Quand une personne participe à une recherche, des données personnelles, y compris des données de santé, la concernant vont être traitées par le promoteur, responsable du traitement de ces données. Cette procédure est encadrée par des règles afin de protéger ces données. 

Ce document a pour but d’aider à mieux comprendre ce que recouvre la notion de données personnelles, à connaître les droits des personnes, et à savoir comment elles peuvent les exercer. 

En annexe sont indiquées des informations supplémentaires, notamment un glossaire ainsi que les principaux textes de droit relatifs à l’utilisation des données personnelles. 

I Qu’est-ce qu’une donnée personnelle ? 

Une donnée personnelle est une information qui se rapporte à une personne susceptible d’être identifiée, directement ou indirectement, sur la base d’une information ou d’un croisement d’informations.

Cela peut être par exemple : un nom, une photo, une adresse postale, les antécédents médicaux, un numéro de compte bancaire, … 

Les données de santé font partie des données sensibles. 

Au cours d’une recherche en santé les données seront codées (= pseudonymisées) avant d’être utilisées. 

II Les droits sur les données personnelles

Les personnes bénéficient de droits concernant le traitement des données de leur enfant, notamment le droit à l’information.  

L’organisme qui conserve ces données doit expliquer ce qu’il en fait. Cela doit permettre de savoir : 

• Pourquoi a-t-il besoin de ces données ? 
• Combien de temps va-t-il les conserver ? 
• A qui va-t-il les transmettre ? 
• Sur quelle base juridique traite-t-il ces données ? 

Droit d’accès aux données : les personnes peuvent également demander à tout moment à l’organisme d’accéder aux données qu’il conserve. 

Droit à la rectification des données : Si des données sont inexactes, la personne peut les faire rectifier. 

Droit à l’effacement des données : Elle peut également demander à ce que les données concernant soient effacées. Cependant, ce droit ne peut pas être exercé si la suppression de ces données rend impossible ou compromet gravement la réalisation de la recherche. 

Droit d’opposition : La personne peut demander à l’organisme de ne plus utiliser ses données, ce droit est différent d’une suppression simple et définitive. 

L’organisme pourra refuser cette opposition s’il existe des motifs légitimes et impérieux à traiter ces données ou si les titulaires de l’autorité parentale ont donné leur consentement (dans ce dernier cas ils doivent retirer leur consentement et non  s’y opposer). 

Droit à la limitation du traitement des données : la personne a le droit de demander à l’organisme de geler temporairement l’utilisation de certaines données. 

Pour en savoir plus sur ces différents droits, vous pouvez vous rendre sur le site de la CNIL : https://www.cnil.fr/fr/les-droits-pour-maitriser-vos-donnees-personnelles.  

III Comment exercer ces droits ? 

La personne peut exercer ses droits à tout moment et sans avoir à se justifier. 

Lorsque la personne a une question sur l’utilisation qui est faite des données ou en cas de réclamation, la personne peut s’adresser directement à l’investigateur.

Elle peut également s’adresser au délégué à la protection des données du promoteur. 

ANNEXES

Explications supplémentaires 

• Les différentes sortes de recherche clinique

En France il existe 4 sortes de recherches sur les êtres humains : les recherches sur les médicaments, les investigations cliniques sur les dispositifs médicaux, les recherches à faibles contraintes régies par la Loi Jardé (« RIPH 2 et 3 ») et les autres recherches (en général des recherches sur des données archivées)

• Utilisation secondaire : 

Les données à caractère personnel de votre l’enfant pourront éventuellement être réutilisées lors de recherches ultérieures uniquement à des fins scientifiques. Les titulaires de l’autorité parentale peuvent   accepter ou refuser cette utilisation ultérieure. S’ils acceptent, ils seront recontactés individuellement ou ils pourront s’informer via un dispositif spécifique d’information prévu dans la note d’information qui vous leur sera remise avant la participation de leur enfant à l’essai clinique. 

• Evaluation du traitement des données personnelles : 

Le responsable du traitement doit être en mesure de démontrer que le traitement est bien conforme aux exigences légales. Par ailleurs, il devra effectuer un engagement de conformité auprès de la CNIL (commission nationale de l’informatique et des libertés) ou déposer une demande d’autorisation de recherche. Un avis favorable d’un Comité de protection des personnes est également nécessaire avant le début de la recherche. 

• Destinataire de l’information : 

Les titulaires de l’autorité parentale sont les destinataires de l’information concernant le traitement des données à caractère personnel de leur enfant mineur. A sa majorité, il deviendra le destinataire de ces informations et c’est lui qui pourra exercer les différents droits, en particulier le droit à l’effacement. 

---

Glossaire 

Ce glossaire a pour but d’aider les personnes  à mieux comprendre certains termes employés lorsqu’il est question du traitement de données à caractère personnel. 

• Promoteur : Personne physique ou morale responsable de la recherche, qui en assure la gestion et qui vérifie que son financement est prévu jusqu’à la fin de la recherche. 

