Les contenus de la région '' vous seront proposés par défaut, en plus des contenus nationaux sur tout le site. Ce choix s'appliquera également lors de vos prochaines visites.

Formalités et outils

​​​​​​Le RGPD instaure un régime fondé sur la notion d'accountability. Il s'agit d'un formalisme interne qui doit être mis en œuvre dans une logique d'auto-contrôle et de documentation. L'Inserm propose des outils pratiques pour faciliter la mise en conformité des données à la réglementation.

A+ / A-

Formalités

L’analyse d’impact

Pour les traitements les plus à risques, le responsable du traitement devra réaliser une analyse d’impact relative à la protection des données. En fonction des résultats de l’analyse, il devra consulter la Cnil avant la mise en œuvre du traitement. En matière de recherche en santé, l’analyse d’impact est systématique et un régime d’autorisation maintenu. L’analyse d’impact relative à la protection des données (ou PIA Personnal impact assessment) est une nouvelle exigence préalable à la création de traitements à risque.

Qu’est-ce que c’est ?


L’analyse d’impact est un outil d’évaluation qui doit permettre de vérifier le respect des principes fondamentaux de la protection des données personnelles et la bonne gestion des risques liés à la sécurité des données et d’en apporter la preuve

Attention. Les risques qui sont analysés sont les risques pour la personne résultant de la mise en œuvre d’un traitement et non les risques pour l’organisme en cas de non-conformité (dommages physiques, matériels, préjudice moral » tels qu’ une discrimination, un vol, une usurpation d’identité, une perte financière, une atteinte à la réputation…)

Quels sont les traitements concernés ?

Seuls doivent donner lieu à analyse d’impact les traitements « susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes » (RGPD, art. 35). Le RGPD vise trois catégories de traitements comme devant faire l’objet systématiquement et obligatoirement d’une analyse d’impact (art. 35.3) :

  • Les évaluations systématiques et approfondies d’aspects personnels fondées sur un traitement automatisé, sur la base desquelles sont prises des décisions produisant des effets juridiques ou affectant une personne de manière significative ;
  • Les traitements à grande échelle de catégories particulières de données (art. 9), ou de données relatives à des condamnations pénales et à des infractions (art. 10)
  • La surveillance systématique à grande échelle de zones accessibles au public.

Les cas où les analyses d’impact sont nécessaires sont en réalité plus nombreux. La Cnil a publié une liste des opérations de traitement pour lesquels cette analyse est obligatoire

Attention : Cette liste n’est cependant pas exhaustive et les traitements qui n’y figurent pas peuvent néanmoins devoir faire l’objet d’une analyse d’impact si le traitement envisagé répond à au moins deux des 9 critères identifiés par le G29 (lignes directrices concernant l’analyse d’impact). 

Récapitulatif :​Comment procéder pour savoir si mon traitement requiert un​e analyse d’impact ?

1 – Vérifier si le traitement envisagé figure dans la liste des types d’opérations de traitement pour lesquelles la Cnil a estimé obligatoire de réaliser une analyse d’impact relative à la protection des données. Une analyse d’impact est obligatoire notamment pour :

  • Les traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.) ;
  • Les traitements des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre (pour servir à des finalités de recherche).

2 – Si le traitement ne figure pas dans la liste précédente, vous devez procéder à une analyse d’impact sur le traitement remplit au moins 2 des 9 critères suivants issus des lignes directrices du G29 ;

  • collecte de données sensibles ou données à caractère hautement personnel ;
  • personnes vulnérables (patients, personnes âgées, enfants, salariés, etc.) ;
  • collecte de données personnelles à large échelle ;
  • usage innovant (utilisation d’une nouvelle technologie) ;
  • évaluation/scoring (aide au recrutement…) ;
  • surveillance systématique (vidéosurveillance…);
  • croisement de données ;
  • exclusion du bénéfice d’un droit, d’un contrat, d’un service (traitement pouvant conduire à des mesures disciplinaires pouvant aller jusqu’au licenciement…)
  • décision automatique produisant des effets juridiques ou des effets similaires significatifs ;

A noter : pour être conforme à une méthodologie de référence (MR), la réalisation d’une analyse d’impact est requise.

Reportez-vous au logigramme de la Cnil : Dois-je faire une AIPD ?

Que contient-elle ?

