Données de santé : la Cnil met à jour ses référentiels et accompagne les scientifiques

La Commission nationale de l'informatique et des libertés (Cnil) vient de publier d’importantes mises à jour de ses méthodologies de référence MR001 et MR003 pour les recherches en santé. Ces actualisations ont été réalisées afin de mieux répondre aux besoins des chercheurs. Des annexes et des grilles de conformité complètent désormais ces référentiels.

National
Ces boutons servent à modifier la taille des textes /

La Cnil a lancé en mai 2024 une consultation publique auprès des acteurs de la recherche en santé : scientifiques, hôpitaux, universités, laboratoires…, en vue d’améliorer ses référentiels fixant les critères de conformité des traitements de données personnelles.

La délégation à la protection des données (DPD) de l’Inserm a pu rendre compte des difficultés les plus fréquentes auxquelles étaient confrontés les chercheurs et les chercheuses de l’Institut, dans le cadre de l’examen des différents dossiers soumis à la Cnil.

Prise en compte des propositions de l’Inserm

L’Inserm a notamment informé la Cnil que les méthodologies précédentes apparaissaient trop restrictives ou imprécises pour certaines données pouvant être traitées par les équipes de recherche, comme l’orientation sexuelle ou le genre.

L’Institut a également suggéré une évolution des méthodologies de référence pour prendre en considération la réalisation de recherche à l’étranger. Il a aussi demandé des clarifications concernant la notion de professionnels habilités à accéder aux données directement identifiantes de la recherche et le besoin de mieux tenir compte de la pratique.

Les nouvelles versions des MR-001 et MR-003 prennent en compte une majeure partie de ces remarques. La structure de ces référentiels a été actualisée en vue d’une meilleure compréhension. Elles abordent aussi des questions qui n’apparaissaient pas auparavant, tels que l’information dématérialisée, le contrôle qualité à distance, les mesures de sécurité.

Des annexes pratiques et des grilles de conformité

En outre, deux annexes complètent ces nouvelles méthodologies de référence. La première tient compte de l’état de l’art en matière de sécurité des systèmes d’information. Elle vise à réduire les risques de violation de données dans un secteur particulièrement exposé : 16 notifications en 2018, 547 en 2024 ! (Chiffres de la Cnil)

L’autre annexe est dédiée au contrôle qualité sur site et à distance (aussi appelé monitoring). C’est-à-dire, à la vérification de l’exhaustivité et l’exactitude des données collectées. Elle met l’accent sur les précautions à prendre dans le cadre d’une activité de plus en plus fréquemment opérée à distance.

La Cnil propose également deux grilles pour vérifier en amont la conformité d’un projet de recherche à ces référentiels. Elles seront d’une aide précieuse aux utilisateurs pour s’assurer du respect des critères s’appliquant à leur recherche.

Enfin, une mise à jour de la MR004, le référentiel de la Cnil qui encadre le traitement de données à caractère personnel liés aux recherches n’impliquant pas la personne humaine, est attendue courant 2027.

Conformité des données : comment ça marche ?

Pour évaluer la conformité des traitements aux référentiels, les équipes de recherche réalisent des analyses d’impact relative à la protection des données.

La conformité de chaque projet est examinée par le guichet unique (GU) de l’Inserm qui se réunit deux fois par mois. Il est constitué du pôle recherche clinique, de la délégation à la protection des données et du centre de service SNDS.

En savoir plus