• FAQ
  • Glossary
Fermer

FAQ

Why are some conditions more suitable for gene and cell therapies than others?
There is an approved treatment available for my condition - why can't I receive it?
How to look for approved medicines?
How are medicines developed and approved?

Voir toutes les FAQ

Fermer

Glossary

Adeno-associated virus (AAV)
Adenovirus
Adult stem cells
Antibody
Antigen
Base editors
Cas9 nuclease
Chimeric Antigen Receptor (CAR)
Chromosome
Clinical trial

Voir le glossaire complet

Principes fondamentaux de la protection des données

Introduction

Le développement de la thérapie génique et cellulaire implique nécessairement le traitement de données, qu'elles soient personnelles ou non. Sur ce point vous pouvez vous référer à la section « Classification des données ».

Les activités de traitement des données à caractère personnel doivent être mises en œuvre en tenant dûment compte des principes de protection des données.

Parmi les autres principes énoncés dans le Règlement Général sur la Protection des Données (RGPD) et dans d'autres instruments juridiques mentionnés ci-dessous, tels que la Déclaration internationale sur les données génétiques humaines de l'UNESCO, certains principes majeurs s'appliquent au traitement des données à caractère personnel :

  • Autodétermination ; 
  • Légalité, équité et transparence ;
  • Limitation de la finalité ;
  • Minimisation des données ;
  • Exactitude ;
  • Limitation de la durée de stockage ;
  • Intégrité, sécurité et confidentialité ;
  • Principes FAIR (Faciles à trouver, Accessibles, Interopérables et Réutilisables). (De l’anglais Findable, Accessible, Interoperable, Reusable)

Ces principes et d'autres principes pertinents doivent être lus à la lumière de l’environnement technologique et scientifique en constante évolution, ce qui implique la nécessité de les réinterpréter constamment, ainsi que de redéfinir et d'actualiser les règles de protection des données en fonction des nouveaux risques et menaces.

En outre, les données relatives à la santé et les données génétiques humaines, qui sont susceptibles d'être utilisées dans le cadre du développement de la thérapie génique et cellulaire, sont considérées comme une catégorie particulière de données à caractère personnel (également communément appelées « données sensibles ») qui sont spécifiquement réglementées en raison de leur nature unique et sensible.

Ceci est particulièrement vrai pour les données génétiques humaines qui sont traitées non seulement pour le développement de la thérapie génique, mais aussi pour de nombreuses autres finalités, par exemple pour assurer un dépistage efficace dans le domaine de la thérapie génique et cellulaire.

Les données génétiques humaines sont d'une nature très particulière et sensible en raison de la quantité et de la qualité des informations (et des conclusions qui en découlent) qui peuvent être obtenues grâce à leur traitement. Par exemple, le traitement des données génétiques humaines peut permettre de prédire des prédispositions génétiques et de tirer des conclusions très précises sur la santé (et d'autres aspects) des individus. Cela peut avoir des conséquences importantes non seulement pour la personne concernée, mais aussi pour sa famille, sur plusieurs générations, et pour les groupes auxquels la personne concernée appartient. Il n'est pas rare que le traitement des données génétiques implique des utilisations, des analyses et des résultats dont l'importance peut ne pas être connue au moment du traitement.

Ainsi, les données génétiques humaines ont un statut particulièrement singulier, car elles impliquent des seuils de protection plus élevés ainsi qu'une prise en compte plus sophistiquée des risques et menaces qui leur sont associés.

Compte tenu des capacités scientifiques, médicales et techniques développées à notre époque, en particulier au cours du XXIe siècle, le traitement des données génétiques humaines est une préoccupation de plus en plus pertinente d'un point de vue sociétal, philosophique et juridique. Dans ce contexte, les communautés scientifiques et juridiques se sont concentrées sur l'étude d'une longue liste de sujets liés aux risques et aux menaces engendrés par le traitement des données génétiques humaines, tels que la protection juridique des données génétiques humaines, la sauvegarde de la confidentialité des données génétiques et la prévention de la discrimination génétique.

La Déclaration internationale sur les données génétiques humaines de l’UNESCO de 2003 (ci-après également « Déclaration internationale sur les données génétiques humaines »), qui complète la Déclaration universelle sur le génome humain et les droits de l'homme (UNESCO 1997), a posé une base essentielle pour la définition des principaux concepts, règles et enjeux posés par la collecte, le traitement, l'utilisation et le stockage des données génétiques humaines. Elle a aussi posé les bases de futurs cadres juridiques internationaux et nationaux visant à établir des normes, des orientations et des lignes directrices en la matière.

Parmi d'autres instruments juridiques nationaux, régionaux et internationaux, le RGPD de l'UE a édicté des dispositions concernant les données génétiques et les risques associés à leur traitement. En tant qu'instrument juridique de l'UE le plus pertinent pour l'amélioration, l'efficacité et l'harmonisation des principes de protection des données personnelles, le RGPD a façonné et influencé les normes éthiques et juridiques liées au traitement des données génétiques. Pour illustrer l'importance accordée aux données génétiques humaines dans le cadre des principes de protection des données inscrits dans le RGPD, il est important de rappeler que la définition des données à caractère personnel elle-même inclut une référence spécifique aux facteurs génétiques comme étant l'un des identifiants d'une personne physique. (Article 4(1) du RGPD)

Le RGPD impose une interdiction générale du traitement des « données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique » (c'est-à-dire des catégories particulières de données à caractère personnel). (Article 9(1) du RGPD)

Par conséquent, conformément au RGPD, le traitement des données génétiques, c'est-à-dire « les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d'une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé de cette personne physique et qui résultent, notamment, d’une analyse d'un échantillon biologique de la personne physique en question », est généralement interdit. (Article 4(13) du RGPD)

Malgré cette interdiction générale, le RGPD établit une liste d'exceptions (fonctionnant comme des dérogations à la règle principale) établissant les situations dans lesquelles il est licite de traiter des catégories particulières de données, y compris les données génétiques. Conformément à l'article 9(2), le traitement des données génétiques peut être autorisé pour des finalités spécifiques et dans des conditions spécifiques.

Entre autres, le traitement des données génétiques peut être licite lorsque (i) la personne concernée a donné son consentement explicite au traitement ; (ii) le traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontières graves posant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux ; ou (iii) le traitement est nécessaire à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques, conformément à l'article 89(1) du RGPD.

Il convient de noter que lorsque le traitement des données génétiques est licite, il doit être effectué sur la base du droit de l'Union ou de l'État membre, qui prévoit des mesures appropriées et spécifiques pour sauvegarder les droits et libertés de la personne concernée, et conformément aux principes généraux de protection des données.

Les principes de protection des données définis par le RGPD s'appuient sur les fondements existants, établissant des règles tangibles et des seuils de protection sur lesquels la législation relative aux données personnelles et les activités de traitement devraient s'appuyer.

L'importance de l'adoption de principes et de garanties rigoureux en matière de protection des données, dans le contexte du traitement des données génétiques humaines, a été soulignée dans plusieurs textes et lignes directrices internationaux et européens, contraignants et non contraignants, tels que :

Acteurs principaux

Les données génétiques humaines peuvent être traitées et utilisées dans une grande variété de circonstances et de contextes. Les données à caractère personnel relatives aux caractéristiques génétiques héritées ou acquises d'une personne physique peuvent résulter de l'analyse d'échantillons biologiques (Article 4(13) du RGPD), tels que l'analyse des chromosomes, de l'acide désoxyribonucléique (ADN) ou de l'acide ribonucléique (ARN), ou de l'analyse d'autres éléments permettant d'obtenir des informations équivalentes (Considérant 34 du RGPD). Par exemple, il a été récemment suggéré qu'il était possible de diagnostiquer des troubles génétiques par le traitement de données biométriques faciales à l'aide de technologies telles que l'imagerie numérique et les algorithmes d'apprentissage profond[1], ce qui démontre que des informations génétiques peuvent être collectées à partir de données non génétiques.

Ainsi, les données génétiques humaines peuvent être traitées dans un large périmètre d'industries, telles que l'industrie pharmaceutique et l'industrie de la santé. Dans ce dernier cas, les données génétiques peuvent être utilisées pour la recherche et le traitement de nombreuses maladies, telles que le cancer, les maladies neurologiques et psychiatriques, ainsi que les maladies cardiovasculaires. L'utilisation des technologies génomiques dans les soins de santé améliore la compréhension biologique et permet aux scientifiques, aux chercheurs, aux médecins et aux professionnels de la santé du monde entier d'établir des liens entre les facteurs moléculaires et physiologiques et les symptômes cliniques spécifiques de la maladie[2].

Avec l'avènement de l'économie du big data, le traitement massif et automatisé des données génétiques est devenu une pratique courante. L'intelligence artificielle est utilisée pour analyser et interpréter les données génomiques à grande échelle à des fins cliniques, pharmaceutiques et biomédicales, notamment l’établissement du diagnostic médical, la prédiction des risques, la médecine de précision, la découverte et le développement de médicaments.

