Des précautions spécifiques à la production de nouvelles données par une association de patients
Quelques questions concrètes
Les questions ont été posées à Viviane Jeanbat, responsable qualité et RGPD à CEMKA, bureau de conseils et d’études en santé. Le même principe de question/réponse est utilisé dans les chapitres suivants.
Dans le cadre d’une collecte d’informations auprès des adhérents de l’association de patients :
- Quel organisme dois-je prévenir pour avoir le droit de détenir des informations santé sur mes adhérents ?
Comme vous l’avez précisé dans ce guide, il faut voir sur le site de la CNIL à quelles caractéristiques correspond votre projet et faire la demande d’autorisation correspondante. - Quelles sont mes obligations au titre de la détention de ces données ?
Il faut suivre le RGPD et surtout bien sécuriser les données ; veiller à la bonne formation des personnes ayant accès aux données quant à la réglementation ; maintenir un fichier de traitement ; maîtriser les autorisations données en interne pour accéder aux données… - Que dois-je dire à ceux qui me donnent leurs informations médicales ?
Si des patients vous donnent des informations médicales que vous n’avez pas demandées, il faut :
1/ les prévenir qu’ils ne doivent pas transmettre ces données qui sont confidentielles,
2/ leur demander de détruire le mail contenant les informations et faire de même de votre côté (si ce sont des documents papier, il faut les leur renvoyer et les avertir)
3/ le noter dans votre fichier de violation de données (conformément au RGPD). - Qu’est-ce que je risque si je ne respecte pas bien la réglementation ? Y a-t-il des contrôles ou le risque est-il surtout la plainte d’un patient ? Est-ce qu’en tant que personne physique je risque quelque chose en fonction du rôle que j’ai dans l’association ?
Le risque est non seulement une sanction de la CNIL (qui peut être une amende élevée, un affichage public et une interdiction de recueillir les données visées), mais cela peut aussi conduire à une sanction pénale si un ou plusieurs patients portent plainte.
La CNIL peut faire des contrôles aléatoirement ou suite à des plaintes.
Quel mode de recueil et de diffusion de l’enquête ?
Il est essentiel de privilégier le mode de recueil de données le plus adapté à la population ciblée : questionnaire papier, enquête en ligne, entretien en face à face ou par téléphone. Il est possible de cumuler plusieurs modes de recueil : cela permet de toucher un plus grand nombre de personnes (certains supports étant plus adaptés à certaines populations), mais cela complique un peu le process de diffusion et d’analyse (données à saisir par exemple)…
Les enquêtes en ligne sont de plus en plus employées. Il est indispensable de les réaliser via des plateformes dédiées ou de passer par des prestataires techniques (cf paragraphe plus haut), garantissant toutes les conditions de sécurité (hébergement, confidentialité des données…).
Enfin, les vecteurs de diffusion de l’enquête doivent être identifiés : on peut solliciter plusieurs associations de patients, des professionnels de santé, faire une information générale lors d’une journée scientifique, utiliser différents médias (marketing digital, etc.) Il est évidemment possible (et souhaitable) de cumuler plusieurs portes d’entrée pour toucher et diversifier un maximum de patients (pas seulement des patients proches d’une association notamment).
La question de l’hébergement des données de santé
Le stockage des données de santé est très encadré. Il convient de prévoir un hébergement des données recueillies chez un Hébergeur agréé Données Santé (HDS) (liste ici).
Plusieurs plateformes de recueil proposent ce service qui peut être interne ou externe.
Les réponses de l’expert Viviane Jeanbat, CEMKA :
- Si un adhérent nous donne le nom de sa maladie, peut-on la stocker ? et à quelles conditions ?
Dès que vous recueillez une donnée non utile au fonctionnement de l’association (une seule donnée ou un ensemble de données), il faut demander une autorisation à la CNIL et il faut que les patients soient informés de la nature des données que vous collectez, où elles sont enregistrées, qui y a accès, quelle est la durée d’archivage, la raison de la collecte et il faut les informer de leurs droits (suppression, limitation…etc). - La date d’une intervention peut-elle être stockée (ex. en quelle année a eu lieu la greffe) et à quelles conditions ?
Même réponse que précédemment ; si au cours de « la vie » de votre base de données, vous souhaitez collecter de nouvelles données, il faudra en informer tous les adhérents concernés. La base doit bien sûr être déclarée aux autorités (CNIL) et tout changement devra l’être également s’il s’agit d’une modification substantielle. - L’origine de la personne (c’est important pour des études génétiques, mais aussi épidémiologiques) peut-elle être stockée et à quelle condition ?
C’est une donnée très sensible pour la CNIL ; donc il serait peut-être mieux de la recueillir spécifiquement dans le cadre d’une étude ; si vous souhaitez recueillir cette information, il faut également le déclarer aux autorités et surtout le justifier. - Le fait de faire des questionnaires anonymisés (ou désidentifiés) rend-il la collecte de données moins contraignante ?
Il est toujours mieux de recueillir des données « pseudonymisées » ; il faut dans la mesure du possible séparer les fichiers comportant les noms, adresses, etc… des adhérents du fichier comportant les données de santé. Il faut également bien décrire qui a accès à ces différents fichiers, leur finalité, leurs conditions de sauvegarde, etc. Idéalement les personnes ayant accès aux données de santé ne doivent pas avoir accès aux données directement nominatives. - Est-ce que je peux moi-même faire un questionnaire sur Google Forms ou n’est-ce pas assez sécurisé ?
Non si ce questionnaire contient des données sensibles, des données nominatives, etc… d’autant plus que Google enregistre les données aux USA qui n’est pas un pays reconnu par la CNIL en termes de sécurité des données. En revanche, cela serait possible pour un questionnaire visant à donner un avis sur le site web de l’association par exemple, mais absolument pas pour des données de santé.