Recherches dans le domaine de la santé : le nouveau chapitre IX est applicable

30 juin 2017

Le nouveau chapitre IX de la loi Informatique et Libertés est désormais applicable en matière de recherche, d’étude ou d’évaluation dans le domaine de la santé. Son entrée en vigueur effective se fera progressivement.

Le chapitre IX de la loi distingue deux grandes catégories de recherches : d’une part, les recherches impliquant la personne humaine et, d’autre part, les recherches, études et évaluations n’impliquant pas la personne humaine.

Les recherches impliquant la personne humaine

Elles sont définies par le code de la santé publique. Il s’agit des recherches organisées et pratiquées sur l'être humain en vue du développement des connaissances biologiques ou médicales.

 Il en existe trois types, en fonction du niveau d’implication du patient : 

  1. des recherches interventionnelles qui comportent une intervention sur la personne non justifiée par sa prise en charge habituelle ;
  2. des recherches interventionnelles qui ne comportent que des risques et des contraintes minimes dont la liste est fixée par arrêté du ministre chargé de la santé, après avis du directeur général de l'Agence nationale de sécurité du médicament et des produits de santé ;
  3. des recherches non interventionnelles qui ne comportent aucun risque ni contrainte dans lesquelles tous les actes sont pratiqués et les produits utilisés de manière habituelle. 

Comment obtenir une autorisation de la CNIL ?

L’avis d’un comité de protection des personnes (CPP) devra être obtenu avant que la demande d’autorisation soit adressée à la CNIL (en pratique, il ne sera pas nécessaire de transmettre le dossier de demande d’autorisation à l’INDS s’agissant des recherches non interventionnelles hors produits de santé).

A noter : aucune autorisation de la CNIL n’est requise si la recherche peut être réalisée conformément aux dispositions d’une méthodologie de référence (MR 001MR 002 ou MR 003), et si le responsable de traitement a réalisé en ligne depuis le site de la CNIL un engagement de conformité à l’une de ces méthodologies.

Les recherches, études ou évaluations n’impliquant pas la personne humaine

Il s’agit des recherches dans le domaine de la santé qui n’appartiennent pas aux recherches impliquant la personne humaine. Sont en particulier visées les recherches nécessitant exclusivement la réutilisation de données de santé à caractère personnel (par exemple celles issues de dossiers médicaux, de cohortes existantes ou du SNDS).

Les recherches qui relevaient anciennement du chapitre X de la loi appartiennent à cette catégorie.

Les traitements de données à caractère personnel ayant pour finalité ces recherches sont soumis à l’autorisation de la CNIL.

Comment obtenir une autorisation de la CNIL ?

Les nouvelles modalités d’accès aux données sont les suivantes :

  • l’Institut national des données de santé (INDS), chargé d’accompagner les demandeurs depuis le dépôt de leur dossier jusqu’à l’accès effectif aux données, est constitué depuis l’arrêté du 20 avril 2017 ;
  • le Comité d’expertise pour les recherches, les études et les évaluations dans le domaine de la santé (CEREES) est installé suite à la nomination de ses membres par arrêté du 5 mai 2017 et s’est réuni pour la première fois le 15 juin. Sa première session d’expertise a été fixée au 21 septembre 2017 ;
  • le cas échéant, la CNIL est saisie directement par l’INDS après avis du CEREES.

Afin de permettre la préparation de dossiers dans ce cadre, le modèle de formulaire de demande et ses modalités de dépôt seront rendus publics le 28 juillet 2017 par l’INDS.

Compte tenu du calendrier de début des travaux du CEREES mentionnés ci-dessus, les demandes d’accès pourront concrètement être déposées auprès de l’INDS à partir du 28 août prochain.

  • la CNIL ne peut plus être saisie sur le fondement du chapitre X de la loi (évaluation ou analyse des pratiques ou des activités de soins et de prévention), qui est abrogé ;
  • les demandes d’autorisation concernant des recherches études ou évaluations n’impliquant pas la personne humaine ne peuvent pas être adressées directement à la CNIL. Elles doivent être adressées à l’INDS à partir du 28 août prochain ;
  • dans l’attente de l’homologation d’une méthodologie de référence spécifique à ces recherches, ces dernières peuvent être réalisées dans le cadre de la MR 003 (sous réserve de conformité au texte et de la réalisation d’un engagement de conformité).

Information à l’attention des responsables de traitement autorisés à utiliser les données consolidées du Programme de médicalisation des systèmes d'information (PMSI) (années 2016 et antérieures) :

Les données du PMSI ne peuvent pas être traitées pour l’une des finalités suivantes (cf. article L.1461-1 du code de santé publique) :

  •  la promotion de la vente et/ou la prescription de médicaments ou dispositifs médicaux ;
  • l'exclusion de garanties des contrats d'assurance et la modification de cotisations ou de primes d'assurance d'un individu ou d'un groupe d'individus présentant un même risque.

Les responsables de traitement ayant reçu une autorisation de la CNIL avant l’entrée en vigueur des dispositions relatives au fonctionnement du SNDS doivent se mettre en conformité avec ce nouveau cadre juridique.

En cas de modification substantielle du traitement autorisé, une nouvelle demande d’autorisation à partir du formulaire type qui sera diffusé le 28 juillet 2017 par l’INDS devra être déposée auprès de l’Institut national des données de santé (INDS), à partir du 28 août 2017. L’INDS transmettra la demande au CEREES pour avis, puis à la CNIL.

Pour plus de précisions, vous pouvez consulter le rapport du groupe du comité stratégique de filière des industries et technologies de santé

http://drees.solidarites-sante.gouv.fr/IMG/pdf/rapport_csf.pdf

Pour toute question ou difficulté, vous pouvez contacter l’INDS :

par mail : info@indsante.fr

par téléphone : 01 45 18 43 92 ou 01 45 18 43 93

Les mots clés associés à cet article