Pour un bon équilibre : protection des données dan les travaux de recherche

Auteure : Rachel Ward, J.D., B. Com.
Date de publication en ligne : août 2019
Public cible : professionnels de la santé et universitaires réalisant des travaux de recherche impliquant des êtres humains

Cet article offre aux chercheurs et aux professionnels de la santé un aperçu des structures qui encadrent la protection de la vie privée des participants aux projets de recherche, un sujet d’autant plus pertinent à l’heure des mégadonnées et de l’intelligence artificielle, et des avancées technologiques de plus en plus dépendantes d’une alimentation en données.

Introduction

« Intelligence artificielle », « mégadonnées », « analyse de données »… Ces concepts, qui dominent le monde des affaires, de la technologie et de la recherche depuis quelques années, commencent à s’immiscer dans la vie de tous les jours. Si la disponibilité de mégadonnées représente d’excellentes possibilités commerciales ou dans la recherche, elle soulève également des problèmes de sécurité et de respect de la vie privée. Étant donné la complexité et la taille des ensembles de données, l’analyse de ces données peut augmenter les risques de distorsion des résultats ou d’utilisations secondaires non autorisées de données personnelles1.  De plus, les gouvernements, les organes de réglementation et les experts en cybersécurité ne cessent d’alerter sur les risques liés aux brèches de sécurité et aux cyberattaques dont les dépositaires de données feront l’objet, car la question n’est pas de savoir « si » cela arrivera, mais « quand ».

Pour contrer ces risques, certains organes de réglementation ont instauré de rigoureuses mesures. Par exemple, en mai 2018, l’Europe a introduit un nouveau régime en matière de protection des données à caractère personnel avec le Règlement général de protection des données2,  qui protège les droits des individus et soumet à un certain nombre d’obligations les entreprises et les organismes qui détiennent et traitent des données personnelles, sous peine d’amendes pouvant s’avérer substantielles. Au Canada, certaines provinces ont également pris des dispositions plus strictes à l’égard des dépositaires de données. L’Alberta et l’Ontario, par exemple, imposent le signalement des fuites de données lorsque cela représente un risque important pour les individus concernés.

 

Image

Recherche et droit à la vie privée au Canada

Compte tenu de ce contexte, comment trouver l’équilibre entre innovation et protection de la vie privée dans le domaine de la recherche? Cela passe, entre autres, par l’adoption de cadres juridiques et réglementaires, la mise en place d’une surveillance éthique, et l’établissement de politiques et de processus organisationnels.

Cadres juridiques et réglementaires

Au Canada, afin de faire respecter le droit à la vie privée des individus, les gouvernements fédéral, provinciaux et territoriaux ont adopté des lois sur la protection de la vie privée qui régissent la collecte, l’utilisation et la transmission des données personnelles.

Ainsi, seules sont autorisées la collecte, l’utilisation et la divulgation des données qui permettent d’identifier un individu, à savoir son nom, son adresse, ses numéros de téléphone ou ses renseignements médicaux, dans un but principal précis et sous réserve du consentement explicite — ou implicite, dans certains cas — de l’individu concerné. Or ces données peuvent parfois s’avérer utiles dans un but secondaire, comme la recherche, ce que conçoivent les textes de loi, qui prévoient des dispositions pour protéger la vie privée de l’individu tout en permettant la transmission de ses données personnelles à des fins de recherche.

Par exemple, les dépositaires de données ne peuvent transmettre des données personnelles à des fins de recherche que si (a) le consentement préalable de l’individu a été obtenu ou (b) le projet de recherche a été approuvé par un comité d’éthique de la recherche, et qu’un accord a été conclu entre le chercheur et le dépositaire pour protéger la confidentialité et la sécurité de ces données3.   

L’application et le respect de ces dispositions légales sont assurés par des organes de réglementation et des ombudsmans, qui jouissent également d’un pouvoir de surveillance associé, pour certains, d’un pouvoir exécutoire et, pour d’autres, de la capacité à formuler des recommandations visant à imposer le respect de la loi. Ces organes ont également élaboré des directives concernant les bonnes pratiques dans ce domaine.

Surveillance éthique

En plus de l’obligation de respect des cadres juridiques et réglementaires, les projets de recherche qui font usage de données personnelles doivent se conformer aux directives éthiques présentées dans l’Énoncé de politique des trois conseils : Éthique de la recherche avec des êtres humains (EPTC 2)4.  Cet énoncé présente les principes fondamentaux qui régissent la protection de la vie privée et de la confidentialité des données dans le domaine de la recherche. Ce sont sur ces principes que se basent les comités d’éthique de la recherche, des comités indépendants établis par les organismes (universités, hôpitaux, organismes, etc.) et dont le but est de se prononcer sur l’acceptabilité éthique des projets de recherche impliquant des êtres humains.

Les chercheurs doivent soumettre au comité d’éthique de la recherche dont ils dépendent le type d’information qu’ils souhaitent recueillir, utiliser ou transmettre, ainsi que la façon dont ils vont s’acquitter de leurs obligations en matière de confidentialité. Une fois le projet approuvé, les chercheurs sont responsables de la protection des données personnelles pendant toute la durée de vie du projet (recueil, utilisation, dissémination, rétention et/ou élimination), ce qu’ils peuvent faire, par exemple, en instituant des mécanismes physiques et cybernétiques qui empêchent l’accès non autorisé à ces données, en prenant des mesures raisonnables pour empêcher l’identification des individus concernés et/ou en déterminant une durée appropriée pour la rétention des données. Ces comités jouent un rôle essentiel dans le respect des principes éthiques et des droits des personnes qui participent aux projets de recherche, notamment le droit à la vie privée.

