La Commission nationale de l’informatique et des libertés (CNIL) vient de rappeler à leurs obligations légales deux organismes de recherche médicale dans le cadre de leur traitement de données de santé.
Ces traitements doivent faire l’objet d’un autorisation spécifique de la CNIL prise après avis du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (CESREES) ou du Comité de protection des personnes (CPP), ou déclarer leur conformité à une méthodologie de référence. Dans les deux cas, la réalisation d’une analyse d’impact sur la protection des données (AIPD) est nécessaire : elle peut être demandée dans la démarche d’autorisation et son obligation est mentionnée dans les méthodologies de référence.
Cette analyse d’impact n’avait pas été réalisée par les deux organismes. Par ailleurs, l’information aux personnes quant au traitement s’avérait incomplète, ce qui constitue un autre manquement au RGPD et à la loi Informatique et Libertés.
Le CASD, qui offre la possibilité de traiter des données de santé, accompagne les demandeurs concernant les obligations à remplir en amont de ces traitements.