Le traitement des données génétiques ne se limite pas aux secteurs des soins de santé et des produits pharmaceutiques, mais peut également être utile à d'autres fins et dans d'autres domaines, par exemple dans la recherche fondamentale, l'anthropologie, la biologie de la conservation, la criminologie et la justice pénale/l'application de la loi.

En outre, les données génétiques humaines sont devenues une activité commerciale. En 2019, le MIT (Massachusetts Institute of Technology) Technology Review a estimé que plus de 26 millions de consommateurs avaient transmis leur ADN à quatre grandes bases de données commerciales relatives à l'ascendance et la santé[3]. Dans ce contexte, les données génétiques peuvent être collectées au moyen de kits de tests génétiques utilisés dans le cadre de services de tests génétiques fournis directement aux consommateurs par des entreprises qui communiquent aux clients des détails sur leur ascendance et un niveau d'accès sans précédent à leur génome personnel. En outre, les données génétiques peuvent également être utilisées pour de nouvelles stratégies et pratiques de marketing telles que l'offre de réductions basées sur l'ADN[4] ou de services axés sur l'ADN[5].

Le large éventail d'activités et de finalités qui utilisent les données génétiques ou impliquent leur traitement rend très difficile l’identification exacte des acteurs pertinents dans ce contexte. Toutefois, la liste ci-dessous vise à résumer les principaux acteurs impliqués dans les activités de traitement des données génétiques :

  • Les patients, les consommateurs et, en général, les personnes physiques concernées par les données génétiques ;
  • Les prestataires de soins de santé (y compris les médecins, les cliniques et les hôpitaux) ;
  • Les laboratoires pharmaceutiques ;
  • Les laboratoires et les fournisseurs de tests génétiques ;
  • Les scientifiques, les chercheurs et les milieux universitaires (tels que les universités et les organismes de recherche scientifique) ;
  • Les sociétés et entreprises privées qui s'adressent directement aux consommateurs (telles que celles qui fournissent des services de kits de tests génétiques, des prestations d'ascendance et d'information génétique et, en général, toutes sociétés qui traitent des données génétiques pour des services et des applications commerciales fondés sur l'ADN/la génétique, non mentionnés ci-dessus) ;
  • Les gouvernements et les autorités judiciaires (tels que les agences gouvernementales, les organismes chargés de l’application du droit et les tribunaux) ;
  • Les fournisseurs informatiques et technologiques (tels que les fournisseurs de services informatiques en nuage, de bases de données et les développeurs d'IA).

D'une manière générale, les entités qui traitent des données génétiques agiraient en qualité de responsables du traitement ou de sous-traitants de traitement des données, cas dans lequel des obligations spécifiques contenues dans le RGPD s'appliqueraient, et ces entités seraient chargées de veiller au respect des principes fondamentaux de la protection des données.

Parallèlement, les autorités chargées de la protection des données - en tant que partie prenante responsable du contrôle et du respect des principes et obligations applicables en matière de protection des données - seraient chargées de vérifier que les principes fondamentaux de la protection des données sont respectés par toutes les acteurs du domaine.

[1] Qiang, J.; Wu, D.; Du, H.; Zhu, H.; Chen, S.; Pan, H. Review on Facial-Recognition-Based Applications in Disease Diagnosis. Bioengineering 2022, 9, 273, and Geremek, M.; Szklanny, K. Deep Learning-Based Analysis of Face Images as a Screening Tool for Genetic Syndromes. Sensors 2021, 21, 6595. (en anglais)

[2] Yanan Liu, Na Li, Xiao Zhu, Yi Qi, How wide is the application of genetic big data in biomedicine - ScienceDirect, Biomedicine & Pharmacotherapy, Volume 133, 2021, 111074, ISSN 0753-3322. (en anglais)

[3] Antonio Regalado, More than 26 million people have taken an at-home ancestry test, MIT Technology Review, Feb. 11 2019 (en anglais)

[4] Lilit Marcus, AeroMexico’s new ‘DNA Discount’ ad goes viralCNN Travel, January, 17, 2019 (en anglais)

[5] Spotify are letting you use your DNA to curate tailored playlists, The Music Network, September, 24, 2018 (en anglais)

Définitions

L'autodétermination : En tant que principe général, l'autodétermination a été établie dans le contexte du droit international et correspond au droit légal des peuples à décider de leur propre destin dans l'ordre international. Le principe fondamental de l'autodétermination découle du droit international coutumier et est reconnu dans divers traités internationaux, tels que la Charte des Nations Unies et le Pacte international relatif aux droits civils et politiques.

Cependant, le principe d'autodétermination a une dimension externe et interne[6]. L'autodétermination interne concerne le droit des peuples à se gouverner eux-mêmes sans ingérence extérieure - ce qui sous-tend une dimension relativement personnelle. L'autodétermination externe concerne le droit des peuples à déterminer leur propre statut politique et à être libres de toute ingérence ou domination étrangère, y compris la formation de leur propre État indépendant - ce qui sous-tend une dimension politique et sociale.

Dans le contexte du traitement des données génétiques humaines, la dimension interne du principe d'autodétermination serait exprimée sous la forme d'un droit à l'autodétermination informationnelle. Ce principe a été énoncé pour la première fois par la Cour constitutionnelle fédérale d'Allemagne dans sa décision historique sur la loi fédérale sur le recensement de 1983, communément appelée « Verdict du recensement »[7].

En tant que droit de décider indépendamment et librement de ce qu'il advient des données personnelles d'une personne, l'autodétermination informationnelle protège la personnalité et la vie privée, constituant l'une des idées de base du droit fondamental à la protection des données personnelles, tel qu'établi par l'article 8 de la Charte des droits fondamentaux de l'Union européenne.

Malgré la pertinence de l'autodétermination et du contrôle individuel des données dans le RGPD, le fait est que les données personnelles, y compris les données génétiques, peuvent être traitées sans le consentement du détenteur des données, à condition que certaines conditions soient remplies, et que les autres principes de protection des données soient respectés. Le consentement est l'un des motifs juridiques prévus à l'article 6(1)(a) et à l'article 9(2)(a) du RGPD, mais ces deux articles prévoient d'autres motifs juridiques non liés au consentement.

Licéité, loyauté et transparence - Article 5(1)(a), du RGPD : Les données à caractère personnel doivent être traitées de manière licite, loyale et transparente à l'égard de la personne concernée. Bien que les trois éléments que sont la licéité, la loyauté et la transparence se recoupent en partie, les parties prenantes doivent satisfaire à ces trois exigences de manière égale. Selon ce principe, il ne suffirait pas de prouver que le traitement des données est licite si, dans le même temps, il est déloyal ou non transparent.

Légalité : Les données à caractère personnel doivent être traitées conformément à un article spécifique et préalablement identifié d’un texte juridique obligatoire (base juridique spécifique). Ainsi, les données à caractère personnel peuvent être traitées si elles relèvent des contenus des articles 6 (pour toutes les données à caractère personnel) et 9 (une base juridique supplémentaire pour les données sensibles uniquement) du RGPD. Lorsque l'activité de traitement des données ne repose sur aucune base juridique, le traitement des données est illégal et contraire à ce principe.

Le principe de licéité peut également être interprété dans un sens plus général : le responsable du traitement ne peut pas traiter les données à caractère personnel d'une manière considérée comme illicite au sens général. Cela implique donc le respect d'autres obligations légales, qu'elles soient de nature pénale ou civile. Par exemple, les activités de traitement des données peuvent être considérées comme illégales si elles entraînent une violation de la législation ou de la réglementation propre à un secteur d'activité.

Le RGPD contient également des dispositions détaillées sur la licéité dans ses articles 6 à 10.

Loyauté : Le traitement des données à caractère personnel doit être loyal. Si certains aspects d'une activité de traitement de données à caractère personnel sont déloyaux, ce principe est enfreint, même si le traitement repose sur une base légale.

La loyauté dans le traitement des données signifie que le responsable du traitement doit traiter les données à caractère personnel d'une manière à laquelle les personnes concernées peuvent raisonnablement s'attendre. En outre, cela signifie également que les données à caractère personnel ne doivent pas être utilisées d'une manière qui entraîne des conséquences ou des effets négatifs injustifiés ou disproportionnés pour la personne concernée. Le principe de loyauté est donc étroitement lié au concept de proportionnalité et aux attentes raisonnables de la personne concernée par rapport à ses données personnelles.

La loyauté dans le traitement des données est également liée à la méthode particulière utilisée pour leur collecte. Par exemple, si la personne concernée est trompée ou induite en erreur au cours de l'opération de collecte des données à caractère personnel, il y a de fortes chances que cette activité de traitement des données soit déloyale.

