Recherche médicale : quel est le cadre légal ?

10 décembre 2018

Les traitements de données de santé mis en œuvre à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé sont encadrés par les dispositions du RGPD et du chapitre IX de la loi Informatique et Libertés modifiée. Les démarches à effectuer auprès de la CNIL, de l’INDS ou du CPP diffèrent selon le périmètre et la catégorie de la recherche.

Cas n° 1 : la recherche est « interne »

Cas n° 2 : la recherche est multicentrique ou implique que les données soient rendues accessibles à des personnes en dehors de l’équipe de soins

Il s’agit des recherches qui ne remplissent pas les critères d’une recherche « interne ».

Par exemple :

les patients sont issus de plusieurs établissements ou centres de soins distincts ;

les patients sont issus du même établissement mais tout ou partie des données n’a pas été recueillie par les professionnels de santé assurant leur prise en charge ;

les données de l’étude sont transmises à un partenaire public ou privé ;

le professionnel de santé non rattaché au service concerné de l’établissement de santé consulte les données directement identifiantes des patients (ex : nom et prénom dans les dossiers médicaux).

A noter : la notion d’équipe de soins est définie à l’article L. 1110-12 du code de la santé publique.

Cas concrets :

Étude menée par un laboratoire pharmaceutique sur le psoriasis auprès de plusieurs spécialistes dermatologues exerçant à titre libéral.

Étude menée sur les effets indésirables d’un médicament auprès de plusieurs centres investigateurs (hôpital et cabinet libéral).

Étude portant sur le taux de couverture vaccinale de la grippe nécessitant des données issues de dossiers médicaux, à une échelle régionale ou nationale.

Étude portant sur le taux de prescription d’antibiotiques menée à partir de données issues du Système national des données de santé (SNDS).

Quelle formalité ?

Hypothèse n° 1

Si la recherche est strictement conforme à une méthodologie de référence (MR-001, MR-002, MR-003, MR-004, MR-005 ou MR-006 selon la typologie de la recherche), seul un engagement de conformité auprès de la CNIL est nécessaire.

Le registre des activités de traitement doit inclure la liste des recherches entrant dans le champ de la MR. Le responsable de traitement doit également être en mesure de démontrer sa conformité à la MR.

A noter : l’engagement de conformité à une MR n’est pas à réaliser pour chaque recherche : il vaut pour l’ensemble des traitements d’un même responsable de traitement entrant dans le champ de la MR.

Hypothèse n° 2

Si la recherche n’est pas conforme à une méthodologie de référence, le responsable de traitement doit déposer une demande d’autorisation « recherche » (section 2 du chapitre IX de la loi Informatique et Libertés).

Le traitement devra également être inscrit par le responsable de traitement dans son registre des activités de traitement.

Comment informer les personnes concernées ?

Les personnes concernées doivent, avant le début du traitement des données les concernant, être individuellement informées conformément à l’article 58 de la loi n°78-17 modifiée.

Cette information devra contenir, selon que les données ont été collectées directement ou non auprès de la personne concernée, soit les mentions de l’article 13 (collecte directe), soit celles de l’article 14 du RGPD (collecte indirecte).

Exemples : notice d’information individuelle remise en main propre, courrier postal envoyé à la dernière adresse connue, etc.

Quelle démarche accomplir auprès d’autres organismes ?

Pour les recherches impliquant la personne humaine (RIPH) :

Un avis favorable du CPP est requis avant le début de la recherche que ce soit dans le cas d’une conformité à une méthodologie de référence ou pour une autorisation « recherche ». Dans ce dernier cas, l’avis favorable du CPP doit être obtenu avant de procéder à la demande d’autorisation.

Pour les recherches n’impliquant pas la personne humaine (RNIPH) :

le responsable de traitement doit déposer son dossier à l’INDS, qui se charge de le transmettre au CEREES pour avis, puis à la CNIL pour autorisation ;
si la recherche est conforme à la MR-004, MR 005 ou MR 006, cette saisine de l’INDS et du CEREES n’est pas requise mais des informations relatives à la recherche menée dans le cadre de ces MR devront être enregistrées dans un répertoire public, dont l’INDS est en charge.

Pour vous aider à qualifier votre recherche (RIPH ou RNIPH), vous pouvez consulter :

À noter : les études nécessitant l’accès aux données du PMSI national (MR-005 et MR-006)

Les responsables de traitement qui ont bénéficié d’une autorisation sur le fondement du chapitre X de la loi Informatique et libertés, désormais abrogé, sont invités à prendre connaissance des MR 005 et MR 006.

S’ils estiment pouvoir en bénéficier, un engagement de conformité doit être privilégié, afin d’assurer une meilleure sécurité juridique au regard de l’évolution récente du cadre législatif et réglementaire.

Les points de vigilance

La logique de responsabilisation des acteurs

Quel que soit le type ou le périmètre de la recherche, le responsable de traitement doit être en mesure de démontrer, à tout moment, la conformité du traitement aux exigences du RGPD (logique de responsabilisation). Pour cela, il doit tracer l’ensemble des démarches entreprises.

