En matière de recherche dans le domaine de la santé, l’information – voire le recueil du consentement – des « perdus de vue » est une problématique régulière. Le thème de la recherche influe énormément, en fonction du taux de létalité.
La problématique est connue des autorités de protection des données. Les solutions sont casuistiques, mais cherchent souvent à s’adapter au contexte.
3 tentatives de contacts pour qualifier 1 perdu de vue
Une décision de l’APD italienne adopte une position plus sévère (GPDP, 24 janvier 2024, n° 9988614). La Garante a en effet exiger pas moins de 3 tentatives infructueuses de contact avec le patient pour permettre la réutilisation de ses données. Sachant que l’envoi doit être tracé, donc un LRAR, le coût peut rapidement s’élever.
La connaissance de la date de décès change tout… ou presque
Reste un second sujet : les personnes décédées. Après le décès, la personnalité juridique s’éteint. Le corps devient une chose. Le législateur européen en a tiré les conséquences, en écartant le RGPD (Considérant 27).
Si l’Italie a choisi d’étendre le RGPD aux défunts, la Loi Informatique et Libertés se borne à prévoir un régime particulier pour l’exercice de certains droits et à permettre une réutilisation à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé. La CNIL en tire les conséquences en matière de RNIPH (Art. 2.5.1 de la MR-004).
Mais la rédaction de la loi est malheureuse. Elle ne permet pas de conclure à une extension de la protection des données. Ce n’était d’ailleurs pas l’objectif poursuivi par la loi pour une République numérique (page 109 de l’étude d’impact)
Partant, la CNIL comme le législateur ne devraient pas pouvoir utiliser l’expression « donnée à caractère personnel » pour évoquer des informations relatives à une personne décédée.
Le point est mineur, me direz-vous. Loin de là.
L’enjeu concret est majeur : les autres règles du RGPD continuent-elles à recevoir application après le décès?
Concrètement, le décès de la personne mettrait-il un terme par exemple à l’obligation de confidentialité? L’impact serait important, au plan pratique, technique et financier : exit le coût de l’hébergement de données de santé, plus de contrôle CNIL sur ces éléments, etc.
Et, en dehors de de la recherche, d’étude ou d’évaluation dans le domaine de la santé, la réutilisation des informations est-elle libre ou catégoriquement interdite?
Faudrait-il revoir la loi? Ou aller plus loin dans la réglementation des données post-mortem ? Vos avis ? Partagez-les en commentaires.
Vous souhaitez vous préparer à un éventuel contrôle? Des interrogations sur la conformité de votre activité ? N’hésitez pas à me contacter.