Avec l’homologation de la MR-003 et la modification de la MR-001, les responsables de traitements qui sont mis en œuvre dans les principales catégories de recherches cliniques pourront dorénavant se limiter à la réalisation d’un engagement de conformité auprès de la CNIL. Bien entendu, pour chaque nouvelle recherche ils devront s’assurer préalablement que le traitement qu’ils projettent de mettre en œuvre respecte parfaitement les critères fixés par ces méthodologies de référence. A défaut, la constitution d’un dossier de demande d’autorisation et d’avis selon les critères fixés par le Chapitre IX de la Loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés modifiée (LIL) sera incontournable.
Un avant-goût du principe d’ « accountability » est d’ores et déjà une véritable simplification administrative qu’il convient de saluer.
La CNIL a profité de la période estivale pour homologuer une nouvelle méthodologie de référence (MR) relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des recherches dans le domaine de la santé ne nécessitant pas le recueil du consentement exprès ou écrit de la personne concernée (Délibération n° 2016-263 du 21 juillet 2016) ou MR-003.
Cette nouvelle MR vient s’ajouter à la MR-001 ainsi qu’à la MR-002 publiée au cours de l’été 2015 et consacrée aux traitements de données à caractère personnel mis en œuvre dans le cadre des études non interventionnelles de performances en matière de dispositifs médicaux de diagnostic in vitro (Délibération n° 2015-256 du 16 juillet 2015).
La CNIL a profité de la publication de la MR-003 pour modifier, 10 ans après son homologation, la MR-001 relative aux traitements de données personnelles opérés dans le cadre des recherches biomédicales (Délibération n° 2016-262 du 21 juillet 2016 publiée au Journal Officiel du 14 août 2016).
Pour mémoire, et en application de l’article 54 alinéa 5 de la LIL, les méthodologies de référence sont destinées à simplifier la procédure d’autorisation délivrée par la CNIL s’agissant des catégories les plus usuelles de traitements automatisés ayant pour finalité la recherche dans le domaine de la santé et portant sur des données ne permettant pas une identification directe des personnes concernées.
Les MR imposent aux responsables de traitement souhaitant s’y référer de réaliser un engagement de conformité auprès de la CNIL mais surtout, impliquent pour ces derniers (ou à un sous-traitant désigné à cet effet) de pouvoir démontrer, pour chaque traitement, que la vérification de la conformité à la MR [1] a été réalisée et le cas échéant, actualisée.
Le responsable de traitement doit par exemple être en mesure de démontrer que le traitement mis en œuvre respecte les principes relatifs au traitement des données à caractère personnel [2] : licéité, loyauté, transparence, limitation des finalités, minimisation des données, exactitude, limitation de la conservation, intégrité et confidentialité.
Cette mise en œuvre concrète de « l’Accountability » nécessite également de réaliser une Etude d’Impact sur la vie privée (EIVP) ou « Privacy Impact Assessment » (PIA) afin de démontrer la mise en œuvre des principes de protection de la vie privée.
Ces méthodologies de référence représentent ainsi une véritable simplification administrative pour les chercheurs français mais surtout, en s’inscrivant incontestablement dans la philosophie du Règlement Général de Protection des Données personnelles (RGPD), proposent une bonne familiarisation avec quelques notions et anglicismes tels que « accountability », « privacy by design », « privacy impact assessment », « data privacy officer », etc., très prochainement incontournables.
[1] Une telle évaluation documentée doit figurer dans le dossier permanent de la recherche (ex : documents essentiels relatifs à la recherche biomédicale tels que prévus par les BPC)
[2] Article 6 de la LIL et Article 5 du Règlement général sur la protection des données personnelles du 14 avril 2016