Je commence à remplir les formulaires et je me demandais quelle était la distinction entre « responsable de traitement » et « responsable de la mise en oeuvre du traitement », notion que je ne retrouve pas dans le RGPD.
Le responsable de traitement de données à caractère personnel est la personne, l’autorité publique, le service ou l’organisme qui détermine les finalités, les objectifs et les moyens de l’étude. Il endosse la responsabilité juridique du traitement et l’autorisation CNIL est établie à son attention. Voici une liste d’indices permettant d’identifier le responsable de traitement :
Il est à l’initiative du traitement
Il décide de l’objectif et des résultats du traitement
Il décide quelles données vont être collectées
Il décide quelle population va être concernée par le traitement
Il a une totale autonomie dans la détermination des moyens et finalités du traitement
Il choisit les sous-traitants pour traiter les données pour son propre compte
Le responsable de traitement doit être représenté par son représentant légal
Le responsable de mise en œuvre du traitement est quant à lui en charge de réaliser l’étude ou une partie de l’étude. S’il n’est pas identique au responsable de traitement, il est son sous-traitant.
Généralement nous conseillons plutôt d’indiquer, lorsque cela est possible, les organismes (personnes morales) au niveau des responsables de traitement (RT) et de mise en œuvre (RMOT) et non des personnes physiques.
Dans le cadre votre étude, il semblerait donc que l’organisme RT est également le RMOT.
Pas nécessairement, peut-être les deux exemples ci-dessous seront plus parlants :
Exemple 1 : Un CHU est à l’initiative d’une étude sur une maladie donnée et réalise lui-même les analyses. Le CHU est à la fois RT et RMOT de son étude.
Exemple 2 : Un industriel de santé (RT) souhaite réaliser une étude sur une maladie donnée et fait appel à un bureau d’études (RMOT) pour réaliser les analyses.
Dans le kit de démarrage « comment débuter avec les données de santé », en page 15 il est précisé que le dossier doit comprendre l’« expression de besoin en données SNDS » (le cas échéant)
Est-ce que la mention « le cas échéant » signifie que ce formulaire ne doit pas être forcément rempli? En d’autres termes, dans quels cas doit il être obligatoirement renseigné?
L’expression de besoin en données SNDS (EDB SNDS) doit être complétée dès lors que vous demandez accès à ces données et doit être fournie avec le dossier de soumission. Un guide pour le remplissage est disponible ici.
La mention « le cas échéant » fait référence au fait que pas tous les projets nécessitent un accès aux données SNDS, et dans ce cas ils n’ont pas besoin de compléter l’EDB.
Afin de vous accompagner au mieux dans la rédaction des documents, le Health Data Hub a mis à disposition dans son starter kit un modèle de protocole expliquant chaque partie. Ce modèle de protocole contient également (en annexe) un exemple fictif de protocole que nous vous invitons à consulter (voir à partir de la page 27 de ce document).