Betreft: Lorem ipsum dolor sit amet in hac habitasse platea
1/7
Comité sectoriel du Registre national
Délibération RN n° 47/2010 du 17 novembre 2010
Objet : demande émanant des "Universitaire Ziekenhuizen Leuven" (Hôpitaux universitaires de
Leuven) en vue d'obtenir la communication d'une information du Registre national à des fins de
recherche scientifique (RN/MA/2010/093)
Le Comité sectoriel du Registre national (ci-après "le Comité") ;
Vu la loi du 8 août 1983
organisant un Registre national des personnes physiques
(ci-après la
"LRN") ;
Vu la loi du 8 décembre 1992
relative à la protection de la vie privée à l'égard des traitements de
données à caractère personnel
(ci-après la "LVP"), en particulier l'article 31
bis
;
Vu l'arrêté royal du 17 décembre 2003
fixant les modalités relatives à la composition et au
fonctionnement de certains comités sectoriels institués au sein de la Commission de la protection de
la vie privée
;
Vu la demande des "Universitaire Ziekenhuizen Leuven", reçue le 24/08/2010 ;
Vu la demande d'avis technique et juridique adressée au Service public fédéral Intérieur en date du
29/09/2010 ;
Vu le rapport de la Présidente ;
Émet, après délibération, la décision suivante, le 17 novembre 2010 :
Délibération RN 47/2010 - 2/7
I. OBJET DE LA DEMANDE
La demande a pour but que les "Universitaire Ziekenhuizen Leuven", dénommés ci-après le
demandeur, soient autorisés à obtenir la communication d'une information du Registre national, en
particulier celle mentionnée à l'article 3, premier alinéa, 6° (à l'exclusion du lieu du décès) de la LRN,
à des fins de recherche scientifique.
II. EXAMEN DE LA DEMANDE
Par les délibérations RN n° 03/2007 du 28 février 2007, RN n° 09/2007 du 21 mars 2007 et
RN n° 44/2008 du 8 octobre 2008, le demandeur a déjà été autorisé à obtenir la communication de
données du Registre national à des fins de recherche scientifique.
L'examen du Comité peut dès lors se limiter à vérifier :
si la finalité pour laquelle la communication d'une donnée du Registre national est demandée
est déterminée, explicite et légitime au sens de l'article 4, § 1, 2° de la LVP et de l'article 5,
deuxième alinéa de la LRN ;
si la donnée à laquelle l'accès est demandé est proportionnelle (article 4, § 1, 3° de la LVP).
A. FINALITÉ
Déjà depuis août 2007, le demandeur étudie l'impact de l'alimentation parentérale précoce sur le
rétablissement fonctionnel de patients à l'aide de l'étude clinique randomisée "EPaNIC Study". En fin
de compte, 4640 patients participeront.
Dans le cadre de cette étude, le demandeur souhaite avoir connaissance du décès éventuel d'un
patient après sa sortie de l'hôpital afin de pouvoir évaluer de manière aussi correcte et complète que
possible les résultats cliniques de l'étude clinique randomisée. Selon le demandeur, des directives
scientifiques recommandent de ne pas évaluer la "survie définitive" d'un patient sur la base du fait
qu'il a quitté l'hôpital vivant mais jusqu'à 240 mois après sa sortie de l'hôpital.
L'étude prévoit ensuite une évaluation à long terme de la situation fonctionnelle du patient.
Cette évaluation s'effectue à l'aide d'un questionnaire qui est envoyé au patient deux ans après sa
participation à l'étude. Le demandeur souhaite éviter que la famille d'un patient décédé en dehors de
l'hôpital soit contactée inutilement pour compléter un questionnaire sur la situation fonctionnelle du
patient.
Délibération RN 47/2010 - 3/7
Le Comité estime que la finalité poursuivie est déterminée, explicite et légitime au sens de l'article 4,
§ 1, 2° de la LVP.
B. PROPORTIONNALITÉ
B.1. Quant à la donnée demandée
Le demandeur souhaite donc obtenir la communication de l'information mentionnée à l'article 3,
premier alinéa, 6° de la LRN (à l'exclusion du lieu du décès) en vue de réaliser la finalité reprise au
point A.
En vue de l'étude susmentionnée, le demandeur souhaite savoir, pour 4640 patients ayant participé
à l'étude EPaNIC, quels patients sont décédés et quand. À cet effet, le demandeur fournira au
Registre national les données d'identification dont il dispose déjà. Ce dernier les complètera avec
l'éventuelle date du décès et les renverra ensuite au demandeur.
Le Comité estime qu'il est pertinent, dans le cadre de cette étude, que le demandeur sache si un
patient est décédé ou non. Par conséquent, la communication de l'information mentionnée à
l'article 3, premier alinéa 6° de la LRN (à l'exclusion du lieu du décès) est conforme à l'article 4, § 1,
3° de la LVP.
B.2. Quant à la fréquence de la communication
Le demandeur souhaite une communication trimestrielle jusqu'au 31 décembre 2012. L'étude est
limitée dans le temps et concerne un public limité et bien déterminé.
Le Comité constate que, pour accomplir la finalité énoncée, à savoir évaluer de manière correcte les
résultats de l'étude et ne pas contacter les patients décédés, une telle communication trimestrielle
est appropriée (article 4, § 1, 3° de la LVP).
