Recherche médicale : comment procéder pour une thèse ou un mémoire ?

La réalisation d’une recherche médicale est encadrée par la loi Informatique et Libertés, le Règlement Général sur la Protection des Données (RGPD), et le code de la santé publique.

Pour vous aider à comprendre les obligations posées par ces textes (informer les patients, définir une durée de conservation, etc.), vous pouvez vous faire aider par votre université ou l’établissement de soin auquel vous êtes rattaché.

Si votre structure a désigné un Délégué à la Protection des Données (DPO), prenez contact avec lui en priorité.

En l’absence d’un DPO, sollicitez en interne le service qui sera le plus à même de vous accompagner dans vos démarches (ex : service juridique, etc.).

Les obligations et les démarches à réaliser auprès de la CNIL, de l’Institut National des Données de Santé (INDS) ou d’un Comité de Protection des Personnes (CPP) varient selon la nature et le périmètre de votre recherche.

Avant d’engager une quelconque démarche, vous devez être en mesure de répondre à ces deux questions :

1. Quelle est la nature de votre recherche ? (2 options)

• Soit il s’agit d’une recherche impliquant la personne humaine (RIPH) 
• Soit il s’agit d’une recherche n’impliquant pas la personne humaine (RNIPH) 

Pour vous aider à qualifier votre recherche, vous pouvez consulter

• l'article R. 1121-1 du Code de la santé publique ;
• la direction générale de la santé
• le communiqué de la CNIL du 30 juin 2017 ;
• le site de l’INDS.

2. Quel est le périmètre de votre recherche ? (2 options)

Soit votre recherche  est « interne »

Il s’agit d’une recherche menée :

• à partir de données recueillies dans le cadre du suivi (thérapeutique ou médical) individuel des patients ;
• et par les personnels assurant ce suivi ;
• et pour leur usage exclusif.

Soit votre recherche est « multicentrique » ou implique que les données soient rendues accessibles à des personnes en dehors de l’équipe de soins.

Il s’agit d’une recherche qui ne remplit pas les critères d’une recherche « interne »

Par exemple :

• les patients sont issus de plusieurs établissements ou centres de soins distincts ;
• les patients sont issus du même établissement mais tout ou partie des données n’a pas été recueillie par les professionnels de santé assurant leur prise en charge ;
• les données de l’étude sont transmises à un partenaire public ou privé ;
• l’étudiant non rattaché au service concerné de l’établissement de santé consulte les données directement identifiantes des patients  (ex : nom et prénom dans les dossiers médicaux).   

​Avec l’aide du DPO ou du service compétent, apportez les ajustements nécessaires aux traitements de données envisagés dans le cadre de vos travaux de recherche, en vous posant les bonnes questions :

• La finalité (l’objectif) de la recherche est-elle clairement définie ?
• Les données que vous envisagez de collecter sont-elles toutes strictement nécessaires par rapport au sujet de votre thèse ou de votre mémoire ?
• Avez-vous prévu, lorsque votre recherche sera terminée, une durée à l’issue de laquelle les données seront supprimées ?  
• Les personnes concernées seront-elles informées ava nt le début de votre recherche ?
• Comment la personne concernée pourra- t-elle exercer ses droits (droit d’accès, droit d’opposition, etc.) ?
• Les mesures mises en place sont-elles suffisantes pour préserver la sécurité des données ?

Il faudra particulièrement être attentif à l’information délivrée aux personnes concernées et aux mesures pour assurer la sécurité des données traitées.

Information des personnes

Sécurité des données

Dans le cadre d’une recherche médicale, le traitement de données sensibles (données de santé) nécessite de mettre en œuvre des mesures appropriées afin de garantir un niveau de sécurité adapté au niveau de risque.

Il est donc nécessaire de respecter certaines précautions élémentaires en termes de sécurité :

• tenir secrets ses mots de passe (ex. : ne pas les noter sur un post-it, ne pas les communiquer à un proche ou un collègue, etc.) ;
• utiliser des antivirus mis à jour et installer un « pare-feu » (firewall) logiciel ;
• être prudent vis-à-vis des contenus extérieurs, notamment les courriels (contact inconnu, tournures employées inhabituelles, etc.), un document reçu, un lien de téléchargement sur un site web, etc.

En cas de doute, ne cliquez pas ou n’ouvrez pas le document.

• prévoir une procédure de verrouillage automatique de session et verrouiller son ordinateur dès que l’on quitte son poste de travail ;
• enregistrer régulièrement vos travaux pour éviter toute perte de données ;
• ne pas stocker les données collectées sur des matériels non sécurisés ; le cas échéant, prévoir des moyens de chiffrement du matériel. 

Attention : en cas de violations de données (destruction, perte, altération ou divulgation non autorisée de données), signaler le sans délai à votre université ou à l’établissement de soin de rattachement auquel vous êtes rattaché.  

Pour plus de précisions sur comment sécuriser votre traitement de données, vous pouvez consulter le guide « sécurité des données personnelles ».

Les démarches à réaliser auprès de la CNIL, de l’INDS et/ou d’un CCP varient en fonction de la nature et du périmètre de votre recherche (voir étape n°2).

Recherche « interne »

Recherche multicentrique et/ou accès des données en dehors de l’équipe de soins 

Pour plus de précisions sur ces démarches : voir la fiche « Recherche médicale : quel est le cadre légal ? »

Après la fin de votre recherche, les résultats de l’étude qui sont publiés ne doivent pas permettre d’identifier directement ou indirectement les personnes concernées.

Enfin, assurez-vous de bien procéder à l’effacement des données à l’expiration du délai de conservation défini (voir étape n°3.).