Vie privée et recherche en santé : vers une adaptation du cadre juridique québécois face aux défis des mégadonnées

Abstract

Le droit positif québécois parvient-il à maintenir un équilibre adéquat entre la protection du droit individuel à la vie privée et les besoins de la recherche en santé exploitant les mégadonnées, particulièrement en matière d'accès aux renseignements personnels? Si le cadre juridique actuel soutient cet équilibre en autorisant un accès sans consentement aux renseignements pour des fins de recherche, il nécessite néanmoins des ajustements pour relever les défis propres aux mégadonnées. La consolidation massive de données et la puissance analytique des mégadonnées augmentent le risque de réidentification, soulignant la nécessité d'une protection accrue. Une limitation stricte de la collecte, de l’utilisation et de la conservation des données selon le critère de nécessité peut cependant restreindre l’accès aux renseignements et nuire à la flexibilité essentielle pour la recherche et l’innovation. Pour pallier ces limites, nous proposons la création d’une banque de données spécifique aux projets d’un même chercheur exploitant des mégadonnées. Cette banque intégrerait un vaste ensemble de données primaires, régulièrement enrichi par des données inférées, facilitant leur réutilisation pour divers projets tout en garantissant un suivi rigoureux. Un cadre de gouvernance flexible, approuvé périodiquement et incluant des audits indépendants, permettrait d’adapter les règles aux évolutions technologiques et aux risques émergents. Nous suggérons également de remplacer le critère de nécessité par un critère de légitimité, permettant la réutilisation des renseignements à des fins non initialement prévues, tout en les conservant tant qu’elles ont une valeur scientifique, sous une gouvernance et une surveillance continues. Une telle approche offrirait un meilleur équilibre entre la protection des droits individuels et les besoins de la recherche en santé. Does Quebec's positive law adequately balance the protection of individual privacy rights with the needs of health research involving big data, especially regarding access to personal and health information? Although the current framework aims to strike this balance by permitting access without consent to personal and health information for research purposes, it requires modifications to address the unique challenges posed by big data. The large-scale consolidation of data and the ability of big data analysis to generate precise inferences heighten the risk of re-identification, underscoring the need for stronger protections and limits on personal and health information collection, use, and retention based on the necessity criterion. Yet, this same criterion restricts access to information, thereby limiting the flexibility essential for health research and stifling innovation. To address these issues, we propose establishing a data bank for the research projects of individual researchers working with big data. This bank, comprising a large collection of primary data regularly updated with inferred data, would facilitate the reuse of information across multiple projects while ensuring ongoing oversight of access and usage. The governance framework, periodically approved and subject to independent audits, would be adaptive and flexible, allowing for adjustments to new and emerging risks. Additionally, we recommend replacing the necessity criterion with a legitimacy criterion, which would permit the reuse of personal and health information for purposes not initially anticipated, as long as it retains scientific value, under continuous governance and oversight. This approach would provide a more adequate balance between safeguarding individual rights and supporting the needs of health research.