Nul n’ignore que certains traitements de données de santé doivent faire l’objet, avant leur mise en œuvre, d’une formalité CNIL. Mais saviez-vous qu’une modification d’un traitement, ayant fait l’objet d’une telle formalité, peut justifier une nouvelle formalité ? C’est ce que vient de nous préciser la CNIL dans un communiqué publié le 13 juin dernier.
Quelles formalités initiales ?
Pour connaître la formalité auquel un traitement de données santé est soumis, il convient de se reporter à la loi Informatique et Libertés[1].
Les formalités sont de deux ordres : soit le traitement répond aux exigences d’un référentiel établi par la CNIL, et, dans ce cas, un engagement de conformité suffit ; soit le traitement n’y répond pas ou ne peut être rattaché à aucun référentiel, et, dans ce cas, une demande d’autorisation s’impose.
Quelles modifications peuvent justifier une nouvelle formalité ?
Selon la CNIL, seule une modification « substantielle » – par opposition à la modification « non-substantielle » – du traitement doit faire l’objet d’une nouvelle démarche.
Afin de guider les responsables du traitement dans leurs démarches, la CNIL a proposé un tableau recensant les modifications les plus fréquentes. Extrait :
Thème | Modification « substantielle » | Modification « non-substantielle » |
Responsable du traitement | Changement d’identité du responsable du traitement / Ajout d’un responsable conjoint du traitement | |
Destinataires | Nouvelle catégorie : partenaire industriel, académique, etc. | Changement de personnes physiques accédant aux données (chez le sous-traitant, chez le promoteur, etc.) |
Finalité | Nouvelle finalité | Précisions sur la finalité |
Nature des données | Nouvelle catégorie de données | Nouvelles données dans des catégories existantes |
Personnes concernées | Nouvelle catégorie de personnes concernées / Augmentation conséquentes du nombre | Ajustement des critères d’inclusion / Augmentation non conséquente du nombre d’inclusions |
Durée (collecte, traitement, conservation, archivage) | Allongement conséquent | Mise à jour du calendrier de l’étude / Allongement négligeable |
Sécurité | Modification des mesures avec un affaiblissement de la sécurité | Modification des mesures sans affaiblissement de la sécurité |
Transferts de données hors UE | Encadrement du transfert autrement que par une décision d’adéquation ou des garanties appropriées |
Quelle nouvelle formalité en cas de modification substantielle ?
Si la traitement avait été mis en œuvre dans le cadre d’engagement de conformité à un référentiel et que la modification « substantielle » n’affecte pas la conformité du traitement à ce référentiel, aucune démarche CNIL n’est nécessaire. En revanche, la modification « substantielle » affecte la conformité du traitement à ce référentiel, une demande d’autorisation auprès de la CNIL s’impose.
Si la traitement avait été mis en œuvre après une autorisation de la CNIL et que la modification « substantielle » rend le traitement conforme au référentiel dédié à ce type de traitement, un engagement de conformité suffit. En revanche, la modification « substantielle » ne rend pas le traitement conforme à ce référentiel, une demande de modification de l’autorisation auprès de la CNIL s’impose.
A vous de jouer !
Source : ici
[1] https://www.cnil.fr/fr/quelles-formalites-pour-les-traitements-de-donnees-de-sante