RGPD

 Question 1 : Qu’est-ce qu’une base légale ?
Pour pouvoir être mis en oeuvre, tout traitement de données doit se fonder sur l’une des « bases légales » prévues par le RGPD : la base légale doit être distinguée du consentement prévu dans le code de la santé publique en vue de la participation à une recherche impliquant la personne humaine.

 Question 2 : Quelles sont les bases légales adaptées pour une RIPH ou une investigation clinique ?
C’est au responsable de traitement, c’est-à-dire au promoteur de la recherche, de déterminer la base légale appropriée pour justifier le traitement de données personnelles dans le cadre de la RIPH.
Pour ce faire, il appartient au promoteur de choisir parmi l’une des bases légales listées à l’article 6 du RGPD.
Parmi les motifs listés, le traitement de données dans le cadre d’une RIPH peut avoir pour fondement :

  • Soit l’exécution d’une mission d’intérêt public ;
  • Soit les intérêts légitimes poursuivis par le responsable de traitement ;
  • Soit le consentement de la personne participant à la recherche.

    La base légale n’est pas déterminée à l’avance pour toutes les RIPH : elle peut être différente pour chaque traitement envisagé et donc pour chaque recherche menée.

A noter qu’une quatrième base légale est possible lorsque certaines opérations de traitement sont nécessaires au respect d’une obligation légale telle que prévue à l’article 6-1-c du RGPD, à laquelle le responsable du traitement (promoteur) est soumis. Cette base légale est celle qui s’appliquera notamment aux futurs essais cliniques de médicaments entrant dans le champ du règlement européen nº 536/2014, pour les finalités liées à la fiabilité des données et la sécurité des personnes. A titre d’exemple, la collecte des effets indésirables s’inscrit dans ce champ. Ce raisonnement devra être précisé dans la documentation du promoteur et dans la note d’information auprès des personnes concernées. Celles-ci ne pourront alors pas s’opposer à la collecte de ces données lors de leur participation à la recherche, ni demander un droit à l’effacement pour ces finalités.

 Question 3 : Quelle est la base légale recommandée ?
Les autorités européennes (CEPD) et la CNIL recommandent les deux bases légales suivantes :

  • Soit l’exécution d’une mission d’intérêt public (pour les structures de droit public. Ex : CHU)
  • Soit les intérêts légitimes poursuivis par le responsable de traitement (pour les structures privées. Ex : laboratoires pharmaceutiques, etc.)

En outre, l’exception mentionnée à l’article 9.2 (j) du RGPD visant les recherches scientifiques permet le traitement des données de santé.

 Question 4 : Le consentement à la participation à la recherche, prévu par le code de la santé publique, permet-il de considérer que la base légale RGPD est le consentement ?
Non. Le consentement à la recherche signifie que le participant consent à participer à la recherche impliquant la personne humaine et notamment aux interventions supplémentaires prévues. Il ne s’agit pas de la même chose : la participation à la recherche et le traitement des données individuelles répondant à deux réglementations différentes et deux enjeux différents.

Si le consentement comme base légale ne peut être exclu, il ne constitue cependant pas la base légale la plus appropriée en recherche (interrogations sur la liberté du consentement, dans la mesure où la participation à la recherche implique nécessairement le traitement des données du patient, risque de confusion avec le consentement à la participation de la personne à la recherche et aux interventions réalisées, etc.).

Si toutefois le responsable de traitement ne souhaite pas retenir les bases légales privilégiées, il peut, en dernier recours, choisir le consentement. Dans ce cas de figure, le responsable de traitement devra alors s’assurer que le consentement remplit les critères pour être juridiquement valable au sens du RGPD (à savoir être libre, spécifique, éclairé et univoque) et distinct de celui de la participation de la personne à la recherche. En pratique cela signifie que la personne devra donner son accord 2 fois (par exemple, cases à cocher). A noter cependant que la personne doit être informée du fait qu’elle ne peut pas refuser le traitement d’au moins certaines de ses données si elle souhaite participer à la recherche.

A noter : si le promoteur/RT a recours au consentement comme fondement légal, le droit à la portabilité s’applique. En pratique, cela signifie que le RT devra mentionner l’existence du droit à la portabilité dans la note d’information et faire droit aux demandes qui lui sont adressées (cf. question n°5).

 Question 5 : Quels sont les droits des personnes applicables ?
Selon le fondement retenu, des droits différents pour les personnes qui se prêtent à la recherche sont applicables. C’est la raison pour laquelle le choix de cette base légale est important.

La transparence du traitement / l’information des personnes concernées

Elle s’applique, quel que soit la base légale retenue.

Les modalités sont définies à l’article 12 du RGPD et les mentions devant figurer dans l’information sont mentionnées à l’article 13 du RGPD.

Les droits des personnes

Le droit d’accès aux données (article 15 RGPD), le droit de rectification (article 16 RGPD), et le droit à la limitation (article 18 RGPD) sont pleinement applicables, quel que soit le fondement retenu.

