À la suite d’un signalement, la CNIL a contrôlé deux organismes procédant à des recherches médicales entre janvier et juillet 2022.

Elle a constaté des manquements aux règles sur la protection des données, notamment en matière de données de santé, qui sont particulièrement protégées et doivent faire l’objet d’une vigilance renforcée.
Une analyse d’impact est nécessaire avant certaines recherches médicales

À l’exception des recherches internes (réalisées à partir des données collectées pendant les soins par les professionnels de santé prenant en charge les patients, et pour leur usage exclusif), les recherches en santé doivent être autorisées par la CNIL ou être conformes à une méthodologie de référence.

Or, ces méthodologies imposent de réaliser une analyse d’impact sur la protection des données avant de démarrer la recherche. Cette analyse doit, en particulier, prévoir les risques sur les droits et libertés des personnes concernées. Une seule et même analyse peut porter sur un ensemble d’opérations de traitement qui présentent des risques similaires (projets semblables, utilisant les mêmes outils informatiques, par exemple).

Les deux organismes contrôlés par la CNIL n’avaient réalisé aucune analyse d’impact concernant les recherches médicales menées.
Une information complète doit être donnée aux personnes concernées

La CNIL a constaté que l’information délivrée par les deux organismes aux personnes participant aux recherches était incomplète.

Par exemple, les feuillets d’information remis par les deux organismes ne précisaient ni la nature des informations collectées ni leur durée de conservation. En outre, certains feuillets n’indiquaient pas les coordonnées du délégué à la protection des données ou encore les modalités de recours auprès de la CNIL.

Enfin, une notice d’information affirmait que les données étaient anonymisées, ce qui n’était pas le cas puisque l’identité des patients était seulement remplacée par un « numéro patient » à trois chiffres et un « code patient » composé de deux lettres correspondant à la première initiale du nom et du prénom de la personne concernée.

Cette procédure aboutit à une pseudonymisation des données, et non à une anonymisation, dans la mesure où il demeurait possible d’isoler un individu dans le jeu de données et de le réidentifier.
Des rappels aux obligations légales

Les traitements de données concernés par ces manquements ayant cessé, la présidente de la CNIL a décidé d’adresser un rappel aux obligations légales à chacun des organismes contrôlés, comme prévu par la loi Informatique et Libertés. Les procédures de contrôles sont désormais closes.

Pour approfondir
> Tous les contenus de la CNIL en matière de santé
> Recherche médicale : quel est le cadre légal ?
> Les méthodologies de référence en santé
> Les contrôles de la CNIL
> L’anonymisation de données personnelles