Thèse ou mémoire

Si la recherche est menée dans le cadre d’une thèse ou d’un mémoire, le responsable de traitement est soit l’université, soit l’établissement de soin de rattachement de l’étudiant. Ce dernier ne peut pas être qualifié de responsable de traitement. Pour plus de détails, voir la fiche « Recherche médicale : comment procéder pour une thèse ou un mémoire ? ».

L’analyse d’impact sur la protection des données (AIPD)

Lorsqu'un traitement de données personnelles est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, une AIPD doit être menée. La CNIL a récemment publié ses propres lignes directrices pour préciser le périmètre de l'obligation d'effectuer une AIPD, les conditions de réalisation de celle-ci et les cas dans lesquels elle doit être transmise à la CNIL.

La CNIL a également élaboré une liste des types d’opérations de traitements pour lesquels elle estime obligatoire de réaliser une AIPD. Parmi cette liste figurent les traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.).

Ainsi, par exemple, la mise en œuvre d’une recherche médicale portant sur des patients et incluant le traitement de leurs données génétiques implique de mener une AIPD pour cette recherche.

Cette liste n’est pas exhaustive : les traitements qui n’y figurent pas peuvent néanmoins devoir faire l’objet d’une AIPD. C’est le cas des traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Le comité européen de la protection des données a identifié neuf critères permettant de caractériser un traitement susceptible d’engendrer un tel risque élevé.

Pour déterminer si la réalisation d’une AIPD est requise pour votre recherche, il convient d’apprécier au regard de ces neufs critères si la recherche envisagée est susceptible d’engendrer un risque élevé.

Conformément au point 3 des lignes directrices, le responsable de traitement devra tenir à la disposition de la CNIL l’AIPD réalisée, qui pourra lui être demandée dans le cadre de l’instruction d’une demande d’autorisation de recherche.

A noter : pour être conforme à une MR (hypothèse n°1), la réalisation d’une AIPD est requise.

La modification d’une recherche

Si la recherche menée subit des modifications substantielles, c’est-à-dire portant sur les caractéristiques principales du traitement de données à caractère personnel, ces modifications peuvent nécessiter une nouvelle autorisation de la CNIL.

Pour plus de précisions sur les cas les plus fréquents de modifications du traitement et leurs conséquences en termes de formalités, voir la fiche « Modification d’un traitement de données ayant pour finalité une recherche, une étude ou une évaluation dans le domaine de la santé ».

Les résultats de la recherche

Les résultats de l’étude qui sont publiés ne doivent pas permettre d’identifier directement ou indirectement les personnes concernées.

Les démarches en synthèse

Recherche « interne »

Recherche impliquant la personne humaine (avis favorable du CPP requis)	Recherche n’impliquant pas la personne humaine
Recherche interventionnelle	Recherche interventionnelle à risques et contraintes minimes	Recherche non interventionnelle
Sans objet Ces recherches nécessitent de recueillir des données spécifiques et supplémentaires par rapport à la prise en charge habituelle du patient. Ces recherches doivent donc être réalisées dans le cadre du chapitre IX de la loi Informatique et Libertés.	Aucune formalité Inscription au registre des activités de traitement

Recherche impliquant la personne humaine

(avis favorable du CPP requis)

Recherche n’impliquant pas la personne humaine

Recherche interventionnelle

Recherche interventionnelle à risques et contraintes minimes

Recherche non interventionnelle

Sans objet

Ces recherches nécessitent de recueillir des données spécifiques et supplémentaires par rapport à la prise en charge habituelle du patient.

Ces recherches doivent donc être réalisées dans le cadre du chapitre IX de la loi Informatique et Libertés.

Aucune formalité

Inscription au registre des activités de traitement

Recherche multicentrique et/ou accès des données en dehors de l’équipe de soins

Recherche impliquant la personne humaine (avis favorable du CPP requis)	Recherche n’impliquant pas la personne humaine
Recherche interventionnelle	Recherche interventionnelle à risques et contraintes minimes	Recherche non interventionnelle
Demande d'autorisation "recherche" ou Engagement de conformité à la MR-001 + Inscription au registre des activités de traitement	Demande d’autorisation « recherche » ou Engagement de conformité à la MR-001 + Inscription au registre des activités de traitement	Demande d’autorisation « recherche ou Engagement de conformité à la MR-002 ou à la MR-003 + Inscription au registre des activités de traitement	Dépôt auprès de l’INDS de la demande d’autorisation « recherche » (avis du CEREES puis transmission de la demande d’autorisation à la CNIL) ou Engagement de conformité à la MR-004, MR-005 ou à la MR-006 + Inscription au registre des activités de traitement

Recherche impliquant la personne humaine

(avis favorable du CPP requis)

Recherche n’impliquant pas la personne humaine

Recherche interventionnelle

Recherche interventionnelle à risques et contraintes minimes

Recherche non interventionnelle

Demande d'autorisation "recherche"

Engagement de conformité à la MR-001

Inscription au registre des activités de traitement

Demande d’autorisation « recherche »

Engagement de conformité à la MR-001

Inscription au registre des activités de traitement