méthodologie de référence (MR)
Si la modification envisagée est conforme à la MR, les modalités suivantes s’appliquent :
- Si la recherche n’a pas fait l’objet d’un avis préalable d’un CPP (par exemple : recherche non interventionnelle, recherche sur les données), aucune démarche n’est à réaliser. La modification devra être documentée en interne ainsi que sa conformité avec une MR.
- Si la recherche a été soumise initialement à un CPP (RIPH, recherche de soins courants ou recherche biomédicale), la modification devra lui être soumise mais il n’est pas nécessaire d’informer la CNIL.
Si la modification envisagée n’est pas conforme à la MR, les procédures décrites ci-dessous s’appliquent.
Cas particulier : Une étude ayant fait l’objet d’une autorisation initiale auprès de la CNIL mais qui serait, à ce jour, en conformité avec une MR.
Sous réserve d’une déclaration de conformité transmise à la CNIL, et si les modifications sont en conformité avec cette MR, elles suivent la procédure décrite dans le paragraphe ci-dessus « Votre recherche est réalisée dans le cadre d’une MR ».
Votre recherche est réalisée hors du cadre d’un engagement de conformité à une méthodologie de référence (MR)
-
Cas n°1 : votre recherche initiale est une recherche impliquant la personne humaine, une recherche biomédicale ou une recherche en soins courants
Votre recherche a nécessairement reçu l’avis d’un comité de protection des personnes (CPP) avant sa mise en œuvre initiale.
Les modifications substantielles doivent être soumises au CPP compétent puis être transmises à la CNIL, au moyen du formulaire suivant :
Démarrer une demande de modification (si vous disposez d’une autorisation CNIL) ou
Démarrer une demande d’autorisation recherche (si vous étiez dans le cadre d’une MR)
Votre dossier ne sera pas traité par la CNIL sans avis préalable du CPP relatif à la modification envisagée.
Cas particulier : Lorsque la modification consiste uniquement à accéder aux données du Système National des Données de Santé (SNDS) et que cette modification n’entraîne pas de modification substantielle par rapport aux éléments du dossier qui ont été initialement soumis au CPP, il est fortement recommandé de déposer votre dossier en tant que recherche n’impliquant pas la personne humaine auprès de l’INDS. Dans ce cas, il est recommandé d’une part que le promoteur informe le CPP compétent de la démarche qu’il effectue auprès de l’INDS et qu’il transmette le protocole modifié ainsi que le cas échéant, les autres documents de l’étude modifiés au CPP concerné, pour information, lorsque la décision de la CNIL est obtenue.
Si le promoteur souhaite néanmoins que cette modification soit examinée par un CPP, il est rappelé qu’il doit transmettre à l’INDS les documents mentionnés à l’article L. 1461-3 – II du code de la santé publique (CSP) : il s’agit avant le début de la recherche du protocole d’analyse et de la déclaration d’intérêts du responsable de traitement. Après la fin de la recherche, la méthode, les résultats et les moyens d’en évaluer la validité doivent être communiqués à l’Institut.
-
Cas n°2 : votre recherche initiale est une recherche non-interventionnelle et a été mise en œuvre sans avis d’un CPP (dossiers qui ont fait l’objet d’un avis du CCTIRS et d’une autorisation de la CNIL)
Les modifications substantielles apportées à votre recherche doivent être adressées à l’INDS qui transmettra votre dossier à la CNIL. Cette dernière arbitrera sur les suites à donner : en fonction de la complexité liée à la ou les modifications transmises, la CNIL pourra saisir le CEREES, conformément aux dispositions du décret d’application de la loi Informatique et Libertés avant de se prononcer.
Toutefois, si les modifications apportées conduisent à ce que votre recherche devienne interventionnelle l’INDS ne sera pas compétent et la recherche sera considérée comme un nouveau projet devant être transmis au CPP puis à la CNIL pour autorisation (sauf éventuelle conformité à une MR).
-
Cas n°3 : votre recherche est une évaluation ou analyse des pratiques ou activités de soins et de prévention (ex-chapitre X de la loi)
Toute modification substantielle des traitements autorisés sur le fondement de l’ancien chapitre X de la loi Informatique et Libertés doit être soumise à l’INDS en tant que nouveau dossier.
-
Cas n°4 : votre recherche est une recherche, étude ou évaluation n’impliquant pas la personne humaine qui a été autorisée par la CNIL après évaluation par le CEREES
La modification substantielle suivra le même circuit INDS-CEREES-CNIL que le dossier initial mais fera l’objet d’un dossier allégé dédié aux modifications, disponible sur le site de l’INDS.
En pratique, comment faire une demande de modification substantielle ?
-
Si la demande est à déposer directement auprès de la CNIL :
Elle doit être déposée via le formulaire de demande de modification, disponible sur le site Internet de la CNIL : « Demande de modification ». Il est possible d’insérer des pièces jointes lors de la demande.
Ainsi, votre demande devra être complétée avec les pièces suivantes :
- un courrier d’accompagnement de la demande, clair et explicatif, résumant les modifications apportées ;
- les documents modifiés en modifications apparentes (protocole, cahier d’observation, note d’information, etc.) ;
- le ou les avis des comités compétents précédemment saisis.
Important : Si la modification nécessite d’obtenir un nouvel avis d’un CPP, la demande doit préalablement être déposée auprès du comité de protection des personnes ayant rendu un avis sur le projet de recherche initial. Il se prononcera sur les modifications substantielles apportées par rapport aux éléments du dossier qui lui ont été initialement soumis (Article R1123-42 du Code de la santé publique).
Votre demande ne pourra pas être traitée si le nouvel avis du CPP n’a pas été adressé à la CNIL.
Important : pour une recherche initialement non-interventionnelle et pour laquelle les modifications apportées conduisent à ce que la recherche devienne interventionnelle, la recherche sera considérée comme un nouveau projet (voir cas 2 ci-dessus) devant être transmis au CPP par tirage au sort puis à la CNIL pour autorisation (sauf conformité à une MR).
-
Si la demande est à déposer auprès de l’INDS :
Elle doit être soumise auprès de l’INDS par l’intermédiaire du formulaire dédié sur la plateforme de soumission des dossiers (lien indiqué sur le site internet de l’INDS). Les mêmes documents que pour la CNIL sont nécessaires (courrier d’accompagnement et documents en suivi de modifications) ainsi que les déclarations d’intérêt en lien avec l’objet de la recherche du responsable de traitement et du responsable de la mise en œuvre.
L’INDS se charge ensuite de transmettre la demande auprès du CEREES (le cas échéant) et auprès de la CNIL.