2- Le contrôle du traitement des données par la CNIL
« Les traitements de données à caractère personnel ayant pour fin la recherche dans le domaine de la santé » font l'objet du chapitre IX de la loi informatique et libertés, et donc d'un encadrement spécifique introduit par les lois de bioéthique. Tous les fichiers comportant des données personnelles à des fins de recherche médicale sont soumis à une autorisation préalable de la CNIL. La loi de 2012 vient d'apporter un assouplissement important de la procédure en supprimant un échelon administratif : désormais, l'avis d'un comité scientifique dépendant du ministère de la recherche, le Comité consultatif sur le traitement de l'information en matière de recherche dans le domaine de la santé (CCTIRS), n'est plus requis pour les recherches observationnelles, dès lors qu'elles ont déjà reçu l'avis favorable d'un CPP. Cette obligation était jugée souvent redondante par les chercheurs et allongeait les délais d'autorisation de recherche.
Lors de son examen, la CNIL contrôle notamment le bon respect du secret médical afin que seules des personnes soumises au secret médical, au secret professionnel, puissent avoir accès à des données sous une forme directement nominative, puisque la notion de données personnelles inclut non seulement des données directement nominatives, c'est-à-dire l'enregistrement du nom du patient dans le traitement, par exemple, mais également des données indirectement nominatives, ainsi le numéro qui renvoie à l'identité du patient, conservé dans une table de correspondance dans un fichier séparé.
Ainsi elle vérifie que l'unité destinataire des informations contenues dans la recherche n'a pas communication des noms des patients. Elle n'a les données, et notamment les images, que sous forme associée à un numéro et seul l'investigateur principal dispose de la correspondance entre les noms et les numéros. C'est particulièrement important, cela ne veut pas dire que le traitement est anonyme, mais c'est une mesure de confidentialité que la CNIL essaie, de façon systématique, de faire respecter dans les projets de recherche qui lui sont soumis.
La CNIL vérifie également avec soin les techniques d'anonymisation et de transcodage des identités, de chiffrement, de journalisation des accès, mais elle déplore que ces techniques informatiques restent fort coûteuses et insuffisamment développées dans le domaine de la recherche médicale. Elle a élaboré plusieurs guides de bonnes pratiques avec des consignes précises à l'usage des professionnels de santé.