Alors que le RGPD a aboli la quasi-totalité des formalités déclaratives au profit du principe de redevabilité, la loi Informatique et Libertés exige l'accomplissement de ces formalités préalables pour certains traitements de données de santé.
Quelles finalités ?
C'est notamment le cas lorsque le traitement poursuit une finalité d'intérêt public relative :
- Aux recherches, études et évaluations dans le domaine de la santé ;
- A certaines bases de données élaborées dans le domaine de la santé (ex : la mise en place d'un entrepôt de données de santé).
Que faire en cas d'évolution du traitement ?
Pour une raison ou pour une autre, le traitement peut être amené à évoluer. Il se pose alors la question de savoir si une nouvelle demande d'autorisation à la CNIL doit être réalisée préalablement à ce changement.
La réponse à apporter à cette problématique diffère selon le caractère substantiel ou non de la modification opérée et de la nature de la formalité accomplie auprès de la CNIL. Par modification substantielle, il faut entendre tout changement qui porte sur les caractéristiques principales du traitement de données personnelles.
A titre de clarification, la CNIL a élaboré un tableau renseignant le caractère substantiel ou non des modifications les plus fréquemment opérées que nous portons à votre connaissance ci-après.
| MODIFICATION ENVISAGÉE | MODIFICATION CONSIDÉRÉE COMME SUBSTANTIELLE | MODIFICATION CONSIDÉRÉE COMME NON SUBSTANTIELLE |
|---|---|---|
| Responsable de traitement | Changement de l'identité du responsable de traitement, ajout d'un responsable conjoint de traitement. | |
| Destinataires ou catégories de destinataires de données | Nouvelle catégorie de destinataires (partenaire industriel, académique, autorité publique). | Changement de personnes physiques accédant aux données (changement de personnel chez un sous-traitant, changement au sein de l'équipe du promoteur ou des professionnels qui interviennent dans le projet (investigateur, ARC, TEC)). |
| MODIFICATION DE LA FINALITÉ DU TRAITEMENT | ||
| Finalité du traitement | Nouvelle finalité | Précisions / clarifications des finalités initiales |
| MODIFICATION PORTE SUR LES CARACTÉRISTIQUES DU TRAITEMENT | ||
| Nature des données |
Ajout d'une nouvelle catégorie de données traitées particulières non prévues initialement :
|
Collecte de données supplémentaires sans modification des catégories de données dont la collecte était prévue initialement. |
| Origine des données | Ajout d'une nouvelle source de données (base médico-administrative, cohorte, entrepôt de données, dossiers médicaux, questionnaires avec ajout de catégories de données non prévues, etc.). | Ajout ou retrait d'un ou quelques centres participants sans modification du circuit de données. |
| Mise en relation avec d'autres traitements | Appariements avec de nouvelles sources de données (ex. : système national des données de santé, base médico-administrative). | Recours à de nouvelles sources de données qui ne présentent pas de caractère personnel (données anonymes, open data, etc.). |
| Personnes concernées |
Ajout d'une catégorie particulière de personnes concernées (mineurs, majeurs protégés, personnes hors d'état d'exprimer leur consentement, personnes privées de liberté, personnes faisant l'objet de soins psychiatriques). Augmentation conséquente du nombre de personnes concernées (augmentation de plus de la moitié du nombre de personnes prévues initialement). |
Ajustement des critères d'inclusion ou d'exclusion (sauf nouvelle catégorie de personnes concernées). Augmentation non conséquente du nombre d'inclusions (augmentation de moins de la moitié du nombre de personnes prévues initialement). |
| MODIFICATION DES DROITS DES PERSONNES CONCERNÉES | ||
| Modalités d'exercice des droits | Restriction des modalités d'exercice des droits par rapport à ce qui était prévu initialement. | Changement de fonction, d'adresse, d'e-mail ou de numéro de téléphone de la personne ou du service auprès duquel s'exerce les droits, sous réserve que la modalité était prévue initialement. |
| MODIFICATION DES DURÉES DU TRAITEMENT | ||
|
Durée de la collecte, du traitement, de conservation / archivage |
Allongement conséquent de la durée de la collecte, du traitement, de la conservation et / ou de la durée d'archivage des données (ex : allongement de la durée de conservation de plus de la moitié de la durée initialement prévue). | Mise à jour du calendrier
d'une l'étude, allongement négligeable de la
durée du traitement, de la durée de conservation et /
ou de l'archivage (ex : allongement de la durée de
conservation de moins de la moitié de la durée
initialement prévue). Le responsable de traitement doit documenter précisément le caractère négligeable. |
| MODIFICATION CONCERNANT LA CONFIDENTIALITÉ ET LA SÉCURITÉ DES DONNÉES | ||
| Dispositions prises pour assurer la sécurité des traitements de données | Une modification des mesures techniques et organisationnelles susceptible d'affaiblir la sécurité des données | Une modification des mesures techniques et organisationnelles maintenant ou augmentant la sécurité des données |
| MODIFICATION PORTANT SUR DES TRANSFERTS DE DONNÉES HORS DE L'UNION EUROPÉENNE | ||
| Transfert de données hors de l'Union européenne | Encadrement du transfert autrement que par une décision d'adéquation (article 45 du RGPD) ou des garanties appropriées (article 46 du RGPD) telles que des clauses contractuelles types, des règles d'entreprise contraignantes, un code de conduite ou encore un mécanisme de certification). | Encadrement du transfert par une décision d'adéquation (article 45 du RGPD) ou des garanties appropriées (article 46 du RGPD) telles que des clauses contractuelles types, des règles d'entreprise contraignantes, un code de conduite ou encore un mécanisme de certification). |
Quelles sont les formalités à accomplir en cas de changement substantiel ?
Il convient de distinguer selon que le traitement a été déclenché dans le cadre d'une déclaration de conformité à un référentiel, ou qu'il ait été formellement autorisé par la CNIL :
- Dans le premier cas, une nouvelle demande d'autorisation devra être formulée auprès de la CNIL.
- Dans le second cas, une demande de modification de l'autorisation devra être réalisée si ladite modification affecte la conformité du traitement au référentiel qui lui est initialement applicable. En pareille hypothèse, l'avis préalable du comité d'éthique compétent sera indispensable à l'instruction de la demande de modification de l'autorisation.
Le cas échéant, les modifications apportées au traitement de données devront donner lieu à une nouvelle information des personnes concernées.
Afin de s'affranchir des formalités engendrées par les modifications des traitements de données soumis à des formalités préalables, il appartient aux acteurs d'envisager, dans le cadre d'une démarche de privacy by design, la finalité la plus appropriée à leur besoin.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d'avocats fiables. Pour nous contacter, cliquez ici.
Sources
https://www.cnil.fr/fr/modifications-des-traitements-de-donnees-soumis-formalites-quelles-demarches
https://www.cnil.fr/fr/quelles-formalites-pour-les-traitements-de-donnees-de-sante
https://www.cnil.fr/fr/thematiques/sante
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.