CONTACT

Quelles démarches CNIL pour quelle modification du traitement de données de santé ?

25 juin 2024 | |

Nul n’ignore que certains traitements de données de santé doivent faire l’objet, avant leur mise en œuvre, d’une formalité CNIL. Mais saviez-vous qu’une modification d’un traitement, ayant fait l’objet d’une telle formalité, peut justifier une nouvelle formalité ? C’est ce que vient de nous préciser la CNIL dans un communiqué publié le 13 juin dernier.

Quelles formalités initiales ?

Pour connaître la formalité auquel un traitement de données santé est soumis, il convient de se reporter à la loi Informatique et Libertés[1].

Les formalités sont de deux ordres : soit le traitement répond aux exigences d’un référentiel établi par la CNIL, et, dans ce cas, un engagement de conformité suffit ; soit le traitement n’y répond pas ou ne peut être rattaché à aucun référentiel, et, dans ce cas, une demande d’autorisation s’impose.

Quelles modifications peuvent justifier une nouvelle formalité ?

Selon la CNIL, seule une modification « substantielle » – par opposition à la modification « non-substantielle » – du traitement doit faire l’objet d’une nouvelle démarche.

Afin de guider les responsables du traitement dans leurs démarches, la CNIL a proposé un tableau recensant les modifications les plus fréquentes. Extrait :

ThèmeModification « substantielle »Modification « non-substantielle »
Responsable du traitementChangement d’identité du responsable du traitement / Ajout d’un responsable conjoint du traitement 
DestinatairesNouvelle catégorie : partenaire industriel, académique, etc.Changement de personnes physiques accédant aux données (chez le sous-traitant, chez le promoteur, etc.)
FinalitéNouvelle finalitéPrécisions sur la finalité
Nature des donnéesNouvelle catégorie de donnéesNouvelles données dans des catégories existantes
Personnes concernéesNouvelle catégorie de personnes concernées / Augmentation conséquentes du nombreAjustement des critères d’inclusion / Augmentation non conséquente du nombre d’inclusions
Durée (collecte, traitement, conservation, archivage)Allongement conséquentMise à jour du calendrier de l’étude / Allongement négligeable
SécuritéModification des mesures avec un affaiblissement de la sécuritéModification des mesures sans affaiblissement de la sécurité
Transferts de données hors UEEncadrement du transfert autrement que par une décision d’adéquation ou des garanties appropriées 

Quelle nouvelle formalité en cas de modification substantielle ?

Si la traitement avait été mis en œuvre dans le cadre d’engagement de conformité à un référentiel et que la modification « substantielle » n’affecte pas la conformité du traitement à ce référentiel, aucune démarche CNIL n’est nécessaire. En revanche, la modification « substantielle » affecte la conformité du traitement à ce référentiel, une demande d’autorisation auprès de la CNIL s’impose.

Si la traitement avait été mis en œuvre après une autorisation de la CNIL et que la modification « substantielle » rend le traitement conforme au référentiel dédié à ce type de traitement, un engagement de conformité suffit. En revanche, la modification « substantielle » ne rend pas le traitement conforme à ce référentiel, une demande de modification de l’autorisation auprès de la CNIL s’impose.

A vous de jouer !

Source : ici


[1] https://www.cnil.fr/fr/quelles-formalites-pour-les-traitements-de-donnees-de-sante