Recherche médicale : quel est le cadre légal ?
Les traitements de données de santé mis en œuvre à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé sont encadrés par les dispositions du RGPD et du chapitre IX de la loi Informatique et Libertés modifiée. Les démarches à effectuer auprès de la CNIL, de l’INDS ou du CPP diffèrent selon le périmètre et la catégorie de la recherche.
Cas n° 1 : la recherche est « interne »
Cas n° 2 : la recherche est multicentrique ou implique que les données soient rendues accessibles à des personnes en dehors de l’équipe de soins
Les points de vigilance
La logique de responsabilisation des acteurs
Quel que soit le type ou le périmètre de la recherche, le responsable de traitement doit être en mesure de démontrer, à tout moment, la conformité du traitement aux exigences du RGPD (logique de responsabilisation). Pour cela, il doit tracer l’ensemble des démarches entreprises.
Thèse ou mémoire
Si la recherche est menée dans le cadre d’une thèse ou d’un mémoire, le responsable de traitement est soit l’université, soit l’établissement de soin de rattachement de l’étudiant. Ce dernier ne peut pas être qualifié de responsable de traitement. Pour plus de détails, voir la fiche « Recherche médicale : comment procéder pour une thèse ou un mémoire ? ».
L’analyse d’impact sur la protection des données (AIPD)
Lorsqu'un traitement de données personnelles est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, une AIPD doit être menée. La CNIL a récemment publié ses propres lignes directrices pour préciser le périmètre de l'obligation d'effectuer une AIPD, les conditions de réalisation de celle-ci et les cas dans lesquels elle doit être transmise à la CNIL.
La CNIL a également élaboré une liste des types d’opérations de traitements pour lesquels elle estime obligatoire de réaliser une AIPD. Parmi cette liste figurent les traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.).
Ainsi, par exemple, la mise en œuvre d’une recherche médicale portant sur des patients et incluant le traitement de leurs données génétiques implique de mener une AIPD pour cette recherche.
Cette liste n’est pas exhaustive : les traitements qui n’y figurent pas peuvent néanmoins devoir faire l’objet d’une AIPD. C’est le cas des traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Le comité européen de la protection des données a identifié neuf critères permettant de caractériser un traitement susceptible d’engendrer un tel risque élevé.
Pour déterminer si la réalisation d’une AIPD est requise pour votre recherche, il convient d’apprécier au regard de ces neufs critères si la recherche envisagée est susceptible d’engendrer un risque élevé.
Conformément au point 3 des lignes directrices, le responsable de traitement devra tenir à la disposition de la CNIL l’AIPD réalisée, qui pourra lui être demandée dans le cadre de l’instruction d’une demande d’autorisation de recherche.
A noter : pour être conforme à une MR (hypothèse n°1), la réalisation d’une AIPD est requise.
La modification d’une recherche
Si la recherche menée subit des modifications substantielles, c’est-à-dire portant sur les caractéristiques principales du traitement de données à caractère personnel, ces modifications peuvent nécessiter une nouvelle autorisation de la CNIL.
Pour plus de précisions sur les cas les plus fréquents de modifications du traitement et leurs conséquences en termes de formalités, voir la fiche « Modification d’un traitement de données ayant pour finalité une recherche, une étude ou une évaluation dans le domaine de la santé ».
Les résultats de la recherche
Les résultats de l’étude qui sont publiés ne doivent pas permettre d’identifier directement ou indirectement les personnes concernées.
Les démarches en synthèse
Recherche « interne »
Recherche impliquant la personne humaine (avis favorable du CPP requis) |
Recherche n’impliquant pas la personne humaine |
||
---|---|---|---|
Recherche interventionnelle |
Recherche interventionnelle à risques et contraintes minimes |
Recherche non interventionnelle |
|
Sans objet Ces recherches nécessitent de recueillir des données spécifiques et supplémentaires par rapport à la prise en charge habituelle du patient. Ces recherches doivent donc être réalisées dans le cadre du chapitre IX de la loi Informatique et Libertés. |
Aucune formalité Inscription au registre des activités de traitement |
Recherche multicentrique et/ou accès des données en dehors de l’équipe de soins
Recherche impliquant la personne humaine (avis favorable du CPP requis) |
Recherche n’impliquant pas la personne humaine |
||
---|---|---|---|
Recherche interventionnelle |
Recherche interventionnelle à risques et contraintes minimes |
Recherche non interventionnelle |
|
Demande d'autorisation "recherche" ou Engagement de conformité à la MR-001 + Inscription au registre des activités de traitement |
Demande d’autorisation « recherche » ou Engagement de conformité à la MR-001 + Inscription au registre des activités de traitement |
Demande d’autorisation « recherche ou Engagement de conformité à la MR-002 ou à la MR-003 + Inscription au registre des activités de traitement |
ou Engagement de conformité à la MR-004, MR-005 ou à la MR-006 + Inscription au registre des activités de traitement |