La protection des données personnelles à l’Inserm

Une « donnée à caractère personnel » est une information qui se rapporte à une personne physique indentifiable, directement ou indirectement. La personne concernée peut notamment être identifiée par un nom, un numéro, ou des éléments spécifiques à son identité physique, physiologique, ou génétique.

Des données sensibles

Certaines données personnelles sont dites « sensibles » et soumises à des règles de protection renforcées. Il s’agit notamment de données :

• relatives l’état de santé
• génétiques
• relatives à l’orientation sexuelle
• concernant l’origine raciale et ethnique
• …

L’Inserm traite des données personnelles sensibles

L’Inserm traite des données personnelles pour conduire ses activités de re​cherche, pour assurer la gestion de ses personnels ou encore assurer la communication de l’établissement…

• Dans le cadre de sa mission de recherche en santé humaine, l’Inserm est à la fois producteur et utilisateur de données personnelles sensibles. Les données de santé constituent un matériau de recherche de base pour les communautés scientifiques. Leur traitement occupe une place centrale dans son plan stratégique.
• Ces données sensibles doivent être exploitées avec la plus grande rigueur, l’expertise et l’esprit critique nécessaire, dans le respect du cadre éthique et réglementaire.

Le non-respect du RGPD et du cadre national présente des risques importants pour l’Inserm. À contrario, la conformité à la réglementation et la sécurisation des données sont des facteurs indispensables de sécurité juridique, de confiance dans notre établissement et de qualité du travail des équipes.

L’Inserm responsable des traitements

L’Inserm met en place une politique institutionnelle de protection des données personnelles fondée sur la confiance des chercheurs et des personnels et la recherche de l’adhésion de tous. Elle suppose une meilleure coordination des communautés de recherche et leur accompagnement par l’Inserm qui porte la responsabilité des traitements mis en œuvre.

Données personnelles et science ouverte

L’ouverture des données de la recherche dans le cadre de la « science ouverte » doit aussi demeurer respectueuse de la protection de données personnelles des participants aux recherches. Cet enjeu doit permettre à l’Inserm d’exercer ses activités avec :

• la pleine confiance en l’établissement et la recherche publique ;
• un niveau d’exigence scientifique et de qualité qui est celui d’un institut de recherche de renommée internationale ;
• la pleine conformité de ses activités à la réglementation applicable en matière de traitement des données personnelles.

Le règlement sur la protection des données personnelles (RGPD) est entré en application le 25 mai 2018. C’est devenu le texte de référence dans l’ensemble de l’Union européenne et même au-delà, dès lors que l’on « cible » des résidents européens.

Une articulation nécessaire avec le cadre national pour les traitements de données de santé

Les traitements de données de santé dans le cadre de projets de recherche en santé doivent être réalisés dans le respect cumulé du RGPD et de la loi « Informatique et libertés » nationale qui maintient un régime d’autorisation pour les recherches qui ne sont pas conformes à une méthodologie de référence.

Cette procédure doit être lue en lien avec les dispositions de :

• la réglementation « Jardé » pour les recherches qui impliquent la personne humaine ;
• la loi de modernisation de notre système de santé en cas de recours à des données du Système national des données de santé (SNDS) qui sont soumises à des exigences accrues de sécurité et de transparence des travaux menés à partir de ces données.

Le RGPD modifie la façon d’appréhender la protection des données personnelles. Cela se traduit par un renversement de la charge de la preuve.

Des politiques de conformité

Les acteurs qui traitent des données personnelles ne doivent plus seulement effectuer des déclarations ou des demandes d’autorisation auprès de la Cnil. Ils doivent s’assurer, et surtout être en mesure de démontrer qu’ils respectent les grands principes de protection des données. Cette démarche doit être engagée dès le montage d’un projet qui implique un traitement de données personnelles, puis tout au long de la vie de celui-ci. Cela passe par un travail documentaire et la formalisation de procédures.

Avec le RGPD, la règlementation passe d’une logique de formalités administratives préalables et ponctuelles à une logique de conformité dynamique et continue.

Concrètement, cela se traduit par des actions comme :

• Informer et sensibiliser le personnel aux règles à respecter ;
• Tenir un registre de l’ensemble des activités de traitement ;
• Choisir des sous-traitants et partenaires qui respectent la réglementation et le formaliser dans un contrat ;
• Pour les traitements « à risque », mener des analyses d’impact sur la vie privée et les libertés ;
• Consulter la Cnil pour les traitements présentant un « risque élevé » pour les droits et libertés une fois les mesures correctrices mises en place ;
• Demander des autorisations pour les traitements de données de santé, et, à défaut, documenter la conformité aux méthodologies de référence.