Les spécificités de certains droits

> Consentement Art. 6.1.a Intérêt légitime Art. 6.1.f Mission d’intérêt public Art. 6.1.e. Obligation légale Art. 6.1.c (Règlement ‘CTR’)
Droit à la portabilité des données (article 20) Oui Non Non Non
Droit d’opposition (article 21) Pas directement mais par le retrait du consentement oui (droit d’opposition discrétionnaire prévu par l’article 74 de la loi informatique et libertés) oui (droit d’opposition discrétionnaire prévu par l’article 74 de la loi informatique et libertés) Non
Droit à l’oubli/droit à l’effacement (article 17) Oui oui (si cela ne compromet pas la recherche, sous réserve d’en avoir informé la personne au préalable et d’être en mesure de le justifier) oui (si cela ne compromet pas la recherche, sous réserve d’en avoir informé la personne au préalable et d’être en mesure de le justifier) Non

Quelles sont les spécificités lorsque le consentement (au sens du RGPD) est retenu comme base légale du traitement ?

En complément des droits détaillés ci-dessus, le droit à la portabilité s’applique.

Par ailleurs, les personnes ne disposent pas juridiquement du droit d’opposition mais peuvent retirer leur consentement à tout moment, ce qui a le même effet. A noter qu’en cas de retrait du consentement et en application du RGPD et de ses lignes directrices, les données préalablement collectées devront alors, en principe, être effacées.

 Question 6 : Quel est le rôle du CPP dans le choix de la base légale ?
En France, la compétence pour apprécier la conformité du traitement de données à caractère personnel au regard du RGPD et de la loi informatique et libertés incombe à la CNIL.

Pour en savoir plus :
Au niveau européen, la question sur la répartition des rôles entre le Comité d’éthique et de l’autorité de contrôle nationale a fait l’objet d’une position de la part de la Commission Européenne fin 2018, en réponse à la question d’un Etat-membre. Cette position rappelle :
 l’article 57 du RGPD précise que l’Etat membre désigne l’autorité de contrôle et que c’est uniquement cette autorité de contrôle qui peut évaluer si un traitement est réalisé en conformité avec le RGPD ; en France cette autorité est la CNIL.
 que le RGPD prévoit que les États membres peuvent maintenir ou introduire des conditions en ce qui concerne le traitement des données génétiques, biométriques ou de santé (article 9(4) RGPD),
 que seules les autorités de contrôle peuvent délivrer des autorisations pour le traitement de données à caractère personnel lorsque la législation nationale prévoit qu’une autorisation est requise (par exemple, une autorisation de l’autorité de contrôle peut faire partie des conditions de traitement de données génétiques, de données biométriques ou de données de santé prévues par la législation des États membres en vertu de l’article 9(4) du RGPD).

Aussi la Commission européenne précise que les évaluations réalisées par les autres organismes sur la « conformité au RGPD » sont de « nature procédurale », pour vérifier que des preuves suffisantes ont été fournies sur la façon dont le responsable de traitement se conforme au RGPD.

L’autorisation d’une demande d’essai clinique n’est donc pas une validation de la conformité du traitement des données avec le RGPD, à moins qu’il n’y ait eu une participation appropriée de l’autorité de contrôle à la vérification de la conformité avant la délivrance de l’autorisation d’essai clinique.

Conformément à l’article L.1123-7 du Code de la santé publique, le CPP, par ses attributions et sa compétence scientifique et technique, examine la méthodologie de la recherche au regard de la loi informatique et libertés et la nécessité du recours à la collecte et au traitement de données à caractère personnel, avec la pertinence de celles-ci par rapport à l’objectif de la recherche, préalablement le cas échéant à la saisine de la CNIL (recherches hors MR).

Ainsi, les prérogatives attribuées aux CPP en matière de traitements de données à caractère personnel sont limitées : les CPP n’ont pas vocation à évaluer l’ensemble de la conformité du traitement au RGPD, même s’ils peuvent évidemment interroger le promoteur sur certaines spécificités du traitement lié à l’étude (recueil d’un consentement pour la génétique par exemple).
Cette analyse globale relève de la compétence de la CNIL, en tant qu’autorité de protection des données.

En tout état de cause, le choix de la base légale relève de la responsabilité du responsable de traitement.
Le CPP ne peut remettre en cause la base légale choisie par le RT que si celle-ci n’est pas conforme aux dispositions du RGPD et aux recommandations des autorités européennes et françaises. Le CPP ne peut pas non plus demander de supprimer ou exiger un droit de la personne qui ne serait pas prévu par le fondement juridique (ex : exiger l’application du droit à la portabilité alors que la base légale retenue pour le traitement est l’intérêt légitime).
En revanche, dans le cas où le CPP constaterait que la base légale serait manifestement inadaptée (ex : exécution du contrat), il doit en avertir le responsable de traitement et le cas échéant se rapprocher de la CNRIPH et/ ou de la DGS afin que celles-ci puissent en référer à la CNIL.
De son côté, la CNIL peut être amenée à se prononcer sur la base légale dans le cadre de l’instruction d’un dossier ou d’une mission de contrôle et la requalifier.

Références :


 Règlement Général sur la Protection des données (RGPD)
 QaA European Commission, interface RGPD et Règlement essais cliniques de médicaments - version anglaise - version française
 Loi Informatique et Libertés (LIL)
 G29 et CEPD
 Communiqué de la CNIL du 16 juillet 2018 sur les nouvelles méthodologies de référence dans le domaine de la santé