Pour déterminer si un traitement de données à caractère personnel est loyal, il convient d'examiner la manière dont il affecte les intérêts et les droits fondamentaux des personnes concernées. Toutefois, il convient de noter que les données à caractère personnel peuvent parfois être utilisées d'une manière qui affecte négativement une personne concernée sans être nécessairement déloyale.

Transparence : Le principe de transparence est fondamentalement lié au principe de loyauté. La transparence signifie que les activités de traitement des données doivent être menées de manière claire, ouverte et honnête et que la personne concernée doit recevoir des informations complètes mais tangibles (sous une forme aisément accessible, et formulée en des termes clairs et simples) concernant tous les aspects liés aux activités de traitement des données, tels que l'identité et les caractéristiques du responsable du traitement des données et du sous-traitant (le cas échéant), les raisons et les modalités de ces activités de traitement des données, les finalités pour lesquelles les données à caractère personnel sont utilisées, et si des transferts de données à caractère personnel auront lieu, parmi d'autres informations pertinentes.

Ces informations sont essentielles pour permettre à la personne concernée d'évaluer correctement et équitablement les activités de traitement des données, ce qui est fondamental pour qu'elle puisse choisir de poursuivre ou non les activités impliquant un tel traitement de données.

Conformément au RGPD, la transparence des opérations de traitement des données exige que les personnes concernées soient informées conformément aux articles 12, 13 et 14.

Limitation des finalités - Article 5(1)(b) du RGPD : Le principe de limitation des finalités exige que les données à caractère personnel soient collectées et traitées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités préalablement définies (en substance, la finalité doit être définie avant la collecte). Cela signifie également que le responsable du traitement doit clairement définir et indiquer quelle est cette finalité, et que les données à caractère personnel collectées doivent correspondre aux données à caractère personnel nécessaires à la réalisation de cette finalité.

Il existe toutefois quelques exceptions au principe de limitation des finalités :

  1. Lorsque la personne concernée donne son consentement (considérant 50 et article 6(4) du  RGPD).
  2. Lorsque la finalité secondaire est autorisée par le droit européen ou national (considérant 50 et article 6(4) du RGPD).
  3. Lorsque la finalité secondaire répond aux exigences de l'exception dite de recherche scientifique ou historique, (article 5(1)(b), et de l’article 89(1) du RGPD).
  4. Lorsque - conformément à la deuxième partie de l'article 5(1)(b) - la finalité secondaire n'est pas incompatible avec la finalité initiale, qui est évaluée selon le « test de compatibilité » (considérant 50 et article 6(4) du RGPD).

Minimisation des données - Article 5(1)(c) du RGPD : La minimisation des données signifie que les opérations de traitement des données ne doivent comporter que la collecte et le traitement de données adéquates, pertinentes et limitées à ce qui est nécessaire pour atteindre la finalité correspondante. Cela signifie que la quantité et la qualité des données doivent être limitées au minimum nécessaire au regard des objectifs poursuivis.

Exactitude - Article 5(1)(d) du RGPD : Les données à caractère personnel doivent être exactes et, si nécessaire, tenues à jour. Cela signifie que les responsables du traitement sont tenus de prendre des mesures raisonnables pour assurer la suppression ou la rectification des données à caractère personnel qui sont inexactes ou fausses, compte tenu des finalités pour lesquelles elles sont traitées. Les personnes concernées ont le droit de demander à ce que les données inexactes ou incomplètes soient effacées ou rectifiées dans un délai de 30 jours.

Limitation de la durée de conservation - Article 5(1)(e) du RGPD : Les données à caractère personnel doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées. Les données à caractère personnel ne peuvent être stockées ou conservées pour des périodes plus longues que nécessaire. Afin de garantir que les données à caractère personnel ne sont pas conservées plus longtemps que nécessaire. Des délais et des politiques de conservation des données doivent être établis par le responsable du traitement des données en matière d’effacement ou de révision périodique.

Intégrité et confidentialité - Article 5(1)(e) du RGPD : Les données à caractère personnel doivent être traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle. Le responsable du traitement doit s'assurer qu'il a mis en place les mesures de sécurité techniques ou organisationnelles appropriées pour protéger les données à caractère personnel.

FAIR (de l’anglais Findable, Accessible, Interoperable, Reusable / Faciles à trouver, Accessibles, Interopérables et Réutilisables) : Ce principe/acronyme a été suggéré par la communauté scientifique[8] comme un principe pertinent dans le domaine des données à caractère personnel, mais il n'est pas reconnu dans le RGPD, et peut être en contradiction avec son esprit et son contenu. C'est dans le futur Espace européen des données de santé (EHDS) que le principe FAIR trouvera une reconnaissance adéquate. Compte tenu de l'importance et de la complexité des données génétiques humaines et des informations fondées sur l'ADN, il est primordial de veiller à ce que les données génétiques humaines respectent les normes les plus élevées en matière de science des données. Cela est particulièrement important dans les situations où ces données sont traitées par des moyens numériques, automatisés ou électroniques.

Sous réserve que toutes les mesures de sécurité soient en place (par exemple, l'authentification, le cryptage, la pseudonymisation, entre autres), il est important de souligner les avantages à ce que les données génétiques humaines soient trouvables, accessibles, interopérables et réutilisables, afin d'en assurer une gestion et un traitement fluides, efficaces et sûrs.

Les principes FAIR mettent l'accent sur la capacité des systèmes informatiques à trouver, accéder, interopérer et réutiliser les données (c'est-à-dire la capacité d’action de la machine), sur le droit de la personne concernée d’accéder aux données à caractère personnel et à les recevoir dans un format structuré, couramment utilisé et lisible par machine, ainsi que sur le droit de transférer ces données à une autre partie sans obstacle.

Étant donné que le traitement des données génétiques humaines repose de plus en plus sur des réseaux informatiques et implique un volume, une complexité et une vitesse de plus en plus élevés, la nécessité de l'intégration des données et de l'interopérabilité avec les applications et les flux de travail pour l'analyse, le stockage et le traitement peut être assurée par le respect des principes FAIR et des obligations générales de protection des données établies par le RGPD, notamment en matière de sécurité, de disponibilité, de confidentialité et d'intégrité des données.

[6] Legal Aspects of Self-Determination | The Princeton Encyclopedia of Self-Determination (en anglais)

[7] Bundesverfassungsgericht - Decisions - On the constitutionality of the 1983 Census Act (en anglais)

[8] Wilkinson, Mark D.; Dumontier, Michel; Aalbersberg, IJsbrand Jan; Appleton, Gabrielle; et al. (15 March 2016). "The FAIR Guiding Principles for scientific data management and stewardship". Scientific Data. 3: 160018. doi:10.1038/sdata.2016.18 (en anglais)

Enjeux

La nature intrinsèque et les caractéristiques des données génétiques humaines

Le Document de travail sur les données génétiques du groupe de travail de l’article 29 sur la protection des données a mis en évidence certaines des caractéristiques qui rendent les données génétiques si uniques et si sensibles. Par exemple : (p. 4-5)

  • Les données génétiques sont uniques et distinguent un individu des autres ;
  • Les données génétiques peuvent également révéler des informations sur les consanguins de cet individu (famille biologique) y compris dans les générations antérieures et postérieures, et avoir des implications juridiques pour eux ;
  • Les données génétiques peuvent caractériser un groupe d'individus (par exemple, les communautés ethniques) ;
  • L’information génétique est souvent inconnue du porteur lui-même et ne dépend pas de la volonté individuelle de celui-ci étant donné que les données génétiques sont en principe non modifiables (il est important de rappeler, cependant, que les développements scientifiques contemporains permettent la modification des données génétiques via, par exemple, les technologies d'édition génomique telles que CRISPR) ;
  • Les données génétiques peuvent être aisément obtenues ou extraites de matières premières bien que ces données puissent parfois être de qualité discutable ;
  • Compte tenu des évolutions de la recherche, les données génétiques pourront révéler davantage d'informations à l'avenir, et être utilisées par un nombre croissant d'organismes à des fins diverses.

Les caractéristiques ci-dessus, et d'autres encore, illustrent la nature très particulière des données génétiques humaines, qui pose des défis considérables dans l'application du droit et des principes relatifs à la protection des données. Entre autres défis, le traitement des données génétiques humaines présente un conflit entre deux intérêts essentiels qu'il convient d'équilibrer. D'une part, les droits et les intérêts des personnes dont les données génétiques sont traitées, ainsi que l'intérêt général à protéger la vie privée et, en même temps, à contrôler l'utilisation des données génétiques humaines et des technologies associées afin d'en garantir la licéité, l'équité et la transparence. D'autre part, les intérêts liés à l’utilisation des données génétiques humaines pour le progrès de la science, la recherche médicale et d'autres finalités qui contribuent au progrès, au développement et au bien-être de la société, notamment dans les domaines de la biologie et de la biotechnologie, de la santé et de la sécurité.