B.3. Quant au délai de conservation de la donnée
Le demandeur affirme qu'il conservera la donnée communiquée pendant cinq ans dans un dossier
d'étude anonymisé et renvoie à cet effet au délai de cinq ans mentionné à l'article 17 de la
Directive 2005/28/CE du 8 avril 2005
1
.
1
Article 17 de la Directive 2005/28/CE
fixant des principes et des lignes directrices détaillées relatifs à l’application de bonnes
pratiques cliniques en ce qui concerne les médicaments expérimentaux à usage humain, ainsi que les exigences pour l’octroi
Délibération RN 47/2010 - 4/7
Il ressort en outre de la demande que le but est de traiter la donnée de manière anonyme, une fois
que celle-ci a été communiquée.
Par souci d'exhaustivité, le Comité attire l'attention sur le fait que l'article 1, 5° de l'arrêté royal du
13 février 2001
portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie
privée à l'égard des traitements de données à caractère personnel
définit les données anonymes
comme des
données qui ne peuvent être mises en relation avec une personne identifiée ou
identifiable
.
À la lumière de ce qui précède, le Comité estime que le délai de conservation indiqué par le
demandeur est conforme à l'exigence de l'article 4, § 1, 5° de la LVP.
B.4. Usage interne et/ou communication à des tiers
Le demandeur précise que la donnée communiquée sera exclusivement utilisée en interne par trois
médecins et ne sera en aucun cas communiquée à des tiers.
Le Comité en prend acte.
C. MODALITÉS DE LA COMMUNICATION DE LA DONNÉE
Le Comité renvoie à la loi du 21 août 2008
relative à l'institution et à l'organisation de la plate-forme
eHealth
. Une des missions de la plate-forme eHealth consiste à mettre gratuitement à la disposition
des acteurs des soins de santé une plate-forme de collaboration pour l'échange électronique sécurisé
de données, y compris un système pour l'organisation et le logging des échanges électroniques de
données et un système de contrôle préventif de l'accès électronique aux données. En ce qui
concerne la sécurité de l'information et la protection de la vie privée, la plate-forme eHealth est
soumise au contrôle spécifique d'un comité sectoriel institué au sein de la Commission de la
protection de la vie privée. L'application de ces mesures souligne l'importance d'une sécurité
adéquate dans le cadre de l'échange de données à caractère personnel entre les acteurs des soins
de santé. Le législateur a défini les mesures de sécurité minimales ainsi qu'un contrôle spécifique en
la matière, sans toutefois imposer que chaque échange de données à caractère personnel entre ces
acteurs se fasse via la plate-forme eHealth. Pour l'exécution de ses missions, la plate-forme eHealth
a également reçu explicitement un accès aux données enregistrées dans le Registre national.
de l’autorisation de fabriquer ou d’importer ces médicaments
: "
Le promoteur et l’investigateur conservent les documents
essentiels relatifs à un essai clinique pendant au moins cinq ans après son achèvement. (…)
."
Délibération RN 47/2010 - 5/7
Le Comité estime que la communication de données du Registre national au demandeur doit avoir
lieu dans le respect des mesures minimales de contrôle et de sécurité imposées à la plate-forme
eHealth.
Le Comité considère que la communication de données du Registre national doit s'effectuer soit via
la plate-forme eHealth, soit via une autre plate-forme qui offre des garanties comparables en
matière de sécurité de l'information, notamment sur le plan du logging et du contrôle préventif des
accès, et qui se soumet également à un contrôle spécifique du Comité sectoriel de la Sécurité
Sociale et de la Santé institué au sein de la Commission de la protection de la vie privée.
D. SÉCURITÉ
D.1. Conseiller en sécurité de l’information
En application de l'article 10 de la LRN, un conseiller en sécurité de l’information est désigné par le
demandeur. Tout organisme étant autorisé à accéder aux informations du Registre national est tenu,
en vertu de l'article 10 de la LRN, de désigner un conseiller en sécurité de l’information. Celui-ci doit
être en mesure d’apprécier en toute indépendance la sécurité de l’information.
L'identité du conseiller en sécurité de l'information doit être communiquée au Comité sectoriel de la
Sécurité Sociale et de la Santé.
Au vu de la qualité et du domaine d'activité spécifique du demandeur, toute information utile à ce
sujet devra être communiquée au Comité sectoriel de la Sécurité Sociale et de la Santé pour lui
permettre d’apprécier en toute indépendance la sécurité de l’information. Les précisions suivantes
devront notamment être apportées au sujet du conseiller :
son profil de fonction, avec indication de sa place au sein de l’organisation, des résultats à
atteindre et des compétences requises ;
la formation reçue par l’intéressé(e) ou dont il/elle bénéficiera ;
le temps qu’il/elle peut consacrer à la fonction ;
les autres fonctions éventuellement exercées par l'intéressé(e), qui ne peuvent pas être
incompatibles avec la fonction de conseiller en sécurité de l’information.
D.2. Politique de sécurité de l'information
Une politique de sécurité devra également être élaborée en tenant compte des mesures de
référence en matière de sécurité applicables à tout traitement de données à caractère personnel
adoptées par la Commission de la protection de la vie privée et disponibles sur son site Internet.
Elle devra être mise en pratique sur le terrain afin que les traitements de données effectués pour
6
7
1
/
7
100%
