Recherche en santé : comment envoyer une note d’information dématérialisée aux participants ?
Dans le cadre de recherches, études ou évaluations dans le domaine de la santé, certains responsables de traitement souhaitent adresser la note d’information aux participants par voie électronique. La CNIL précise les conditions dans lesquelles elle peut autoriser de tels envois.
Par principe, les personnes concernées par une recherche dans le domaine de la santé doivent être individuellement informées de chaque projet d’étude effectué sur leurs données personnelles.
Pour ce faire, la note d’information peut être :
- remise en main propre lors du suivi médical réalisé par le médecin ;
- adressée par voie postale ;
- adressée par voie dématérialisée, via une plateforme sécurisée ou par courrier électronique.
Respecter les droits des personnes et la confidentialité des données
Dans le cas d’un envoi postal, afin de permettre aux personnes concernées d’exercer leurs droits, et notamment leur droit d’opposition, la CNIL recommande de leur laisser un délai suffisant (en général de trois semaines à un mois) entre l’envoi de la note d’information et le début du traitement de leurs données.
Dans le cas d’un envoi dématérialisé, il est nécessaire de respecter certaines conditions afin de s’assurer de la confidentialité des données et, notamment, du respect du secret médical.
En effet, un simple envoi par courrier électronique présente des risques d’ouverture du message par une personne autre que le destinataire (par ex. sur un ordinateur partagé au sein du foyer), de lecture du contenu des pièces jointes par les fournisseurs de service, de piratage de la boîte courriel, etc.
Pour ces raisons :
- si la note d’information ne révèle pas d’informations sur l’état de santé réel ou supposé du participant (ex : enquête concernant la population générale), l’information peut être envoyée à une adresse courriel « classique » (par exemple Gmail, Yahoo Mail, etc.), en s’assurant de disposer d’une adresse personnelle et récente ;
- si la note révèle des informations directes ou indirectes concernant l’état de santé de la personne, elle doit être protégée en confidentialité. Plus spécifiquement :
- L’information peut être envoyée via une plateforme sécurisée pour laquelle le participant dispose d’une connexion authentifiée, afin de s’assurer que le message sera lu uniquement par son destinataire. La plateforme envoie alors une notification neutre au destinataire, l’invitant à se connecter pour lire un nouveau message. C’est par exemple le cas de la messagerie intégrée à « Mon espace santé ».
- Alternativement, l’information peut être envoyée à une adresse courriel « classique » en respectant les conditions suivantes :
- le corps et l’objet du message ne doivent pas contenir de donnée sensible ;
- la note d’information elle-même ne doit pas être lisible directement : elle doit être protégée dans une pièce jointe chiffrée ou derrière un lien de téléchargement exigeant un code secret ;
- le secret de déchiffrement ou de téléchargement doit être transmis par un canal de confiance séparé (ex. : remise en main propre, appel téléphonique ou texto vers un numéro de téléphone vérifié par l’investigateur, pli postal sécurisé).
En tout état de cause, les mesures de sécurité suivantes doivent être mises en place :
- des mesures générales de protection des échanges avec l’extérieur, décrites dans la fiche 13 du guide de la sécurité des données ;
- pour l’authentification du destinataire, voir la fiche 4 du guide de la sécurité des données. Attention, en cas de recours à un mot de passe comme facteur d’authentification, ce dernier devra être suffisamment robuste (consultez les recommandations de la CNIL en la matière);
- pour l’utilisation d’un serveur de dépôt de fichiers temporaires, s’assurer de paramétrer une durée limitée de mise à disposition des fichiers ;
- pour le chiffrement d’une pièce jointe, voir la fiche 21 du guide de la sécurité des données.
Dans ces conditions, la CNIL considère que l’envoi de la note d’information présente un niveau de sécurité suffisant.
Un envoi par les seules personnes autorisées
Pour que cette mesure de dématérialisation soit ensuite considérée comme conforme aux méthodologies de référence, la note d’information doit être envoyée par voie électronique par une personne autorisée par les méthodologies de référence (§2.3.2 des MR-001, MR-003 ou MR-004) à être destinataire de données directement identifiantes.
Il s’agira essentiellement des professionnels intervenant dans la recherche et des personnels agissant sous leur responsabilité ou leur autorité, pour l’envoi d’une note d’information aux personnes dont ils assurent la prise en charge dans le cadre de la recherche.
La CNIL vous consulte jusqu’au 12 juillet 2024 pour mettre à jours ses référentiels santé.
Pour approfondir
- Tous les contenus de la CNIL sur la recherche médicale
- Tous les contenus de la CNIL sur la santé
- Demande d’autorisation d’une recherche en santé : les informations à fournir et les critères d’octroi
- Traitements de données dans le domaine de la santé : les référentiels pour simplifier vos démarches
- Essais cliniques : les bonnes pratiques pour le contrôle qualité à distance
- Le suivi à domicile lors de recherches dans le domaine de la santé