visuel protection données et confidentialité

Concernant la confidentialité et la protection des données personnelles, l'étude i-Share a été soumise à la loi n°2018-493 du 20 juin 2018 relative à la protection des données individuelles, et a obtenu les autorisations nécessaires.

Qui veille au respect des lois concernant les données de santé ?

Deux comités indépendants tiennent ce rôle :

  • D’une part le CCTIRS (Comité Consultatif sur le traitement de l’information en matière de recherche dans le domaine de la santé) a donné un avis favorable en date du 18 octobre 2012, sous le numéro de dossier 12.623. Il est chargé de vérifier les conditions de traitement et de transmission des informations individuelles recueillies dans le cadre d’une recherche biomédicale.

  • D’autre part la CNIL (Commission nationale de l’informatique et des libertés) qui a pour mission essentielle de protéger la vie privée et les libertés individuelles ou publiques face aux dangers que l’informatique peut faire peser sur les libertés. Elle est chargée de veiller au respect de la loi « Informatique et Libertés » et a donné son autorisation le 28 janvier 2013 sous le numéro de dossier 912548.

Le descriptif suivant a été approuvé par ces deux instances : " [...] Les données nominatives sont toutes cryptées. Les accès à ces données sont restreints, soumis à des identifications sécurisées. Des tables de correspondance permettent d’attribuer à chaque nom, donc à chaque étudiant qui participe à i-Share, un numéro d’anonymat. De la même manière, lors des analyses statistiques effectuées à partir des données de santé recueillies, seules les données rendues anonymes sont traitées. "

Et le RGPD dans tout ça ?

Le RGPD, c’est le Règlement Général sur la Protection des Données, dont il a beaucoup été question ces derniers temps (par exemple pour les conditions générales d’utilisation des données personnelles de nombreux sites internet). Qu’en est-il pour l’étude i-Share ? 

En fait, les grands principes des règles de protection des données énoncés par ce règlement (voir liste plus bas) pour la protection des données personnelles sont déjà garantis dans l’étude i-Share. En effet, les autorisations règlementaires de mise en œuvre du projet, notamment de la CNIL, obtenues lors du lancement de l’étude couvraient déjà ces principes, tout particulièrement les fortes mesures de sécurité mises en place par la loi « Informatique et Libertés » dans le cadre d’études de recherche biomédicale. Ainsi, la loi et les droits des personnes sont déjà respectés de la même façon que la sécurité informatique. D’ailleurs, les principes du RGPD et leur application sont issus de cette loi. 

Pour vérifier la mise en œuvre de l’ensemble des préconisations énoncées par le RGPD, l’étude i-Share bénéficie de l’expertise de la cellule qualité et intégrité du Bordeaux Population Health Centre Inserm U1219. Même si, comme cela est dit plus haut, i-Share respecte déjà les règles de protection des données du RGPD, nous avons néanmoins entamé les procédures supplémentaires nécessaires à la labellisation RGPD.

Les 5 grands principes des règles de protection des données personnelles sont les suivants : 

  • Le principe de finalité : le responsable d'un fichier ne peut enregistrer et utiliser des informations sur des personnes physiques que dans un but bien précis, légal et légitime ;
  • Le principe de proportionnalité et de pertinence : les informations enregistrées doivent être pertinentes et strictement nécessaires au regard de la finalité du fichier ;
  • Le principe d'une durée de conservation limitée : il n'est pas possible de conserver des informations sur des personnes physiques dans un fichier pour une durée indéfinie. Une durée de conservation précise doit être fixée, en fonction du type d'information enregistrée et de la finalité du fichier ;
  • Le principe de sécurité et de confidentialité : le responsable du fichier doit garantir la sécurité et la confidentialité des informations qu'il détient. Il doit en particulier veiller à ce que seules les personnes autorisées aient accès à ces informations ;
  • Les droits des personnes 

Comment sont traitées vos données ? 

Le recueil de vos données de santé est assuré par le CREDIM (Centre de Recherche et de Développement en Informatique Médicale). C’est une plateforme informatique et de traitement des données de l’université de Bordeaux, spécialisée dans la mise en œuvre et la maintenance des bases de données de santé recueillies dans des des études épidémiologiques et cliniques. 

Lors de la soumission du dossier de demande d’autorisation auprès de la CNIL, le CREDIM a présenté toutes les garanties assurant la confidentialité, la sécurité et l’intégrité des données. L’architecture informatique et le système de cryptage des données sensibles mettent en œuvre des procédés d’anonymisation des données à caractère personnel, et de sécurisation de leur transport grâce à un protocole de sécurisation type https.

Qu’en est-il de l’anonymat ?

Les données nominatives sont toutes cryptées. Les accès à ces données sont restreints et soumis à des identifications très sécurisées. Des tables de correspondance permettent d’attribuer à chaque nom, donc à chaque étudiant qui participe à i-Share, un numéro d’anonymat. Lors des analyses statistiques, seules les données anonymes sont traitées par les chercheurs

Lors de votre inscription, il vous a été demandé de remplir vos coordonnées incluant vos nom et prénom simplement pour pouvoir suivre votre participation dans i-Share et vous proposer, par exemple, un nouveau questionnaire ou un examen. Mais lorsque vous remplissez un questionnaire, c’est en utilisant votre numéro i-Share et pas votre nom. La correspondance entre les deux (votre nom et votre numéro i-Share) est complètement confidentielle et très peu de personnes sont autorisées à y accéder. De cette façon, la confidentialité est respectée et les données chiffrées mais non-anonymisées ne sont jamais "accessibles/visibles" pendant l'utilisation ou l'exploitation de la base de données.

Qui peut accéder aux données ?

Les résultats de cette étude ne seront utilisés qu’à des fins scientifiques et leur publication ne comportera aucun résultat individuel. Seuls les responsables de l’étude peuvent avoir accès aux données.

 

Alors, rassuré.e.s ? 

 

> En savoir plus sur la confidentialité dans i-Share (partie 4 des Q/R) : http://www.i-share.fr/faq

> En savoir plus : http://www.enseignementsup-recherche.gouv.fr/cid20537/cctirs.html 

> En savoir plus sur la CNIL : http://www.cnil.fr/

> En savoir plus sur le RGPD : https://www.cnil.fr/fr/comprendre-le-rgpd et https://www.cnil.fr/fr/rgpd-par-ou-commencer 

 

CO/EM

Photo by Markus Spiske on Unsplash