La dimension collective des données génétiques humaines

En raison de caractéristiques génétiques biologiques communes, le traitement des données génétiques peut permettre d'évaluer des risques pour la santé ou de déterminer des relations biologiques concernant non seulement la personne concernée, mais aussi d'autres personnes, y compris des membres de la famille élargie. Ainsi, les opérations de traitement des données peuvent non seulement affecter le droit à la vie privée d'une personne, mais aussi avoir des conséquences sur la vie privée d'un groupe de personnes.

Cela soulève des questions juridiques très importantes et complexes, liées à la confidentialité des données, telles que le droit d'accès aux informations génétiques par la famille biologique de la personne concernée. Dans ce contexte, il est difficile de trouver un équilibre entre le droit de la personne concernée de ne pas divulguer (ou de divulguer) ses informations génétiques, et les implications et conséquences potentielles de leur divulgation (ou non-divulgation) pour les membres de la famille. En substance, deux grandes questions se posent (et sont liées entre elles) : i) les données génétiques appartiennent-elles exclusivement à la personne auprès de laquelle elles sont collectées ou au contraire à un groupe de personnes ? ii) les membres de la famille ont-ils le droit d'accéder à ces données en l'absence du consentement de la personne concernée ?

Dans son Document de travail sur les données génétiques, le groupe de travail Article 29 sur la protection des données (ci-après « WP29 » ou « Groupe de travail »), a déclaré que « Dans la mesure où les données génétiques ont une dimension familiale, on peut faire valoir l’argument suivant lequel il s’agit d’ « informations partagées », les membres de la famille disposant d’un droit à l’information pouvant avoir des répercussions pour leur propre santé et leur vie future ».

Cela aurait toutefois des conséquences majeures sur l'interprétation et l'application du droit et des principes relatifs à la protection des données. Une telle solution impliquerait, par exemple, que d'autres membres de la famille puissent également être considérés comme des « personnes concernées » ou, alternativement, que, bien que n'étant pas considérés comme des personnes concernées par ces données, les membres de la famille aient néanmoins le droit d'accéder à ces informations et de les recevoir en raison de l'importance des intérêts en jeu de leur point de vue (traditionnellement, l'exercice du droit d'accès et d'information est généralement subordonné juridiquement à la condition de la personne concernée et n'est pas exercé par des tiers en son nom).

La plupart des instruments juridiques pertinents régissant la protection des données ont une approche individualiste des principes de protection des données qui remet en cause ou, du moins, semble légèrement incompatible avec les questions juridiques soulevées par la nature et les caractéristiques des données génétiques humaines. Il convient toutefois de noter que d'autres instruments pertinents, tels que la Recommandation N° R (97) 5 du Comité des Ministres aux Etats membres sur la protection des données médicales, le Statement on DNA Sampling  (Déclaration sur le prélèvement d'ADN du Human Genome Organisation (HUGO), en anglais) et la Déclaration internationale sur les données génétiques humaines de l'UNESCO de 2003, ont une approche différente qui prend en compte « l'impact significatif sur la famille », en se référant aux caractéristiques au sein d'un « groupe de personnes apparentées », ainsi qu'aux informations concernant les « membres de la famille de l'individu », en allant jusqu'à déclarer qu' « une attention particulière devrait être accordée à l'accès par les parents proches ».

Base juridique, finalités et droits dans le cadre du traitement des données génétiques humaines

Compte tenu de la diversité des utilisations qui peuvent être faites des données génétiques humaines, de la vaste palette d'informations qui peuvent être extraites de leur traitement, ainsi que de la quantité et de la qualité des différentes finalités pour lesquelles ces données peuvent être utilisées et traitées après leur collecte, il peut être souvent difficile pour les responsables du traitement de déterminer de manière précise et opportune les finalités, la base juridique et les règles de protection des données associées à ces activités. Par exemple, les particularités du traitement des données génétiques humaines rendent difficile le respect des principes de limitation des finalités, de minimisation des données et d'exactitude, en particulier à la lumière de la complexité et de la sensibilité des informations extraites des données génétiques - qui comportent un risque substantiel d'utilisation abusive et/ou de réutilisation via une analyse complémentaire des données d'origine.

En outre, la détermination de ces éléments (tels que la base juridique et la finalité du traitement des données) devra très probablement intervenir avant que les opérations de traitement des données n'aient lieu, à un stade très précoce (les responsables du traitement des données devraient déterminer et expliquer clairement les détails du traitement des données aux personnes concernées dès le départ) et dans des termes qui peuvent compromettre la tâche consistant à déterminer correctement les exigences juridiques correspondantes. Par exemple, les conclusions qui seront tirées du traitement des données génétiques humaines, ainsi que le contexte spécifique et les fins auxquelles ces données seront utilisées, peuvent ne pas être entièrement connus au moment de la collecte (et peuvent varier en fonction de plusieurs facteurs dynamiques, tels que le temps, le budget, les capacités techniques, entre autres). Ce serait probablement le cas dans le contexte de projets de recherche médicale et scientifique à long terme lorsqu'ils en sont à un stade précoce.

La détermination de la base juridique conformément aux articles 6 (licéité du traitement) et 9 (traitement de catégories particulières de données à caractère personnel) du RGPD dépend de la finalité spécifique pour laquelle ces données seront utilisées. Cette dernière aura un impact significatif sur l'application et la pertinence des droits de la personne concernée. Tous ces éléments sont liés d'une manière ou d'une autre, et varient considérablement en fonction du contexte, de la réalité opérationnelle et de l'environnement dans lesquels les données génétiques humaines doivent être traitées. Cela signifie qu'il peut être difficile de déterminer avec le degré de précision nécessaire les droits et les obligations qui découlent d'un traitement de données particulier. Cela pourrait compromettre le respect des droits des personnes concernées, et en conséquence, les activités du responsable du traitement des données.

En outre, la manière spécifique, dont certains principes et droits doivent être appliqués, n'est pas toujours très claire dans un contexte de traitement de données génétiques humaines.

Par exemple, le principe d'exactitude des données et le droit de rectification peuvent s’avérer problématiques car le traitement des données génétiques comprend souvent des observations et des résultats susceptibles de contenir des erreurs qui sont maintenues intentionnellement dans certaines proportions à diverses fins (par exemple, pour évaluer et améliorer en permanence l'efficacité et la pertinence de l'analyse des données génomiques). Ou encore, le fait que certaines conclusions issues des résultats du traitement des données génétiques peuvent être une question de point de vue scientifique qui dépend de plusieurs facteurs, tels que les connaissances scientifiques disponibles ou des domaines scientifiques spécifiques. De même, malgré l'existence de certaines méthodes et technologies de modification des données génétiques, par exemple les technologies d'édition génomique et de génie génétique, les données génétiques et les supports dans lesquels elles sont conservées présentent des caractéristiques fondamentales non modifiables qui rendent leur rectification difficile.

Non-discrimination et non-stigmatisation

Les caractéristiques des données génétiques humaines (telles que leur caractère permanent et essentiellement irrévocable) entraînent de graves risques de traitement discriminatoire ou stigmatisant, par exemple dans les contextes de l'emploi et de l'assurance :

- Dans un contexte d'emploi : scénario dans lequel un employeur décide de licencier un travailleur sur la base du fait que cet employé a une prédisposition génétique au cancer et qu'il pourrait donc être en congé maladie pendant plusieurs mois. 

- Dans un contexte d’assurance : scénario dans lequel la compagnie d'assurance pourrait refuser une police d'assurance maladie sur la base de la connaissance de la prédisposition génétique de l'individu à développer un cancer. 

Le groupe de travail Article 29 sur la protection des données estime que le traitement des données génétiques dans le contexte de l'emploi devrait être interdit en principe. Ce traitement ne devrait être autorisé que dans des circonstances exceptionnelles. La Recommandation CM/Rec(2015)5 du Comité des Ministres aux Etats membres sur le traitement des données à caractère personnel dans le cadre de l'emploi souligne que les données génétiques humaines ne doivent pas être traitées à des fins liées à l'appréciation ou à l'évaluation de l'aptitude professionnelle/du rendement d’employés ou des candidats à l'emploi, même si la personne concernée a donné son consentement à un tel traitement (Article 9.3).

