Recherches dans le domaine de la santé : la CNIL adopte de nouvelles mesures de simplification

13 juillet 2018

Pour alléger les formalités liées aux traitements de données réalisés dans les recherches dans le domaine de la santé, la CNIL a adopté cinq nouvelles méthodologies de référence adaptées au cadre juridique en matière de données de santé.

La CNIL a adopté cinq nouvelles méthodologies de référence (MR-001, MR-003, MR-004, MR-005 et MR-006) qui offrent un cadre sécurisé pour la mise en œuvre des traitements de recherche dans le domaine de la santé. Elle vient également d’homologuer une procédure de simplification pour accéder à l’« EGB » (Échantillon Généraliste des Bénéficiaires) issu de la base médico-administrative du SNIIRAM). Ces nouveaux cadres traduisent la volonté de la Commission de poursuivre son processus de simplification des formalités dans le domaine des recherches en santé.

Une mise à jour nécessaire

La création et la mise à jour de méthodologies de référence ont été rendues nécessaires par l’évolution des textes législatifs nationaux, par l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) ainsi que par les retours d’expérience formulés par les acteurs de terrain sur les cadres existants (voir ci-dessous pour les principales nouveautés).

Comme le prévoit la loi, une concertation préalable avec des organismes publics et privés représentatifs a eu lieu en 2018.

Avantages des méthodologies de référence

L’adoption par la CNIL de ces méthodologies vise à créer un cadre protecteur des personnes concernées favorable à la recherche, à l’innovation et la compétitivité.

Lorsque le responsable de traitement réalise une recherche en conformité avec une méthodologie de référence, la demande d’autorisation auprès de la CNIL n’est pas nécessaire. Ainsi :

  • Dans le cadre d’une recherche impliquant la personne humaine, seul l’avis d’un comité de protection des personnes, prévu par le code de la santé publique, doit être obtenu ;
  • Dans le cadre d’une recherche n’impliquant pas la personne humaine, l’avis du CEREES n’est pas nécessaire. En revanche, le responsable de traitement devra inscrire son traitement dans le répertoire public tenu par l’INDS .

Qui est concerné ?

Les promoteurs de recherche qui traitent des données dans le cadre d’une recherche, étude ou évaluation dans le domaine de la santé.

Le périmètre des méthodologies de références est clarifié :

  • Dorénavant, les MR-001 & MR-003 concernent les recherches impliquant la personne humaine, telles que définies par le code de la santé publique ;
  • La nouvelle MR-004, concerne les recherches n’impliquant pas la personne humaine, études ou évaluations dans le domaine de la santé ;
  • Enfin, les MR-005 & MR-006 sont les premières méthododologies de références concernant une des composantes du SNDS : le PMSI (Programme de médicalisation des systèmes d’information). Elles permettent l’accès aux données du PMSI par les établissements de santé, les fédérations et les industriels du secteur de la santé aux fins de réaliser des études dans des conditions strictes de confidentialité et de sécurité.

De nouvelles méthodologies de référence pourront être adoptées, en fonction des besoins recensés.

Quelles sont les formalités à réaliser ?

Le responsable de traitement qui souhaite mettre en œuvre un ou des traitements en conformité avec une de ces méthodologies de référence adresse à la CNIL une déclaration attestant de cette conformité pour chaque méthodologie de référence applicable à ses projets.

Cette déclaration vaut pour l’ensemble des traitements mis en œuvre, qui doivent faire l’objet d’une documentation au sein du registre des activités de traitement prévu par le RGPD.

Il n’est pas nécessaire que les responsables de traitement ayant déjà réalisé un engagement de conformité aux anciennes versions d’une méthodologie de référence adressent une nouvelle déclaration de conformité à ce texte. Les traitements mis en œuvre devront cependant être conformes au nouveau texte.

> Faire une déclaration attestant de la conformité  à une méthodologie de référence

Si le traitement n’est pas conforme à l’une des MR :

Principales nouveautés des méthodologies de référence (MR-001,003, MR-004)

Les principales nouveautés issues des MR :

  • l’obligation pour le responsable de traitement de désigner un délégué à la protection des données (DPO) ; 
  • l’information des personnes dont le contenu doit être désormais conforme aux dispositions de l’article 13 ou 14 du RGPD ;
  • la possibilité de traitement de données directement identifiantes par des sous-traitants du responsable de traitement sous certaines conditions et pour des missions précises (remboursement des frais, indemnités, suivi des personnes (envoi d’un message textuel, lien pour un questionnaire en ligne etc.), livraison des produits) ; attention, le traitement de données directement identifiantes et de données de santé par le même sous-traitant reste exclu de la méthodologie de référence. Le traitement du nom de l’organisme responsable de traitement, même s’il peut révéler un domaine de santé (cancer, sida etc.) est admis dans la MR ;
  • la possibilité de traiter le département de résidence (la commune de résidence étant exclue ainsi que les données de géocodage) ;
  • la possibilité de communiquer des données à des experts ou chercheurs indépendants chargés de réanalyser les données, notamment à la demande d’éditeurs de revues scientifiques.
    Dans ce cas précis, les responsables de traitement devront utiliser une solution technique permettant uniquement la consultation des données, sans possibilité d’extraction de données à caractère personnel.
  • Un aménagement de l’information individuelle des personnes en cas de réutilisation de données (MR-004) : ou lorsque l’information délivrée lors de la collecte des données et/ou échantillons biologiques renvoie à un dispositif spécifique d’information, auquel les personnes concernées pourront se reporter avant la mise en œuvre de chaque futur traitement (par exemple : un site Internet).