Recherches dans le domaine de la santé : ce qui change avec les nouvelles méthodologies de référence
Depuis 2006, la CNIL a engagé une simplification des démarches pour les traitements de données à caractère personnel mis en œuvre dans le cadre des recherches dans le domaine de la santé, avec en particulier la publication des MR-001, MR-002 & MR-003 (respectivement mise à jour en 2016 et créées en juillet 2015 et 2016).
La loi du 5 mars 2012 relative aux recherches impliquant la personne humaine (RIPH), les modifications de la loi informatique & libertés, la création du Système National des Données de Santé (SNDS) et enfin, l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) ont rendu nécessaire la mise à jour des MR existantes (MR-001 & MR-003) et la création d’une nouvelle MR (004).
Une clarification du champ d’application des MR
- La MR-001 : concerne :
- les RIPH interventionnelles (intervention sur la personne non justifiée par sa prise en charge habituelle et recherches ne comportant que des risques et contraintes minimes),
- les recherches nécessitant la réalisation d’un examen des caractéristiques génétiques
- la MR-002 : concerne les études non interventionnelles de performances de dispositifs médicaux de diagnostic in vitro ; une mise à jour de cette MR est prévu d’ici la fin de l’année 2018 ;
- la MR-003 concerne désormais uniquement les recherches impliquant la personne humaine et en particulier les recherches non interventionnelles, mentionnées au 3° de l’article L. 1121-1 du code de la santé publique ;
- la nouvelle MR-004 est dédiée aux recherches n’impliquant pas la personne humaine, études ou évaluations dans le domaine de la santé relevant de la compétence du CEREES (plus d’informations ci-après).
Fondement légal du traitement des données lors d’une recherche dans le domaine de la santé
L’article 6 du RGPD liste les bases juridiques permettant de considérer que le traitement des données est licite. Le responsable de traitement doit s’appuyer sur l’un de ces fondements pour réaliser sa recherche. L’on pourra notamment s’appuyer sur :
- la mission d’intérêt public (article 6-1-e), par exemple : pour un organisme public, un CHU etc.,
- l’intérêt légitime (article 6-1-f), par exemple pour les industriels ou autres acteurs privés.
En outre, dans le cadre des recherches, le traitement des données de santé est possible au regard de l’article 9.2 (j) du RGPD, qui mentionne la nécessité de traiter les données à des fins de recherche scientifique.
En tout état de cause, s’agissant des MR-001 & MR-003, la notion de consentement évoquée dans le titre des MR-001 & MR-003 fait référence au consentement exigé ou non par le code de la santé publique en fonction des catégories de recherche (et de la loi « informatique et libertés » s’agissant de la réalisation d’un examen des caractéristiques génétiques) et ne renvoie pas au consentement au traitement des données à caractère personnel prévu à l’article 6-1-a ou à l’article 9-2-a du RGPD.
Principales nouveautés des MR
-
L’adaptation au RGPD
Les textes ont été adaptés avec le RGPD, et en particulier :
- l’obligation pour le responsable de traitement de désigner un délégué à la protection des données (DPO) ;
- l’information des personnes dont le contenu doit être conforme aux dispositions de l’article 13 ou 14 du RGPD ;
- l’exclusion du champ de la MR lorsque l’analyse d’impact indique que le traitement présenterait, malgré les mesures prises en application de l’article 35 du RGPD pour atténuer le risque, un risque résiduel élevé pour les droits et libertés des personnes concernées ;
- la mise en cohérence du chapitre « Transfert des données hors Union Européenne ».
-
Une extension à certains types de recherches dans les MR
Ont été ajoutées :
- les recherches à risques et contraintes minimes, pour lesquelles l'information peut être collective en fonction des exigences méthodologiques de la recherche et sous réserve d’un avis favorable du CPP (article L. 1122-1-4 du code de la santé publique) (MR-003) ;
- la dérogation au principe du consentement écrit lors d’un examen des caractéristiques génétiques, telle que prévue à l’article L. 1131-1-1 du CSP (MR-003 & MR-004), uniquement lorsque les personnes peuvent être informées du projet de recherche et peuvent exercer un droit d’opposition. Ainsi, les cas dans lesquels l’information des personnes n’est pas envisageable et qui nécessitent donc d’obtenir l’avis d’un CPP devront faire l’objet d’une demande d’autorisation ;
-
Faire des études à partir de systèmes fils du SNDS
Sont exclus du champ d’application des MR les traitements nécessitant un accès direct aux bases médico-administratives nationales, notamment celles du SNDS ou de ses composantes (exemple : SNIIRAM, PMSI (hors PMSI de l’établissement) ou CépiDC).
