Exemples des applications du RGPD dans le secteur de la recherche

LE SECTEUR DE LA RECHERCHE : DES EXEMPLES POUR L’APPLICATION DU RGPD

Article rédigé le 18 octobre 2020 par Me Laurence Huin

Notions essentielles à la bonne compréhension et application du RGPD, les qualifications de responsable de traitement, responsable conjoint et sous-traitant ne sont pas toujours aisées. Au sein de son projet de lignes directrices sur les notions de responsable du traitement et de sous-traitant, soumis à consultation publique jusqu’au 19 octobre prochain, le Comité européen à la protection des données (CEPD) donne des exemples spécifiques au secteur de la recherche.

Au sein de son projet de lignes directrices publié le 2 septembre 2020 sur les notions de responsable du traitement et de sous-traitant, le Comité européen à la protection des données (CEPD) donne deux exemples spécifiques au secteur de la recherche : celui d’un projet de recherche mis en œuvre conjointement par plusieurs instituts et celui des essais cliniques.

 

L’exemple d’un projet de recherche mis en œuvre par plusieurs instituts

 

Le premier exemple donné par le CEPD concerne un projet de recherche mis en œuvre par plusieurs instituts qui décident de participer à un projet conjoint spécifique de recherche et d’utiliser à cette fin la plateforme existante d’un des instituts impliqué dans le projet. Dans cet exemple, il est précisé que chaque institut intègre au sein de la plateforme des données personnelles qu’il détenait pour les besoins de la recherche conjointe et utilise les données fournies par les autres instituts au travers de la plateforme pour mener à bien la recherche. Le CEPD estime dans ce contexte que l’ensemble des instituts est qualifié de responsable de traitement conjoint concernant le traitement des données personnelles relatif à la conservation et la divulgation des informations à partir de la plateforme ; les instituts ayant décidé conjointement de la finalité du traitement et des moyens utilisés (la plateforme existante). Chaque institut sera cependant unique responsable de traitement sur les autres traitements qu’ils peuvent mettre en œuvre en dehors de la plateforme pour leurs besoins respectifs.

Exemple d’un projet de recherche mis en œuvre par plusieurs instituts

L’exemple des essais cliniques

 

Le CEPD propose un autre exemple spécifique aux essais cliniques. Dans l’exemple donné, un professionnel de santé (le chercheur/l’investigateur) et une université (le promoteur) décident de lancer conjointement un essai clinique dans le même but. Ils collaborent ensemble à la rédaction du protocole d’étude (la finalité, la méthodologie/ la conception de l’étude, les données collectées, les critères d’inclusion et d’exclusion des sujets, la réutilisation de la base de données (le cas échéant) etc…). Le CEPD estime que l’investigateur et le promoteur pourront être qualifiés de responsable de traitement conjoint pour cet essai clinique ayant déterminé conjointement la finalité commune et les moyens essentiels du traitement. Il est précisé que la collecte de données personnelles à partir du dossier médical du patient pour la finalité de recherche doit être distinguée de la conservation et de l’utilisation des mêmes données pour la prise en charge des patients, traitement pour lequel le professionnel de santé reste seul responsable de traitement. A l’inverse, le CEPD indique que dans l’hypothèse où l’investigateur ne participe pas à la rédaction du protocole (en acceptant uniquement le protocole préalablement élaboré par le promoteur) et où le protocole est uniquement conçu par le promoteur, l’investigateur pourrait être qualifié de sous-traitant et le promoteur de responsable de traitement de l’essai clinique.

CEPD exemples essais cliniques

Enjeux d’une telle qualification

 

Ces exemples spécifiques au secteur de la recherche présentent un grand intérêt pour la qualification des acteurs, souvent nombreux pour des projets de recherche. Or, bien que parfois complexe, la qualification retenue joue un rôle crucial dans l’application du RGPD et déterminera les obligations en matière de protection des données. Toutefois, ces exemples ne sont que des exemples et le CEPD, dans son projet de lignes directrices, rappelle que la qualification d’un acteur découle des activités concrètes menées dans un contexte précis. Ainsi, une analyse au cas par cas devra être menée pour chaque traitement de données personnelles envisagé.