En même temps, le Groupe de travail considère que le traitement des données génétiques à des fins d'assurance devrait être interdit en principe, et n'être autorisé que dans des circonstances exceptionnelles, qui doivent être clairement précisées par la loi. Le Groupe de travail souligne en outre que « dans le domaine de l'assurance, l'utilisation des données génétiques pourrait générer une discrimination à l'encontre du preneur d’assurance ou des membres de sa famille, en raison de leur profil génétique » (p. 10). La Recommandation CM/Rec(2016)8 du Comité des Ministres aux Etats membres sur le traitement des données à caractère personnel relatives à la santé à des fins d’assurance, y compris les données résultant de tests génétiques prévoit des dispositions concrètes visant à prévenir la discrimination génétique dans le contexte de l'assurance, telles que la pratique de tests génétiques prédictifs et l'imposition de taxes et primes d'assurance plus élevées basées sur le risque accru d'une personne sur la base de conclusions issues du traitement de données génétiques. (Principe 4)

En outre, l'utilisation de données biométriques et génétiques a également été observée dans la création de bases de données massives avec des profils génétiques pour une série d'objectifs qui peuvent interférer avec le droit fondamental des personnes concernées à la protection des données. Par exemple, les données génétiques humaines peuvent être traitées par les forces de l’ordre dans le cadre d'enquêtes criminelles et sont souvent conservées au niveau gouvernemental à diverses fins (même si le traitement des données à des fins judiciaires n'est pas régi par le RGPD (article 10), mais par la Directive 2016/680). Ces données peuvent souvent être stockées indépendamment du résultat ou de l'objectif de ces activités. Par ailleurs, l'accès à ces profils et données génétiques et leur utilisation se fait souvent sans que les personnes concernées en soient conscientes ou y consentent.

Enfin, l'intégration de données génétiques humaines dans d'autres ensembles de données permet d'établir des liens entre différents types de données à caractère personnel (telles que des coordonnées ou une adresse) et peut permettre de suivre et de surveiller une personne à partir de plusieurs points de données différents et avec un niveau de détail sans précédent, ce qui peut l'affecter d'une manière qu'elle ne souhaite pas et à laquelle elle ne s'attend pas. Par exemple, dans les applications de données génomiques telles que les tests génétiques effectués directement auprès des consommateurs, les données peuvent ensuite être utilisées pour cibler des profils et établir des stratégies commerciales sur la base des informations génétiques d'une personne combinées à d'autres données à caractère personnel.

Le traitement des données génétiques humaines peut également « redéfinir les relations familiales, par exemple en confirmant ou en infirmant la paternité, en localisant des parents précédemment inconnus ou en identifiant des donneurs de gamètes anonymes. (...) Ainsi, lorsqu'ils conçoivent, mènent et débattent de leurs recherches, les chercheurs doivent tenir compte de la manière dont les données génomiques sont utilisées et de la manière dont le type d'utilisation influe sur le contrôle ou non des données en dehors du cadre de la recherche »[9].

Le principe de l'interdiction de la discrimination et/ou de la stigmatisation, la protection de la dignité de tous les êtres humains et de leurs droits et libertés fondamentales à l'égard du traitement des données génétiques ont été renforcés par plusieurs instruments juridiques, tels que les considérants du RGPD, la Convention 108 modernisée (ci-après également « Convention 108 + ») et la Convention sur les Droits de l'Homme et la biomédecine du Conseil de l'Europe.

Durée de conservation

La question de la durée de conservation des données est un autre sujet extrêmement important dans le contexte du traitement des données génétiques humaines. En résumé, le principe de limitation de la conservation signifie que les données à caractère personnel ne doivent pas être conservées plus longtemps qu'il n'est nécessaire.

Dans le contexte de la recherche médicale et scientifique, l'application de ce principe n'est cependant pas aussi simple qu'on pourrait le penser. Entre autres, pour deux raisons principales : (i) une part importante des données génétiques humaines traitées à des fins de recherche médicale et scientifique est souvent collectée dans un autre contexte, par exemple dans un contexte clinique et de soins de santé, et le traitement de ces données constitue parfois une activité de traitement ultérieure en vertu de l'article 6(4) (test de conformité), ou de l'article 89(3) (exception en matière de recherche) du RGPD ; (ii) la plupart des données utilisées dans ce contexte sont soumises à un processus numérique ou automatisé qui vise à masquer l'identité de la personne concernée. Cependant, ces processus ne garantissent pas toujours l'anonymisation totale et irréversible des données en question, mais sont plutôt de simples processus de pseudonymisation ou de cryptage dans le cadre desquels un lien avec l'identité de la personne concernée d'origine est toujours conservé. 

En règle générale, les données génétiques collectées à des fins de recherche devraient être anonymes. Cela permettrait de respecter le principe de limitation de la conservation. Toutefois, plusieurs activités scientifiques et médicales qui utilisent des données génétiques humaines exigent que les résultats de leur analyse puissent être reliés à une personne, et ce lien est souvent nécessaire pour atteindre les objectifs de la recherche elle-même.

En même temps, les caractéristiques des données génétiques humaines, telles que l'ADN stocké, pourraient permettre un lien permanent avec une personne particulière (même si cette personne n'est pas directement identifiée par d'autres facteurs tels que le nom ou le sexe), étant donné que certains facteurs génétiques sont, en eux-mêmes, des identifiants d'une personne physique (c'est-à-dire que ces facteurs peuvent faire indissociablement partie de l'identité d'une personne, sans qu'il soit nécessaire de l'identifier davantage par d'autres moyens).

Comme le mentionne le Document de travail sur les données génétiques du groupe de travail Article 29 sur la protection des données, « Selon la définition donnée par un groupe mis en place par le gouvernement danois en vue d'évaluer la nécessité de faire de nouvelles propositions de loi au Danemark, une biobanque est définie comme une collection structurée de matériel biologique humain accessible selon certains critères et où l'information contenue dans le matériel biologique peut être rattachée à des individus » (p. 12).

En outre, il est important de rappeler que plusieurs juridictions prévoient l'obligation de conserver certaines données pendant de longues périodes, telles que les données relatives aux essais cliniques. Le Règlement (UE) no 536/2014 du Parlement européen et du Conseil du 16 avril 2014 relatif aux essais cliniques de médicaments à usage humain, par exemple, prévoit dans son article 58 l'archivage du contenu du dossier principal de l'essai clinique par le promoteur et l'investigateur pendant au moins 25 ans après la fin de l'essai clinique - ces dossiers médicaux doivent être conservés conformément au droit national.

De même, selon le Document de travail sur les données génétiques du groupe de travail Article 29 sur la protection des données, 
« L'autorité néerlandaise de protection des données a été confrontée à des cas où l'anonymisation ou la suppression de données contenues dans des biobanques était de nature à diminuer la valeur et la fonction de ces bases de données, dans la mesure où les données ne peuvent plus être rattachées à des individus identifiables. C'est le cas, par exemple, pour des bases de données destinées à des recherches longitudinales, portant quelquefois sur plusieurs générations, comme pour l’enregistrement des cas de cancers. Dans ces domaines, il y a lieu de tenir compte des arguments favorables à une plus longue période de conservation des informations » (p. 12).

Cela montre que, dans certains cas, il est difficile de trouver un équilibre entre le besoin de stockage et de conservation des données et le principe de limitation du stockage et, en même temps, que l'application de ce dernier dans le contexte du traitement des données génétiques humaines à des fins de recherche n'est pas toujours tout à fait claire.

La conservation de données génétiques humaines à des fins d'enquête criminelle est un cas différent. Cette question n'est pas régie par le RGPD, mais par la Directive 2016/680. L'article 5 de la Directive 2016/680 intitulé « Délais de conservation et d’examen », stipule que « Les États membres prévoient que des délais appropriés sont fixés pour l'effacement des données à caractère personnel ou pour la vérification régulière de la nécessité de conserver les données à caractère personnel. Des règles procédurales garantissent le respect de ces délais ».

Selon l'article 11 de la Convention 108 +, toute exception aux principes applicables au traitement des données génétiques humaines, y compris la limitation de la conservation, doit constituer une mesure nécessaire et proportionnée à la poursuite des finalités prévues par la loi.

La Cour européenne des droits de l'homme est à l'origine d'un arrêt de principe en la matière. Dans l'affaire S. et Marper c. Royaume-Uni (2008)[10], la Cour européenne des droits de l'homme a décidé que la conservation indéfinie de données biométriques et génétiques (telles que des empreintes digitales, des échantillons cellulaires et des profils ADN) après la fin de l'enquête menée contre le suspect ne constituait pas une mesure nécessaire et proportionnée dans une société démocratique.

De même, dans l'affaire M.K. contre France (2013)[11], la Cour européenne des droits de l’homme a conclu à la violation de l'article 8 de la Convention européenne des droits de l'homme car la conservation des données d'une personne innocente pendant 25 ans n'était pas nécessaire dans une société démocratique.

Conformément au paragraphe 8 de la Recommandation n° R (92) 1 du Comité des ministres du Conseil de l'Europe sur le recours à l'analyse de l'acide désoxyribonucléique (ADN) dans le cadre du système de justice pénale : « Les échantillons prélevés sur le corps d'individus aux fins d'analyse de l'ADN ne doivent pas être conservés une fois que la décision finale a été rendue dans l'affaire en vue de laquelle ils ont été utilisés, à moins qu'une telle conservation ne s'impose pour des besoins directement liés à ceux en vue desquels ils ont été prélevés ». En outre, « Il faut veiller à effacer les données des analyses de l'ADN et les informations obtenues au moyen de ces analyses dès lors qu'il n'est plus nécessaire de les conserver aux fins en vue desquelles elles ont été utilisées. Les données des analyses de l'ADN et les informations ainsi recueillies peuvent toutefois être conservées lorsque l'intéressé a été reconnu coupable d'infractions graves portant atteinte à la vie, à l'intégrité ou à la sécurité des personnes. En prévision de tels cas, la législation nationale devrait fixer des délais précis de conservation ».

