Le droit à l’information est le premier droit des personnes concernées et le plus important car il conditionne l’exercice des autres droits par leur titulaire. C’est vrai en matière de recherche en santé, où la transparence permet aux personnes qui participent à une recherche de comprendre les objectifs de la recherche, les modalités de leur participation, la portée de l’accord qu’elles donnent et de maîtriser l’utilisation qui sera faite de leurs données. Elle contribue à un traitement loyal des données et permet d’instaurer une relation de confiance avec les chercheurs.
Informations à délivrer aux personnes
Collecte directe et indirecte
Quelles sont les informations à faire figurer dans la note d’information ? Le RGPD complète les informations à délivrer aux personnes par rapport aux dispositions de la loi Informatique et Libertés. La liste les informations qui doivent figurer dans la note d’information est fixée par les articles 13 et 14 du RGPD qui distinguent selon que les données sont les données sont collectées directement auprès de la personne concernée (collecte directe) ou à partir d’une autre source (collecte indirecte).
La collecte directe des données auprès des personnes peut prendre différentes formes :
- questionnaire rempli par la personne, données collectées au cours d’entretiens, notamment sur des supports audio ou vidéo ;
- informations issues de dispositifs (capteurs) ou de technologies d’observation de l’activité des personnes (vidéosurveillance, géolocalisation…) ;
La collecte indirecte des données peut être effectuée auprès d’un tiers détenteur. Il peut s’agir par exemple :
- de données personnelles issues des dossiers médicaux,
- de données recueillies au cours de recherches antérieures (registres, cohortes, collections d’échantillons biologiques) ;
- de données issues de bases médico-administratives (Système National des Données de Santé (SNDS) et ses composantes).
Point d’attention
En cas de collecte indirecte des données, la remise de données collectées à une autre fin à un chercheur réalise un changement de finalité jugé compatible par le législateur avec la finalité initiale mais elle suppose que les données aient été initialement collectées légalement et ne dispense pas les chercheurs de leur obligation d’informer préalablement les personnes concernées du nouveau traitement (cf. principe de compatibilité de la finalité de recherche scientifique avec une finalité initiale différente).
Collecte auprès de la personne
En cas de collecte auprès de la personne, le responsable de traitement doit mentionner :
- l’identité et les coordonnées du responsable de traitement et, le cas échéant, du représentant du responsable du traitement ;
- les finalités du traitement auxquelles sont destinées les données à caractère personnel ;
- la base juridique du traitement (V. Licéité du traitement)
- le caractère obligatoire ou non de la collecte, le fondement de l’exigence de la fourniture des données (contrat ou texte légal) et les conséquences d’une non-fourniture ;
- les destinataires ou les catégories de destinataires des données à caractère personnel ;
- la durée de conservation des données ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
- les transferts envisagés de données personnelles vers un pays tiers à l’Union Européenne ou vers une organisation internationale, l’existence ou l’absence d’une décision d’adéquation rendue par la Commission européenne et les garanties mises en place pour encadrer ce transfert ;
- les réutilisations secondaires des données envisagées pour des finalités différentes ; Le RGDP introduit une nouveauté liée au traitement ultérieur des données.
- les droits des personnes concernées et les modalités pratiques d’exercice de ces droits
- les coordonnées du délégué à la protection des données ;
- le droit d’introduire une réclamation auprès de la CNIL ;
- l’existence d’une prise de décision automatisée et les informations utiles concernant la logique sous-jacente et l’importance et les conséquences prévues pour la personne concernée.
La loi Informatique et libertés précise que quand les données à caractère personnel sont collectées auprès d’un mineur de moins de quinze ans, le responsable de traitement transmet au mineur les informations mentionnées « dans un langage clair et facilement accessible » (art. 48).
Elle complète ces exigences en ajoutant le droit de définir des directives relatives au sort de ses données à caractère personnel après sa mort (LIL, art. 85) qui n’est pas applicable aux de données à caractère personnel dans le domaine de la santé.
Pour en savoir plus, voir la fiche pratique CNIL : « Comment informer les personnes ? ».
Collecte auprès d’un tiers
Dans l’hypothèse où les données ne sont pas fournies directement par la personne mais par un tiers, il faut, en plus des informations précitées, préciser :
- les catégories de données traitées ;
- la source des données.
Déroger à l’obligation d’information
Il est possible de déroger à l’obligation d’information individuelle
- De façon générale lorsque la personne dispose déjà de ces informations, ce qui suppose que le responsable de traitement soit en mesure de le documenter et qu’aucune modification n’a été apportée au traitement susceptible de rendre les informations qui lui ont été délivrées obsolètes.
- Dans l’hypothèse où les données personnelles ne sont pas collectées auprès de la personne :
- lorsque la fourniture des informations « se révèle impossible ou exigerait des efforts disproportionnés ». Peuvent être pris en considération le nombre de personnes concernées, l’ancienneté des données, ainsi que les garanties appropriées éventuelles adoptées. Cette disposition peut trouver à s’appliquer, par exemple, pour les méta-analyses sur données individuelles ;
- Dans la mesure où l’obligation d’information « est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement » ;
- Lorsque l’obtention ou la communication des données est expressément prévue par le droit de l’État membre ou de l’Union européenne.
- Pour les traitements de données à caractère personnel dans le domaine de la santé lorsque, la personne concernée a exprimé la volonté d’être laissée dans l’ignorance d’un diagnostic ou d’un pronostic, droit qui lui est reconnu par l’article L. 1111 – 2 du code de la santé publique (LIL, art. 58).
Points de vigilance en matière de recherche en santé
L’absence d’information des personnes rendra la recherche non éligible aux méthodologies de référence. Le responsable du traitement devra donc effectuer une demande de dérogation à l’obligation d’information dans le dossier de demande d’autorisation qui devra être adressé à la CNIL.
Cette demande, pour être justifiée, devra être accompagnée d’un argumentaire démontrant qu’il est effectivement impossible de communiquer les informations à la personne concernée ou que l’information exigerait des efforts disproportionnés ou que le simple fait d’informer les personnes compromettrait les objectifs de la recherche.
Faute d’être en mesure d’effectuer une information individuelle, le responsable du traitement devra rendre l’information accessible au public, par exemple en mettant les informations sur son site internet ou en les publiant par voie d’affichage.
Une précision : S’agissant du traitement de données de personnes décédées, sous réserve que le professionnel participant à la recherche ait connaissance du statut vital de la personne concernée, il n’est pas nécessaire d’effectuer une demande de dérogation à l’obligation d’information auprès de la CNIL. Les recherches portant sur des personnes décédées sont susceptibles de relever des méthodologies de référence homologuées par la CNIL.