• Investigateur : Personne physique chargée de surveiller et de diriger la recherche sur un lieu de recherche.

• Traitement des données personnelles : Un traitement de données personnelles est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission ou diffusion ou toute autre forme de mise à disposition, rapprochement).

• Base légale : ou « fondement juridique » : la base légale est ce qui autorise légalement la mise en œuvre du traitement des données, c’est à dire c’est ce qui donne le droit à l’organisme de collecter ou d’utiliser des données personnelles. 

Il existe 6 bases légales, dont 3 qui peuvent être envisagées dans le cadre de la recherche impliquant la personne humaine : 

• L’exécution d’une mission d’intérêt public
• Les intérêts légitimes poursuivis par le responsable de traitement 
• Le consentement de la personne participant à la recherche : ce consentement est différent du consentement à la participation à la recherche prévu par le Code de la santé publique. 

Le choix de la base légale est important car en fonction de la base retenue des droits différents pour les personnes concernées sont applicables. 

---

Qu’est-ce que l’anonymisation ?

Ensemble de techniques de manière à rendre impossible, toute identification de la personne par quelque moyen que ce soit et de manière irréversible.

Qu’est ce que la pseudonymisation ? 

La pseudonymisation d’une donnée consiste à remplacer les données directement identifiantes (nom, prénom, etc.) par des données indirectement identifiantes (numéro de classement, etc.). 

Elle permet qu’on ne puisse plus attribuer les données relatives à une personne sans information supplémentaire. 

Par exemple, l’investigateur collecte des données sur les résultats cliniques des patients identifiés chacun par un code. Il ne communique ces informations à des tiers impliqués que sous forme codée. 

L’investigateur conserve séparément la clé permettant d’associer le code à des informations générales pour identifier les patients séparément. 

 

Textes relatifs aux données personnelles 

Vous trouverez ici les deux textes de droit principaux relatifs à l’utilisation des données à caractère personnel ainsi que différents articles. 

• RGPD (Règlement Général sur la Protection des Données)

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
https://www.cnil.fr/fr/reglement-europeen-protection-donnees

• Article 13 et 14 RGPD : droit à l’information 
• Article 15 RGPD: droit d’accès 
• Article 16 RGPD : droit de rectification 
• Article 17 RGPD : droit à l’effacement
• Article 18 RGPD : droit à la limitation de traitement 
• Article 21 RGPD : droit d’opposition 

• Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés 

Article 70 Loi relative à l’informatique, aux fichiers et aux libertés : « Sont destinataires de l’information et exercent les droits de la personne concernée par le traitement les titulaires de l’exercice de l’autorité parentale, pour les mineurs, ou la personne chargée d’une mission de représentation dans le cadre d’une tutelle, d’une habilitation familiale ou d’un mandat de protection future, pour les majeurs protégés dont l’état ne leur permet pas de prendre seuls une décision personnelle éclairée.

Par dérogation au premier alinéa du présent article, pour les traitements de données à caractère personnel réalisés dans le cadre de recherches mentionnées aux 2° et 3° de l’article L. 1121-1 du code de la santé publique ou d’études ou d’évaluations dans le domaine de la santé, ayant une finalité d’intérêt public et incluant des personnes mineures, l’information peut être effectuée auprès d’un seul des titulaires de l’exercice de l’autorité parentale s’il est impossible d’informer l’autre titulaire ou s’il ne peut être consulté dans des délais compatibles avec les exigences méthodologiques propres à la réalisation de la recherche, de l’étude ou de l’évaluation au regard de ses finalités. Le présent alinéa ne fait pas obstacle à l’exercice ultérieur, par chaque titulaire de l’exercice de l’autorité parentale, des droits mentionnés au premier alinéa.

Pour ces traitements, le mineur âgé de quinze ans ou plus peut s’opposer à ce que les titulaires de l’exercice de l’autorité parentale aient accès aux données le concernant recueillies au cours de la recherche, de l’étude ou de l’évaluation. Le mineur reçoit alors l’information et exerce seul ses droits.

Pour ces mêmes traitements, le mineur âgé de quinze ans ou plus peut s’opposer à ce que les titulaires de l’exercice de l’autorité parentale soient informés du traitement de données si le fait d’y participer conduit à révéler une information sur une action de prévention, un dépistage, un diagnostic, un traitement ou une intervention pour laquelle le mineur s’est expressément opposé à la consultation des titulaires de l’autorité parentale, en application des articles L. 1111-5 et L. 1111-5-1 du code de la santé publique, ou si les liens de famille sont rompus et que le mineur bénéficie à titre personnel du remboursement des prestations en nature de l’assurance maladie et maternité et de la couverture complémentaire mise en place par la loi n° 99-641 du 27 juillet 1999 portant création d’une couverture maladie universelle. Il exerce alors seul ses droits ». 

Ce document a été rédigé en collaboration avec Julie Engelmann dans le cadre de son stage de master 2 en droit de la bioéthique, effectué au CERPed et financé par l’UNAPECLE