(Cyber)sécurité

Compte tenu de la sensibilité et de la valeur des données génétiques humaines, et du fait que l'informatique dématérialisée et d'autres technologies de stockage et de partage des données deviennent de plus en plus importantes pour le stockage et l'analyse des données génétiques, ces données peuvent être la cible d'attaques de cybersécurité et de tentatives d'intrusion extérieure. L'intégrité et la sécurité des réseaux et des technologies utilisés pour le traitement de ces données est donc un aspect vital. À cet égard, la mise en œuvre de mesures techniques et organisationnelles appropriées est de la plus haute importance pour tous les acteurs concernés.

La fragmentation juridique

L'un des principaux défis sous-jacents et transversaux est la fragmentation réglementaire et juridique, en particulier dans le contexte du droit international ou régional. Malgré l'existence d'instruments juridiques internationaux et européens (contraignants ou non), l'interprétation divergente et redondante des règles et des termes introduits dans le droit international et européen peut potentiellement rendre les règles, les meilleures pratiques, les lignes directrices et les normes existantes inefficaces ou inapplicables. D'autant plus que les activités de traitement des données génétiques humaines sont souvent effectuées dans un contexte transfrontalier.

À cet égard, le développement de la science et de la technologie augmente le nombre d'entités publiques et privées engagées dans des activités de traitement de données humaines, ce qui entraîne une augmentation généralisée des activités législatives et réglementaires et, en fin de compte, l'émergence de règles nationales et internationales en matière de protection des données dans le contexte du traitement des données génétiques humaines.

En résumé, il existe plusieurs instruments juridiques internationaux qui contiennent des définitions et des règles essentielles relatives au traitement des données génétiques humaines (par exemple, le RGPD, la Convention 108 + ou la Recommandation N° R (97) 5 du Comité des Ministres aux Etats membres sur la protection des données médicales), ainsi que les pouvoirs importants d'institutions internationales et européennes, tels que la Commission européenne. Néanmoins, il convient de noter que « le contrôle et la mise en œuvre de l’application de la législation en matière de protection des données relèvent essentiellement de la compétence des autorités nationales, en particulier des autorités et des juridictions chargées de la protection des données »[12]. En outre, conformément à l'article 9(4) du RGPD, les États membres peuvent prévoir d'autres conditions ou limitations concernant le traitement des données génétiques, biométriques ou relatives à la santé.

Environnement très dynamique et en rapide évolution

Comme indiqué précédemment dans la section « acteurs principaux », les données génétiques humaines sont de plus en plus pertinentes pour une grande variété d’objectifs, tant scientifiques que commerciaux. L'évolution de la science des données génétiques et des technologies de traitement rend beaucoup plus difficile la lutte contre les risques et les menaces correspondants, ainsi que l'adaptation du cadre et des principes juridiques actuels afin de protéger de manière adéquate les droits fondamentaux des personnes concernées. Compte tenu de l'évolution constante des conditions du développement technologique et scientifique, il est difficile de conserver la flexibilité et l'adéquation tout en se conformant aux dispositions et principes juridiques (qui peuvent devenir obsolètes).

Le cadre juridique actuel vise à relever ces défis en conservant un langage délibérément général, flexible et large (à la fois en termes de définitions et de principes). La définition des données génétiques dans le RGPD en est un exemple : elle est détaillée mais repose en même temps sur des termes généraux afin de ne pas perdre de sa pertinence. L'article 4 du RGPD, par exemple, décrit les données génétiques comme des données à caractère personnel obtenues à partir de l'analyse d'échantillons biologiques. En soi, cette définition pourrait être insuffisante pour appréhender l'ensemble de la réalité. Toutefois, l'interprétation conjointe de l'article 4 (qui utilise le terme « notamment », ce qui suggère qu'il s'agit d'une définition non exhaustive) et du considérant 34[13], selon lequel les données génétiques sont également obtenues à partir de l'analyse d'autres éléments (et pas seulement d'échantillons biologiques), fournit une définition conceptuelle globale visant à inclure des réalités qui peuvent ne pas être connues à l'heure actuelle.

Néanmoins, la technologie génétique n'a commencé à être largement utilisée que récemment, et on peut raisonnablement présumer que les techniques d'analyse des données génétiques ne feront qu'augmenter en complexité et en dimension. Le développement agile et les évolutions rapides de ces processus, ainsi que la réduction attendue des coûts, illustrent un avenir qui pourrait comporter des enjeux juridiques complexes en matière de protection des données dans le contexte du traitement des données génétiques humaines [14]. Ces enjeux deviennent de plus en plus pertinents à la lumière des nouveaux risques et menaces et de la nécessité de fournir des sauvegardes et garanties juridiques appropriées qui ne sont peut-être pas encore en place.

[9] Wan, Z., Hazel, J.W., Clayton, E.W. et al. Sociotechnical safeguards for genomic data privacyNature Reviews Genetics 23, 429-445 (2022). (en anglais)

[10] Affaire S. et Marper c. Royaume-Uni, requêtes n° 30562/04 et 30566/04, 4 décembre 2008, CEDH [GC].

[11] Affaire M.K. c. France, requête n° 19522/09, 18 avril 2013, CEDH.

[12] Parlement européen (Commission des pétitions), Communication aux membres sur l’amélioration de la protection des données génétiques relatives aux citoyens de l’Union européenne, 15/03/2019.

[13] Christopher Kuner, Lee A. Bygrave, Christopher Docksey, The EU General Data Protection Regulation (GDPR): A Commentary, Oxford University Press, 2020, p. 201. (en anglais)

[14] Exposé des motifs de la  Recommandation CM/Rec(2019)2 du Comité des Ministres aux États membres sur la protection des données relatives à la santé, par. 69.

Opportunités et incitations

Malgré tous les enjeux présentés ci-dessus, le traitement des données génétiques humaines est essentiel pour un large éventail d'activités dans notre société et, comme indiqué précédemment, les futures avancées technologiques et scientifiques permettront d’exploiter tout le potentiel qui pourrait être atteint grâce au traitement des données génétiques.

En particulier dans les secteurs de la santé, de la médecine et de la pharmacie, notamment dans l’environnement des laboratoires de recherche universitaires, la recherche fondée sur les données génétiques humaines est d'une importance capitale. À cet égard, il est essentiel de souligner que les instruments juridiques internationaux, régionaux et nationaux prévoient un plus grand degré de liberté et un traitement juridique moins exigeant en ce qui concerne le traitement des données génétiques humaines à des fins de recherche et d'archivage dans l'intérêt public, ainsi qu'à des fins scientifiques, historiques ou statistiques.

En fait, bien que la Convention 108 + établisse que le traitement des données génétiques humaines doit être effectué sur la base du consentement libre, spécifique, éclairé et univoque de la personne concernée ou d'un autre motif légitime prévu par la loi, et que le RGPD établisse que le traitement de catégories spéciales de données (qui incluent les données génétiques humaines) est interdit à moins que des exceptions spécifiques définies par le règlement ne s'appliquent, les deux instruments juridiques établissent des dérogations claires concernant le traitement des données génétiques humaines à des fins d'archivage dans l'intérêt public, à des fins de recherche scientifique ou historique, ou encore à des fins statistiques.

Indépendamment de cela, ce traitement devrait être fondé sur la loi et soumis à des garanties appropriées. Par exemple, dans certains cas, il peut être exigé que la personne concernée ne soit pas identifiable grâce à des mesures techniques et organisationnelles telles que l'anonymisation (par exemple, dans les résultats ou les statistiques qui découlent de ce traitement de données). Toutefois, si l'identité de la personne concernée est essentielle pour l'activité de traitement, une exception à cette règle peut éventuellement être applicable.

Le RGPD contient plusieurs exemptions aux principes de protection des données personnelles et restreint quelque peu les droits de la personne concernée dans l'intérêt de la science, comme des dérogations spécifiques aux principes de limitation de la finalité et de limitation de la conservation. Ainsi, l'article 5 prévoit que le traitement ultérieur de données à caractère personnel est autorisé à des fins de recherche scientifique et ne doit pas être considéré comme incompatible avec les finalités initiales, et que les données à caractère personnel peuvent être conservées plus longtemps à ces fins.

De plus, l'article 14(5), du RGPD prévoit une exception aux obligations d'information du responsable du traitement dans les cas où les données à caractère personnel n'ont pas été collectées auprès de la personne concernée, si la fourniture de ces informations implique un effort disproportionné pour le traitement à des fins archivistiques, de recherche scientifique ou historique. Des exceptions similaires s'appliquent au droit à l'oubli (article 17 du RGPD) et au droit d'opposition (article 21 du RGPD) en cas de traitement de données à des fins de recherche scientifique.