L’analyse d’impact devra contenir :

  • Une description systématique du traitement envisagée et de ses finalités comportant :
    1. Une vue d’ensemble du traitement de données à caractère personnel. Présenter le traitement considéré de façon synthétique : sa finalité, le contexte, les enjeux en mentionnant les éventuels soutiens dont bénéficie le projet (financiers, associations de patients…) et les avis éthique et scientifiques favorables au projet s’il en existe…
    2. Le cycle de vie des données. Les données personnelles concernées, leurs destinataires et durées de conservation ; une description des processus et des supports de données pour l’ensemble du cycle de vie des données (depuis leur collecte jusqu’à leur effacement).
  • Une évaluation, plus juridique, de la nécessité et de la proportionnalité du traitement au regard des principes fondamentaux de la protection des données. cf. Les principes fondamentaux de la protection des données personnelles
  • Une évaluation, plus technique, des risques sur la sécurité des données (confidentialité, intégrité et disponibilité), de leurs impacts potentiels sur la vie privée,
  • Celle évaluation permet de déterminer les mesures techniques et organisationnelles nécessaires pour faire face aux risque et protéger la sécurité des données.

Pour cette maîtrise des risques, outre la meilleure rédaction possible de tous les documents juridiques liés au traitement et la mise en œuvre d’une stricte sécurité informatique, trois techniques sont particulièrement mises en avant par le Règlement : l’anonymisation, la pseudonymisation et le chiffrement.

Quand et comment réaliser une analyse d’impact ?

Une analyse d’impact doit être réalisée avant la mise en place d’un nouveau traitement de données et doit être mise à jour tout au long du traitement, à l’occasion notamment d’une modification substantielle du traitement.

La réalisation d’une analyse d’impact nécessite la collaboration étroite de tous les opérateurs concernés par le traitement : les métiers (maîtrise d’ouvrage), les équipes chargées de la mise en œuvre (maîtrise d’œuvre), les services chargés d’apporter un appui réglementaire ou technique, les sous-traitants qui doivent fournir leur aide et les informations nécessaires à la réalisation de l’AIPD.

Les résultats de l’analyse d’impact doivent être adressés pour avis au RSSI et au DPO pour validation si le rapport d’analyse montre un risque résiduel élevé. C’est au responsable de traitement que revient la responsabilité d’accepter les risques au vu des avis émis.

L’avis des personnes concernées ou de leurs représentants (association de patients…) est également requis. Cet avis peut être recueilli par différents moyens en fonction du contexte (par le biais d’une enquête, d’un sondage, d’une question formelle) et son absence doit être justifiée.

Pour tout conseil sur la réalisation de l’analyse d’impact, contacter le DPO (dpo@​inserm.​fr).

Une analyse d’impact doit être réalisée avant la mise en place d’un nouveau traitement de données et doit être mise à jour tout au long du traitement, à l’occasion notamment d’une modification substantielle du traitement.

La Cnil propose différents outils tels que des guides méthodologiques ainsi qu’un logiciel open source d’aide à la rédaction des AIPD, disponibles sur son site.

Quand faut-il la transmettre à la Cnil ?

L’analyse d’impact doit être transmise à la Cnil dans les cas suivants :

  • s’il apparait que le niveau de risque résiduel reste élevé (cas où la Cnil doit être consultée);
  • quand la législation nationale l’exige ;
  • quand la Cnil le demande.

En matière de recherche en santé

L’analyse d’impact pourra être demandée par la Cnil dans le cadre de l’instruction de la demande d’autorisation. Elle sera systématiquement requise et doit être jointe à la demande d’autorisation en cas de :

  • recherche médicale portant sur des patients et/ou sur des mineurs et incluant le traitement de leurs données génétiques ;
  • constitution d’un registre ou d’une base de données ayant vocation à être mise à la disposition des communautés de recherche.

Pour les recherches relevant d’une méthogologie de référence, l’analyse d’impact doit être réalisée et tenue à la disposition de la Cnil mais n’a pas à lui être adressée. Elle sera demandée en cas de contrôle.

La consultation préalable de la Cnil


Lorsque l’analyse d’impact fait apparaître l’existence de risques résiduels élevés malgré les mesures prises, en pratique chaque fois qu’elle mettre en évidence des risques dont la maîtrise ne pourra pas être justifiée par une solution claire et évidente, la Cnil devra être consultée avant la mise en œuvre du traitement concerné.

Outils

Guide de l’Inserm pour l’information des participants

Ce guide pratique vous accompagne lors de la rédaction de documents d’information conformes au RGPD et à la loi Informatique et libertés révisée. Il explicite les règles applicables et propose des modèles de mentions légales adaptées à l’Inserm.

Guide de l’Inserm pour rédiger une analyse d’impact

L’Inserm met à la disposition des responsables de traitement un guide, ainsi qu’une trame modèle pour réaliser une analyse d’impact relative à la protection des données (AIPD).



Guide de la Cnil sur le NIR et les appariements au SNDS

Guide pratique de la Cnil concernant les modalités de circulation du NIR pour la recherche en santé aux fins d’appariement de données avec le SNDS (pdf – décembre 2020)