Politiques et processus organisationnels

Il incombe également aux organismes de protéger les données personnelles dont ils sont détenteurs ou ont la charge. La loi impose aux dépositaires de données personnelles d’instaurer des politiques, des pratiques et des mécanismes de sécurité pour protéger ces données. Par ailleurs, l’Énoncé de politique des trois conseils : Éthique de la recherche avec des êtres humains stipule que les organismes ont la responsabilité d’établir des mesures de sécurité appropriées et de former les chercheurs ainsi que les comités d’éthique de la recherche au respect de la confidentialité des participants aux projets de recherche5.   

Recherche et protection de la vie privée à la Société canadienne du sang

La Société canadienne du sang est déterminée à protéger la confidentialité et à assurer la sécurité des renseignements personnels en sa possession conformément aux lois applicables et aux pratiques exemplaires en la matière6.  Également déterminée à faciliter la recherche dans le but d’améliorer la santé des Canadiens, elle permet à ses chercheurs et aux chercheurs d’autres organismes d’accéder, par le biais de son Centre d’innovation, à des composants sanguins (globules rouges, plasma, plaquettes), du sang de cordon et des ensembles de données uniques7

Afin de remplir ses obligations légales et d’appliquer les bonnes pratiques en matière de protection des données personnelles décrites ci-dessus, la Société canadienne du sang a mis en place des processus qui visent à protéger les données et le matériel biologique qu’elle fournit aux chercheurs, à savoir :

1.    Examen interne : toute demande de données ou de matériel biologique à des fins de recherche doit faire l’objet d’un examen interne par des experts dans le domaine de l’éthique de la recherche, du sang, des cellules souches, des organes et des tissus, du droit à la vie privée, et de la sécurité informatique. Dans le cadre de cet examen, les chercheurs peuvent être amenés à clarifier leur projet et à fournir des informations supplémentaires, mais également à signer avec l’organisation une entente d’utilisation de données ou de transfert de matériel.

2.    Processus d’examen par son propre comité d’éthique de la recherche : tout projet de recherche approuvé lors de l’examen interne et impliquant des êtres humains mené par ou pour le compte de la Société canadienne du sang, ou impliquant des données personnelles ou du matériel biologique recueillis par l’organisation, doit être approuvé par son propre comité d’éthique de la recherche. Relevant du conseil d’administration de l’organisation, ce comité indépendant créé en 2001 est constitué d’experts multidisciplinaires et a pour but d’examiner les projets de recherche menés par ou pour le compte de la Société canadienne du sang afin de s’assurer que celle-ci agit selon les normes les plus élevées en matière d’éthique. Le rejet d’un projet de recherche par le comité d’éthique de la recherche est final et ne peut être révoqué par la Société canadienne du sang. Pour en savoir plus sur ce comité, consultez notre blogue RED , consacré à la recherche, à l’éducation et à la découverte.

3.    Amélioration continue des processus : la Société canadienne du sang revoit ses processus régulièrement pour pouvoir, le cas échéant, les optimiser ou en adopter de nouveaux en matière de transmission de données et d’échantillons pour la recherche, et ce, tout en fournissant des moyens de surveillance et de contrôle appropriés. En 2014, par exemple, elle a créé le programme Sang de cordon pour la recherche qui régit, selon un cadre juridique et éthique, la distribution du sang de cordon qui ne répond pas aux critères de mise en banque aux chercheurs. Plus récemment, en 2018, elle a mis en place une nouvelle procédure opératoire pour l’examen des projets de recherche nécessitant les données dont elle est le dépositaire.

Vous êtes chercheur ou professionnel de la santé et souhaitez en savoir plus sur le processus d’examen du comité d’éthique de la recherche de la Société canadienne du sang et ses exigences? Allez à : https://blood.ca/fr/recherche/produits-et-services-pour-les-chercheurs/le-comite-dethique-de-la-recherche.

Vous êtes donneur, participant à une étude ou membre du public et souhaitez en savoir plus sur la politique de protection des renseignements personnels de la Société canadienne du sang? Allez à : https://blood.ca/fr/notre-sujet/avis-aux-donneurs-sang.

Remerciements 

L’auteure tient à remercier Elaine Ashfield, Sophie Chargé, Sylvia Torrance, Geraldine Walsh et Michael McDonald pour leurs contributions et leur aide lors de la rédaction de cet article.

Références

1.    Les mégadonnées et le droit à la vie privée. Commissaire à l’information et à la protection de la vie privée de l’Ontario, février 2017.
https://www.ipc.on.ca/wp-content/uploads/2017/02/fs-privacy-big-data-and-your-privacy-rights-f.pdf

2.    Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=celex%3A32016R0679

3.    Par exemple :

  • Loi sur la protection des renseignements personnels sur la santé, 2004, L.O. 2004, ch. 3, art. 44
  • Loi sur les renseignements médicaux personnels, C.P.L.M. de la c P33.5, art. 24
  • Personal Health Information Act, SNS 2010, ch. 41, art. 52-60
  • Loi sur l’accès et la protection en matière de renseignements personnels sur la santé (L.N.-B. 2009, ch. P-7.05), art. 43

4.    Énoncé de politique des trois conseils : Éthique de la recherche avec des êtres humains. Conseil de recherches en sciences humaines, Conseil de recherches en sciences naturelles et en génie du Canada, Instituts de recherche en santé du Canada, décembre 2018. Accueil : Le Groupe consultatif interagences en éthique de la recherche (GER) (ethics.gc.ca).

5.    Interprétations de l’EPTC 2. Groupe consultatif interagences en éthique de la recherche.http://www.pre.ethics.gc.ca/eng/policy-politique_interpretations.html

6.    Société canadienne du sang. https://blood.ca/fr/notre-sujet/protection-renseignements-personnels-confidentialite

7.    Société canadienne du sang. https://blood.ca/fr/recherche/nos-activites