Étapes pratiques

Comme indiqué précédemment, le traitement des données génétiques est généralement interdit, sauf si l'une des exemptions et conditions prévues à l'article 9(2), du RGPD est remplie. 

Ainsi, la première et principale mesure pratique que devrait prendre un potentiel responsable du traitement des données génétiques humaines est d'évaluer si les données qui doivent être traitées sont en fait des données à caractère personnel et, en outre, si ces données constituent des données génétiques, c'est-à-dire une catégorie particulière de données.

Une fois cette évaluation réalisée, il est primordial d'évaluer et de déterminer les finalités, la base juridique et les garanties de protection des données associées à ces activités. Le traitement licite, loyal et transparent des données génétiques humaines implique, entre autres, les aspects suivants : i) le responsable du traitement a identifié une base juridique appropriée (conformément aux articles 6 et 9 du RGPD, cumulativement) ; ii) les activités conduites avec ces données à caractère personnel ne sont pas illégales au sens général ; iii) le responsable du traitement a évalué et examiné les manières dont le traitement peut affecter les droits des personnes concernées (y compris les tests de pondération, les contrôles de proportionnalité et les analyses d'impact nécessaires) ; iv) les données à caractère personnel seront traitées d'une manière à laquelle la personne concernée peut raisonnablement s'attendre (ou d'une manière que le responsable du traitement est en mesure d'expliquer et de justifier de manière claire et transparente) ; v) les activités de collecte et de traitement des données ne trompent pas les personnes concernées et ne les induisent pas en erreur.

Souvent, le traitement des données génétiques peut être basé sur le consentement de la personne concernée. Dans ce contexte, il est essentiel de s'assurer que ce consentement est volontaire, clairement exprimé, libre et éclairé, au moyen d’une déclaration écrite ou orale. Le consentement doit donc être donné par une déclaration ou par un acte positif clair. L'inactivité, les comportements passifs, les formulaires pré-validés ou les cases cochées par défaut ne constituent pas un consentement (considérant 32 du RGPD). En outre, la personne concernée a le droit de retirer son consentement à tout moment, sans préjudice des activités de traitement des données réalisées jusqu'à ce retrait.

Le responsable du traitement doit fournir à la personne concernée des informations appropriées sur les finalités du traitement des données génétiques humaines, les risques et les conséquences associés au traitement de ces données, ainsi que la possibilité de transférer les données à caractère personnel à des sous-traitants (en substance, des entités qui traitent les données à caractère personnel pour leur compte). En ce qui concerne ces derniers, des mesures devraient être mises en place et des instructions devraient être données par le responsable du traitement au sous-traitant (par exemple au moyen de documents contractuels tels que des accords sur le traitement des données) afin de garantir que toutes les activités de traitement entreprises par le sous-traitant sont licites, loyales, transparentes et sûres.

En outre, le principe de non-discrimination et de non-stigmatisation implique que le traitement des données génétiques humaines ne soit pas utilisé à des fins discriminatoires qui visent à porter atteinte, ou ont pour effet de porter atteinte, aux droits de l'homme, aux libertés fondamentales ou à la dignité humaine d'une personne, ou à des fins qui conduisent à la stigmatisation d'une personne, d'une famille, d'un groupe ou d'une communauté. Le principe de l'interdiction de la discrimination et/ou de la stigmatisation dans le traitement des données génétiques est renforcé par un certain nombre d'instruments juridiques internationaux importants, notamment le RGPD (par exemple, les considérants 75 et 85), la Déclaration internationale sur les données génétiques humaines (par exemple les articles 3 et 7) et la Convention 108 +.

Dans ce contexte, il est primordial de garantir l'autodétermination en matière d'information de manière à ce que les personnes concernées puissent décider indépendamment et librement du sort de leurs données à caractère personnel. Cela implique d'accorder une attention particulière au principe de limitation des finalités. Les responsables du traitement ne peuvent traiter les données génétiques qu'avec le consentement ou la connaissance de la personne concernée (selon le cas), en partageant de manière transparente les informations relatives à tout accord de partage des données et aux périodes de conservation des données. De plus, les responsables du traitement doivent limiter la collecte des données génétiques à des finalités restreintes et clairement définies, afin de minimiser les incidences négatives sur les droits de la personne concernée. La finalité du traitement et/ou de la conservation des données génétiques doit être dûment justifiée, ainsi que nécessaire et proportionnée en fonction des objectifs qu'elle cherche à atteindre.

En ce qui concerne ce dernier point, l'article 16 de la Déclaration internationale sur les données génétiques humaines impose que le traitement des données génétiques humaines (ainsi que des données protéomiques humaines et des échantillons biologiques collectés) ne soit pas utilisé en vue d’une une finalité différente incompatible avec le consentement donné à l'origine. 

Il faut également veiller à minimiser les données génétiques humaines traitées en fonction de ce qui est strictement nécessaire pour la finalité correspondante. Les responsables du traitement doivent veiller à ce que les données traitées soient adéquates, pertinentes et non excessives au regard de la finalité pour laquelle elles sont collectées et traitées ultérieurement. Ce principe est étroitement lié au principe de proportionnalité, étant donné qu'il sous-tend un test de proportionnalité visant à trouver un point d’équilibre entre la finalité du traitement des données et les droits de la personne concernée, en vue d'évaluer et de déterminer quelles sont les données minimales nécessaires pour parvenir à la finalité visée (c'est-à-dire les données qui correspondent à ce qui est nécessaire pour atteindre cette finalité et les données qui dépassent ces objectifs).

Par exemple, selon le Document de travail sur les données génétiques, l'autorité espagnole de protection des données « a jugé que la création d'un fichier contenant des échantillons génétiques permettant d'identifier des nouveau-nés par l'intermédiaire de tests ADN n’était pas acceptable. De tels fichiers auraient eu pour objectif d'empêcher les échanges de nourrissons. L'autorité espagnole de protection des données a adopté l’avis que la création d'un fichier génétique contreviendrait au principe de proportionnalité dans la mesure où des résultats identiques pourraient être obtenus de manière fiable par d'autres moyens, par exemple par des bracelets d'identité ou des empreintes de pied » (p. 6-7).

Également étroitement associés aux principes de proportionnalité, de limitation des finalités et de minimisation des données, les responsables du traitement ne peuvent conserver les données génétiques humaines qu'aussi longtemps que ces données personnelles sont nécessaires. Cela signifie que les données à caractère personnel ne peuvent être stockées ou conservées pendant des périodes plus longues que celles nécessitées par la finalité pour laquelle elles ont été collectées, et que ces périodes doivent être définies de manière claire et détaillée par rapport à chaque finalité (principe de limitation de la durée de conservation).

Par exemple, l'article 21 de la Déclaration internationale sur les données génétiques humaines impose, entre autres dispositions, que « les données génétiques humaines, les données protéomiques humaines et les échantillons biologiques concernant un suspect collectés au cours d'une enquête judiciaire devraient être détruits lorsqu'ils ne sont plus nécessaires, à moins que le droit interne, conformément au droit international des droits de l'homme, n'en dispose autrement », et que ces données « ne devraient être mis à la disposition de la médecine légale et d'une procédure civile qu'aussi longtemps qu'elles sont nécessaires à ces fins, à moins que le droit interne, conformément au droit international des droits de l'homme, n'en dispose autrement ».

La sécurité, la qualité, la fiabilité et l'exactitude des données génétiques humaines impliquent que les responsables du traitement des données s'efforcent également d'éviter que toute activité dans le cadre du traitement des données génétiques humaines (telle que les résultats des tests génétiques) ne contienne des erreurs, des fautes ou des inexactitudes, ainsi que l'obligation de mettre à jour, de rectifier ou de modifier les données chaque fois que cela est nécessaire (ce qui est également lié au droit de la personne concernée à la rectification des données).

L'article 15 de la Déclaration internationale sur les données génétiques humaines dispose que « Les personnes et entités chargées du traitement des données génétiques humaines, des données protéomiques humaines et des échantillons biologiques devraient prendre les mesures nécessaires pour assurer l'exactitude, la fiabilité, la qualité et la sécurité de ces données ainsi que du traitement des échantillons biologiques. Elles devraient faire preuve de rigueur, de prudence, d'honnêteté et d'intégrité dans le traitement et l'interprétation des données génétiques humaines, des données protéomiques humaines ou des échantillons biologiques, compte tenu de leurs implications éthiques, juridiques et sociales ».

