Les méthodologies de référence relatives aux recherches biomédicales enfin modifiées par la CNIL

Les instantanés

Événements, publications, actualités du cabinet

Les dernières actus


Les méthodologies de référence relatives aux recherches biomédicales enfin modifiées par la CNIL

Les méthodologies de référence relatives aux recherches biomédicales enfin modifiées par la CNIL

La délibération de la CNIL n°2018-153 apporte une évolution attendue à la méthodologie de référence MR-001 afin de conformer les nouvelles recherches biomédicales aux obligations législatives et réglementaires induites par l’entrée en vigueur du Règlement Général sur la protection des données le 25 mai dernier.

Cette méthodologie est bien connue des professionnels du secteur pharmaceutique puisqu’elle vaut autorisation de réaliser la recherche pour le responsable de traitement qui s’engage à se conformer aux exigences et obligations qui y sont répertoriées.

La MR-001 avait pourtant été modifiée par la CNIL récemment suite à l’adoption de la délibération n°2016-262 du 21 juillet 2016. Néanmoins, compte tenu de l’évolution du rôle du sous-traitant et des obligations renforcées qui pèsent sur le responsable de traitement, il apparaissait indispensable de modifier la méthodologie.

Mais le RGPD ne supprime-t-il pas le contrôle a priori de la CNIL et son rôle en matière d’autorisation de traitement de données ?

En effet, le RGPD introduit l’obligation pour le responsable de traitement de pouvoir démontrer en amont qu’il respecte les obligations mentionnées dans le règlement et ne charge plus les autorités de contrôle de valider a priori que les dispositions légales et réglementaires sont respectées par le traitement envisagé.

Toutefois, l’article 9 § 4 du règlement autorise les Etats membres à introduire des conditions supplémentaires ou des limitations pour les traitements de données qui portent sur les données concernant la santé.

Une autorisation de la CNIL est donc maintenue pour pouvoir organiser les recherches biomédicales mais cette autorisation sera automatiquement délivrée aux responsables de traitement qui respecteront la MR-001.

Quoi de neuf pour le responsable de traitement (le promoteur le plus souvent) ?

Il peut être cité les évolutions essentielles suivantes :

  • L’introduction de la notion de sous-traitant : un titre VII lui est dédié et précise les modalités du recours à un tel sous-traitant pour le responsable de traitement. Un contrat est obligatoirement conclu afin d’encadrer le rôle et les fonctions du sous-traitant et un audit doit être réalisé lorsque le projet est initié avec un nouveau sous-traitant.
  • L’information et le consentement des personnes sont renforcés : il est notamment prévu que l’information délivrée est conforme aux obligations mentionnées à l’article 13 du RGPD ce qui suppose de bien préciser l’identité du responsable du traitement, ses coordonnées ainsi que celle du DPO, les finalités du traitement et les droits dont bénéficient les personnes dont les données sont traitées.
  • Les droits des personnes dont les données sont traitées sont également renforcés et étendus : aux droits d’accès de rectification et d’opposition précédemment reconnus, le règlement introduit le droit à l’effacement (qui peut toutefois être limité par le responsable de traitement sous réserve d’une information de la personne) et le droit à la limitation du traitement. Le responsable doit répondre aux demandes qui lui sont présentées dans le délai d’un mois à compter de la réception de la demande et non plus de deux mois.
  • Prolongation de la durée de conservation des données à caractère personnel : la nouvelle méthodologie autorise les responsables de traitement à conserver les données jusqu’à deux ans après la dernière publication des résultats de recherche avant de faire l’objet d’un archivage.
  • Analyse d’impact relative à la protection des données : Cette étude est une nouveauté introduite par le règlement et qui doit notamment permettre de s’assurer que les mesures techniques et organisationnelles mises en œuvre permettent de garantir un niveau de sécurité adapté aux risques identifiés. Cette analyse revêt un caractère d’autant plus important que la MR-001 ne s’appliquera pas aux recherches pour lesquelles l’analyse d’impact révèlerait un risque résiduel élevé pour les droits et libertés des personnes concernées malgré les mesures de sécurité prises par le responsable de traitement.

Outre la MR-001, la CNIL a également mis à jour la MR-003 et créé une nouvelle méthodologie dédiée aux recherches n’impliquant pas la personne humaine relevant de la compétence du CEREES (MR-004). La MR-002 devrait être mise à jour avant la fin de l’année 2018.

Les promoteurs de recherche doivent donc se préparer et ajuster les outils contractuels, d’information et de consentement qu’ils avaient l’habitude d’utiliser précédemment s’ils veulent pouvoir bénéficier de la méthodologie MR-001 ou MR-003.

Mathieu Gautier, Avocat à la Cour.

avec Delphine JAAFAR, Avocat associe

Pour le département SANTE