En revanche, certaines recherches peuvent prévoir la réutilisation de données issues de bases déjà constituées, qui sont des systèmes fils du SNDS et qui détiennent des données qui en sont issues ou qui sont issues de ses composantes.
Ainsi, un promoteur peut utiliser les données d’un système fils du SNDS pour sa propre recherche, dans le cadre des MR, à condition que les dispositions spécifiques applicables au SNDS soient respectées à la fois :
- par le responsable de traitement du système fils
- et par le responsable de traitement de la nouvelle recherche utilisant les données du système fils.
Les exigences suivantes, prévues par les textes applicables au SNDS, doivent notamment être respectées :
- l’interdiction d’utiliser les données du SNDS pour les finalités décrites à l’article L. 1461-1 V du CSP (finalités interdites) ;
- pour les industriels de produits de santé et les assureurs, l’accès aux données et la réalisation des analyses par un bureau d’études ou laboratoire de recherche ou la possibilité de démontrer que les modalités de mise en œuvre du traitement rendent impossible toute utilisation des données pour l’une des finalités interdites ;
- le respect du référentiel de sécurité applicable au SNDS ;
- le principe de transparence : transmission du protocole, de la déclaration des intérêts et des résultats à l’INDS.
-
La prise en compte du retour d’expérience des acteurs
Suite aux retours d’expérience des acteurs, de nouvelles dispositions ont été ajoutées :
- la possibilité de traitement de données directement identifiantes par des sous-traitants du responsable de traitement sous certaines conditions et pour des missions précises (remboursement des frais, indemnités, suivi des personnes (envoi d’un message textuel, lien pour un questionnaire en ligne etc.), livraison des produits) ;
attention, le traitement de données directement identifiantes et de données de santé par le même sous-traitant reste exclu de la MR. Le traitement du nom de l’organisme responsable de traitement, même s’il peut révéler un domaine de santé (cancer, sida etc.) est admis dans la MR ;
- la possibilité de traiter le département de résidence (la commune de résidence étant exclue ainsi que les données de géocodage) ;
- la possibilité de communiquer des données à des experts ou chercheurs indépendants chargés de réanalyser les données, notamment à la demande d’éditeurs de revues scientifiques. Dans ce cas précis, les responsables de traitement devront utiliser une solution technique permettant uniquement la consultation des données, sans possibilité d’extraction de données à caractère personnel.
Deux grands types de recherche sont concernés par cette méthodologie :
- les recherches sur des données déjà collectées, lors du soin ou de recherches antérieures (réutilisation de données) ou des données collectées dans le cadre de la prise en charge médicale, au fil de l’eau ;
- les recherches dans lesquelles la personne participe et pour lesquelles des données spécifiques liées à la recherche sont collectées sans répondre à la définition juridique de « recherche impliquant la personne humaine » et notamment à la finalité précisée dans le code de la santé publique (articles L.1121-1 & R. 1121-1 du code de la santé publique) ;
S’agissant notamment des traitements nécessitant une réutilisation de données, des aménagements en matière d’information individuelle des personnes concernées ont été introduits ; ainsi, il n’est pas nécessaire de procéder à une nouvelle information individuelle des personnes lorsque :
- la personne concernée dispose déjà de ces informations. Ceci pourrait par exemple concerner plusieurs projets de recherche, menés par un même responsable de traitement avec des finalités identiques, des catégories de données identiques et des destinataires identiques ;
- ou lorsque l’information délivrée lors de la collecte des données et/ou échantillons biologiques renvoie à un dispositif spécifique d’information, auquel les personnes concernées pourront se reporter avant la mise en œuvre de chaque futur traitement (par exemple : un site Internet).
Lorsque le traitement est conforme à cette Méthodologie de référence, il peut être mis en œuvre dans le cadre de l’engagement de conformité transmis à la CNIL. La saisine du CEREES n’est pas requise.
La liste des études réalisées dans le cadre de cette méthodologie devra être transmise à l’Institut National des Données de Santé (INDS) par le responsable de traitement pour la constitution du répertoire.
Pour faire une déclaration attestant de la conformité à une MR :
> Faire une declaration attestant de la conformité à une MR
Comment déclarer ?
Effectuer une déclaration attestant de la conformité à une méthodologie de référence
> Engagement de conformité à une Méthodologie de référence
Ces méthodologies de référence ne correspondent pas à votre situation
Vous devrez déposer votre demande d'autorisation auprès de la CNIL
> Déposer une demande d'autorisation