Cette question concerne les personnes qui ont exprimé leur opposition au traitement de leurs données selon la Méthodologie de référence MR - 004 après la saisie de leurs données dans le système de saisie électronique des données (eCRF).
lorsqu’une opposition est exprimée, les données sont supprimées de l’eCRF mais restent dans la piste d’audit de l’eCRF.
Cela constitue-t-il un non-respect du RGPD et de l’obligation de respecter les droits des personnes concernées?
Bonjour,
Nous vous remercions pour votre message.
Tout d’abord, nous vous précisons qu’il importe de faire la distinction entre le droit d’opposition et le droit à l’effacement. Le droit d’opposition est la possibilité pour une personne de demander que ses données personnelles ne soient plus traitées par un responsable de traitement, mais ce droit n’implique pas nécessairement un effacement de ces données personnelles.
A cet égard, la MR-004 précise qu’à la suite du droit d’opposition, le droit à l’effacement peut effectivement s’appliquer lorsque la personne concernée en fait la demande concernant ses données déjà traitées. Il existe cependant des limites à l’exercice de ce droit à l’effacement.
Ainsi, il est possible de ne pas faire droit à cette demande si cette suppression est susceptible de “rendre impossible ou de compromettre gravement la réalisation des objectifs de la recherche”, à condition d’en avoir préalablement informé la personne.
De plus, l’article 17.3 b) du RGPD précise que le droit à l’effacement ne s’applique pas dans les cas où le traitement est nécessaire pour respecter une obligation légale que requiert le traitement prévue par le droit français ou européen.
Ainsi, il est possible de ne pas effacer les données présentes dans la piste d’audit, par exemple si :
la suppression de ces données est susceptible de “rendre impossible ou de compromettre gravement la réalisation des objectifs de la recherche”, à condition que la personne concernée en ait été préalablement informée ; et/ou
la conservation de ces données, dans le but de reconstituer le déroulement des événements apparus lors de la réalisation d’une recherche, relève d’une obligation légale (comme cela est par exemple le cas dans l’hypothèse d’une recherche biomédicale portant sur des médicaments à usage humain). Vous pouvez à ce titre considérer qu’il s’agit d’une finalité distincte : ainsi, le droit d’opposition ne peut être exercé que sur le périmètre de la recherche, ce qui ne permettra plus d’utiliser les données dans ce cadre, mais elles pourront être traitées pour autre chose.
Dans les deux cas, il vous appartient de documenter votre conformité et le cadre dans lequel s’inscrit cette conservation, notamment au sein de votre registre des traitements et de votre analyse d’impact à la protection des données (AIPD).
En espérant avoir répondu à vos questions, et en restant à votre disposition pour tout complément d’information.
Bien cordialement,
L’équipe du Health Data Hub