Cnil : nouvelles mesures pour simplifier les recherches dans le domaine de la santé

Actualités Legalnews ©

Le 16 juillet 2018, la Commission nationale de l’informatique et des libertés (Cnil) a adopté de nouvelles mesures afin de simplifier les recherches dans le domaine de la santé. Fondée sur l’allègement des formalités et la sécurisation des données, la Commission a mis en place cinq nouvelles méthodologies de référence adaptées au cadre juridique du domaine de la santé.

Ces méthodologies, qui permettent de créer un cadre protecteur des personnes concernées favorable à la recherche, à l’innovation et la compétitivité, doivent s’adapter à l’évolution des législations et aux attentes des différents acteurs. Ces mesures s’adressent aux acteurs qui traitent des données dans le cadre d’une recherche, d’une étude ou d’une évaluation dans le domaine de la santé.

Le responsable souhaitant mettre en œuvre un ou des traitements en conformité avec une de ces méthodologies doit adresser à la Cnil une déclaration attestant de cette conformité pour chaque méthodologie. Pour les responsables de traitement ayant déjà réalisé un engagement de conformité aux anciennes versions d’une méthodologie de référence, il n’est pas nécessaire d’adresser une nouvelle déclaration de conformité. Cependant, les traitements mis en œuvre devront respecter le nouveau texte.

Ces mesures indiquent la procédure à suivre pour :
– les recherches dans le domaine de la santé avec recueil du consentement (MR-001) ;
– les recherches dans le domaine de la santé sans recueil du consentement (MR-003) ;
– les recherches n’impliquant pas la personne humaine, études et évaluations dans le domaine de la santé (MR-004) ;
– les études nécessitant l’accès aux données du programme de médicalisation des systèmes d’information (PMSI) et/ou des résumés de passage aux urgences (RPU) par les établissements de santé et les fédérations hospitalières (MR-005) ;
– les études nécessitant l’accès aux données du PMSI par les industriels de santé (MR-006). 

Pour les méthodologies 001, 003 et 004, il est désormais obligatoire, pour le responsable de traitement, de désigner un délégué à la protection des données (DPO).