Cela passe également par une attention à certains aspects techniques :

• Garantir la sécurité des données ;
• Protéger les données par défaut ;
• Notifier les failles de sécurité à la Cnil sous 72 heures et aux personnes concernées en fonction du niveau de criticité.

Le délégué à la protection des données (ou DPO pour​Data Protection Officer), accompagne et favorise la démarche de conformité au règlement menée par l’établissement.

Le DPO est rattaché à la direction de l’Inserm. Sa feuille de route est définie par une lettre de mission (pdf) adressée par le PDG. Le délégué à la protection des données personnelles coordonne, en lien avec les équipes et relais présents à l’Inserm, le plan de mise en conformité au cadre légal arr​êté par la direction.

Aux termes du règlement, le DPO est chargé, notamment :

• d’informer et de conseiller l’Inserm, ses employés, ses sous-traitants sur les obligations qui leur incombent en matière de protection des données ;
• de contrôler le respect du règlement européen et du droit national, ainsi que des règles internes en matière de protection des données ;
• de dispenser des conseils sur demande en ce qui concerne l’analyse d’impact pour les traitements les plus sensibles et d’en vérifier l’exécution ;
• de coopérer avec l’autorité de contrôle (la Cnil) et d’être le point de contact de celle-ci.

Animateur

Outre son rôle de pilotage, le DPO a un rôle d’animateur visant à développer une culture « informatique et libertés », notamment par des actions d’information, de formation et de sensibilisation des personnels participant aux opérations de traitement et des réseaux destinés à leur fournir un appui.

Facilitateur

Le DPO est également un facilitateur qui veille à l’existence et à l’utilisation d’outils et de procédures lisibles et adaptées que l’on peut solliciter en cas de difficultés. À ce titre, il diffusera sur l’intranet des supports pédagogiques et des outils pour accompagner, sensibiliser et pour guider les personnels de l’Inserm dans leurs démarches de mise en conformité – guides pratiques, modèles, notes de procédures, fiches synoptiques, réponses types à demandes de conseil…

Point de contact de la Cnil

Le DPO est aussi le point de contact de la Cnil à l’Inserm avec laquelle il travaille étroitement pour construire des outils adaptés aux chercheurs (méthodologies de référence, règles de bonnes pratiques…).

Représentant de l’Inserm

Il contribue, en interaction avec les décideurs publics, des organismes nationaux représentatifs du secteur et dans le cadre de Groupes de travail dédiés, à l’élaboration de textes au service d’une recherche en santé exigeante, réactive et efficace, respectueuse de la protection des données.

Aide au montage de projets sensibles, stratégiques et innovants

Il accompagne les chercheurs sur demande, notamment lors des appels à projet nationaux et internationaux, pour constituer des dossiers pleinement respectueux de la protection des données personnelles. Il s’applique à faire en sorte que la règlementation ne soit pas un frein mais qu’elle favorise une recherche mieux intégrée dans la société.

La mise en conformité de l’établissement implique l’imbrication du juridique, du technique et des métiers. Ces synergies sont indispensables pour développer une culture de la protection des données et des pratiques adaptées aux spécificités de l’Inserm.

Le DPO travaille-t-il en lien étroit avec l’ensemble des interlocuteurs qui viennent en appui des métiers de la recherche.

Notamment : la direction des systèmes d’information, la direction des affaires juridiques, le responsable de sécurité du système d’information, le fonctionnaire défense et sécurité, le responsable des archives, les directions métiers, les services d’appui et d’accompagnement des chercheurs de l’Inserm, le réseau Qualité, le comité d’évaluation éthique, la mission associations recherche et société.

Une coordination avec les partenaires de mixité
est également développée.

La mise en place de réseaux de DPO garantissent la mise en cohérence des procédures et des outils au sein des unités mixtes et permettent d’irriguer les pratiques dans un contexte partenarial.

L’Inserm met en place des relais de proximité afin de constituer un réseau de référents à la protection des données animé par le DPO au sein :

• des délégations régionales ;
• des directions métiers ;
• des unités et centres qui traitent des données sensibles à grande échelle ;
• des guichets qui les accompagnent (PRC, ANRS, CépiDc…)

Ce réseau en cours de constitution sera composé de personnes aux profils variés – juridique, technique, métier – qui assureront une mission d’appui au sein de leur structure, relaieront l’information et les bonnes pratiques et pourront alerter le DPO sur les difficultés de mise en œuvre rencontrées sur le terrain.

Ces remontées permettront en retour au DPO d’élaborer, en lien avec le réseau, des outils et des normes adaptées aux besoins des équipes. Les référents Protection des données bénéficieront d’une formation dédiée dispensée par le DPO.

Cette organisation vise à faciliter l’appropriation par chacun d’une culture de la gestion des données personnelles afin de rendre opérante la protection des données personnelles

L’annuaire des référents sera disponible sur l’intranet