En outre, les responsables du traitement des données devraient veiller à ce que les données génétiques humaines soient conservées d'une manière qui soit compatible avec des mesures et des garanties de sécurité, d'intégrité et de confidentialité rigoureuses. Cela signifie que les données génétiques humaines ne devraient pas être divulguées ou rendues accessibles à des tiers (c'est-à-dire qu'elles devraient être traitées de manière confidentielle) et que la vie privée des personnes concernées participant aux activités de traitement des données génétiques humaines devrait être protégée, et que les responsables du traitement devraient mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires pour en protéger la sécurité et l'intégrité. Par exemple, afin d'empêcher tout accès non autorisé, toute modification illégale ou toute perte/destruction de données (en général, la protection contre tout traitement non autorisé ou illicite), le responsable du traitement des données doit garantir une infrastructure de données robuste qui ne soit pas vulnérable aux risques de cybersécurité, tels que les cyberattaques externes et les utilisations déloyales internes.

À cet égard, l'article 14 de la Déclaration internationale sur les données génétiques humaines stipule que « Les données génétiques humaines collectées aux fins de la recherche scientifique ne devraient pas normalement être associées à une personne identifiable. Même lorsque ces données ou échantillons biologiques ne sont pas associés à une personne identifiable, les précautions nécessaires devraient être prises pour en assurer la sécurité ».

L'article 32 du RGPD impose aux responsables du traitement et aux sous-traitants de « mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque », en tenant compte de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques. Cela comprend, entre autres, la pseudonymisation et le chiffrement des données à caractère personnel, la garantie de la confidentialité, de l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement, ainsi que la capacité de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique. Ces mesures devraient être revues et améliorées en permanence grâce à des processus établis pour tester, analyser et évaluer régulièrement l'efficacité des mesures techniques et organisationnelles mises en place.

Interactions avec les régulateurs

Les autorités nationales de protection des données veillent au respect des principes de protection des données et du RGPD. Conformément au principe de responsabilité établi par le RGPD (article 5(2)), les responsables du traitement des données doivent démontrer qu'ils respectent les obligations, les règles et les dispositions en matière de protection des données.

Bien que les personnes concernées aient la possibilité de déposer une plainte auprès des autorités compétentes en matière de protection des données, ces dernières peuvent également s'engager activement dans des activités de contrôle. Le non-respect des obligations en matière de protection des données peut être sanctionné par des amendes administratives pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial total de l'entreprise (article 183 du RGPD).

De plus, d'autres autorités peuvent également être impliquées dans le contexte du traitement des données génétiques humaines (et des activités connexes), telles que les autorités régionales et nationales sectorielles et propres à l'industrie. Dans le contexte de la recherche médicale et clinique, par exemple, il peut être nécessaire d'obtenir certaines autorisations/certifications ou de prouver le respect de certaines lois sectorielles. C'est le cas par exemple des essais cliniques visant à étudier la sécurité et l'efficacité des médicaments à usage humain. Dans ce contexte, d'autres autorités européennes (telles que l'Agence européenne des médicaments) et nationales peuvent également s'engager dans le contrôle de la conformité ou dans des activités réglementaires de portée plus large.

Législation de l’Union européenne

Directive 2001/83/CE du Parlement européen et du Conseil du 6 novembre 2001 instituant un code communautaire relatif aux médicaments à usage humain, JO L 311 du 28.11.2001, p. 67-128, Numéro CELEX : 32001L0083

Article 29 Groupe de protection des données, Document de travail sur les données génétiques, 17 mars 2004

Règlement (UE) n ° 536/2014 du Parlement européen et du Conseil du 16 avril 2014 relatif aux essais cliniques de médicaments à usage humain et abrogeant la directive 2001/20/CE Texte présentant de l'intérêt pour l'EEE, JO L 158 du 27.5.2014, p. 1-76, numéro CELEX 32014R0536

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l'intérêt pour l'EEE), JO L 119 du 4.5.2016, p. 1-88, numéro CELEX : 32016R0679.

Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du ConseilJO L 119 du 4.5.2016, p. 89-131, numéro CELEX : 32016L0680

Conseil de l’Europe

Recommandation n° R (92) 1 du Comité des ministres du Conseil de l'Europe sur le recours à l'analyse de l'acide désoxyribonucléique (ADN) dans le cadre du système de justice pénale, 10 février 1992 

Recommandation N° R (92) 3 du Comité des ministres du Conseil de l'Europe sur les tests et le dépistage génétique à des fins médicales, 10 février 1992

Recommandation N° R (97) 5 du Comité des ministres du Conseil de l'Europe relative à la protection des données médicales, 13 février 1997

Convention pour la protection des Droits de l'Homme et de la dignité de l'être humain à l'égard des applications de la biologie et de la médecine : Convention sur les Droits de l'Homme et la biomédecine, Série des traités européens - n° 164, Oviedo, 4 avril 1997

Protocole additionnel à la Convention sur les Droits de l’Homme et la biomédecine relatif aux tests génétiques à des fins médicales, Série des Traités du Conseil de l’Europe - n° 203, Strasbourg, 27 novembre 2008, 

Rapport explicatif du Protocole additionnel à la Convention sur les Droits de l’Homme et la biomédecine relatif aux tests génétiques à des fins médicales, Série des Traités du Conseil de l’Europe - n° 203, Strasbourg, 27 novembre 2008

Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, Conseil de l’Europe, Série des traités européens - n° 108, 28 janvier 1981

Protocole additionnel à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, concernant les autorités de contrôle et les flux transfrontières de données, Conseil de l’Europe, Série des traités européens - n° 181, Strasbourg, 8 novembre 2001

Convention pour la protection des personnes à l’égard du traitement des données à caractère personnel, Convention 108 +, 18 mai 2018

Recommandation CM/Rec(2015)5 du Comité des Ministres aux Etats membres sur le traitement des données à caractère personnel dans le cadre de l’emploi, 1er  avril 2015

Exposé des motifs de la Recommandation CM/Rec(2015)5 du Comité des Ministres aux Etats membres sur le traitement des données à caractère personnel dans le cadre de l’emploi, 1er  avril 2015

Recommandation CM/Rec(2016)6 du Comité des Ministres aux Etats membres sur la recherche utilisant du matériel biologique d’origine humaine, 11 mai 2016

Recommandation CM/Rec(2016)8 du Comité des Ministres aux Etats membres sur le traitement des données à caractère personnel relatives à la santé à des fins d’assurance, y compris les données résultant de tests génétiques, 26 octobre 2016

Recommandation CM/Rec(2019)2 du Comité des Ministres aux États membres en matière de protection des données relatives à la santé, 27 mars 2019

Texte original

Nations Unies

Littérature pertinente (en anglais)

  1. The law of genetic privacy: applications, implications, and limitations - Ellen Wright Clayton, Barbara J Evans, James W Hazel, Mark A Rothstein, Journal of Law and the Biosciences, Volume 6, Issue 1, (10/2019), Pages 1-36.
    1. Scientific abstract
  2. Handbook on European data protection law - European Union Agency for fundamental rights, 2018.
  3. Processing of Biometric and Genetic Data - European Standards – Institute for Development of Freedom of Information (02/2022).
  4. Privacy and Data Protection Issues of Biometric Applications - Kindt, Els J. (2013). In A Comparative Legal Analysis (Vol. 12). Springer.
  5. The EU General Data Protection Regulation (GDPR): A Commentary, Christopher Kuner, Lee A. Bygrave, Christopher Docksey, Laura Drechsler and Luca Tosoni, (editors) Oxford University Press, 2020, p. 201.
    1. Scientific abstract
  6. How wide is the application of genetic big data in biomedicine - Yanan Liu, Na Li, Xiao Zhu, Yi Qi. Biomedicine & Pharmacotherapy, Volume 133, 2021, 111074.
    1. Scientific abstract
  7. The GDPR and genomic data - the impact of the GDPR and DPA 2018 on genomic healthcare and research  - C Mitchell, J Ordish, E Johnson, T Brigden, A Hall - PHG Foundation, 2020.
    1. Scientific abstract
  8. OECD Guidelines on human biobanks and genetic research databases - 2018
  9. Rules for processing genetic data for research purposes in view of the new EU General Data Protection Regulation - Shabani, M., Borry, P., European Journal of Human Genetics 26, (11/2017) : 149-156.
    1. Scientific abstract
  10. Genetic Data and the Law: A Critical Perspective on Privacy Protection - Taylor M., Cambridge University Press; 2012.

Plus d’information

Remerciements

Publié le 20/03/2023 

Auteurs :  

Vera Lúcia Raposo, Professeure associée, Faculté de droit NOVA - Université NOVA de Lisbonne ; FutureHealthlaw / WhatNext.Law 

et

Tomás de Brito Paulo, LL.M Law & Technology à l’Université de Tilburg, Tilburg, Pays-Bas ; Associé chez Vieira de Almeida & Associados, Lisbonne, Portugal 

Revu par Aurélie Mahalatchimy, Coordinatrice EuroGCT du Groupe de travail n°4, UMR 7318 DICE CERIC, Aix-Marseille Université, CNRS, Aix-en-Provence- France

Traduit par Luc-Sylvain Gilbert et Aurélie Mahalatchimy

Research Pathways Overview

Table of contents

Retour en haut de page
Le contenu de cette page vous a-t-il été utile ? Envoyez-nous vos commentaires