Le Règlement (UE) n° 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit « RGPD » est entré en application le 25 mai 2018 et a imposé de nouvelles obligations aux « responsables de traitements » dans le cadre de la conformité de leurs traitements données à caractère personnel.
Parmi ces obligations figure celle de réaliser une analyse d’impact sur la protection des données (AIPD ou PIA), préalablement à la mise en œuvre de traitements de données à caractère personnel susceptibles « d’engendrer des risques élevés pour les droits et libertés des personnes concernées », en application de l’article 35 du RGPD.
Cette obligation de réaliser des AIPD, laquelle repose sur le principe d’« accountability » (ou de « responsabilisation ») du responsable de traitement a plus particulièrement pour objectif de lui permettre d’identifier les garanties nécessaires, afin d’assurer et de démontrer la conformité du traitement qu’il envisage de mettre en œuvre au regard des exigences du RGPD.
Or, dans sa Délibération n° 2018-326 du 11 octobre 2018 portant adoption de lignes directrices sur les analyses d’impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD), la CNIL a considéré que :
« […] les traitements régulièrement mis en œuvre avant le 25 mai 2018 – c’est-à-dire ayant fait l’objet d’une formalité auprès de la CNIL, en ayant été dispensés, ayant été autorisés par un acte réglementaire ou encore ayant été inscrits dans le registre d’un correspondant « informatique et libertés » (CIL) – n’ont pas à faire l’objet d’une AIPD dans un délai de trois ans à compter du 25 mai 2018, à moins que ceux-ci n’aient fait l’objet d’une modification substantielle depuis leur mise en œuvre ».
Aux termes de cette Délibération du 11 octobre 2018, la CNIL a ainsi expressément accordé une dispense de réalisation de PIA aux responsables de traitements ayant régulièrement mis en œuvre un traitement de données à caractère personnel avant l’entrée en application du RGPD, c’est-à-dire les traitements reposant sur une formalité régulièrement réalisée auprès de la CNIL (engagement de conformité à une norme simplifiée, déclaration « normale » de traitement, ou demande d’autorisation).
A titre d’illustration, toutes les recherches en santé, cohortes, registres, etc. qui ont été initiés avant le 25 mai 2018 et qui avaient fait l’objet soit d’une autorisation de la CNIL, soit d’un engagement de conformité à une méthodologie de référence, pouvaient se poursuivre sans que soit réalisée une AIPD, sauf si le traitement mis en œuvre dans le cadre de cette recherche devait faire l’objet après cette date d’une modification substantielle.
A compter du 25 mai 2021, cette dispense prendra fin de sorte que tout responsable d’un traitement susceptible « d’engendrer des risques élevés pour les droits et libertés des personnes concernées » sera désormais tenu de réaliser une analyse d’impact sur la protection des données.
Par voie de conséquence, les recherches en santé initiée avant le 25 mai 2018 qui bénéficiaient donc de cette dispense et qui se poursuivent au-delà du 25 mai 2021 ne pourront plus faire l’économie de s’interroger sur la conformité du traitement mis en œuvre vis-à-vis de la nouvelle réglementation et notamment des méthodologies de référence en vigueur. La réalisation de telles AIPD et leur évaluation par les DPO des promoteurs ou responsables de ces traitements conduiront à confirmer leur conformité à ces méthodologies de référence ou, à défaut, de la nécessité de retourner vers la CNIL afin d’obtenir une autorisation.