En qualité de professionnel de santé, vous avez le projet de réutiliser les données de vos patients à des fins de recherche médicale ou d’accéder à des données de santé de tiers pour ces mêmes fins.
En qualité de patient, vous pouvez avoir été sollicité pour participer à une recherche médicale ou pour autoriser la réutilisation de vos données à des fins de recherche.
Dune vous présente les vérifications nécessaires avant que les professionnels puissent utiliser des données de santé dans le cadre de la recherche médicale.
S’assurer que les données de santé peuvent être collectées
Cela peut sembler aller de soi mais avant la mise en place d’un projet de recherche médicale, il convient de s’assurer que les données de santé peuvent être collectées auprès des participants, et que les patients ont consenti à participer à la recherche ou ne s’y sont pas opposés.
Le plus souvent, le recueil du consentement du patient sera réalisé par l’intermédiaire d’un formulaire écrit qui comportera une case à cocher et qui fournira l’ensemble des informations relatives à la recherche aux patients. Participants : la lecture de ce document est essentielle afin que vous compreniez le contexte de la recherche médicale.
Ensuite, seules les données utiles à la recherche médicale pourront être utilisées, et à condition que le promoteur de la recherche justifie de fondements juridiques permettant de collecter ces données (c’est-à-dire, une base légale et une exception à l’interdiction de traiter les données de santé). Ces éléments devront être indiqués dans la documentation du traitement (cf. infra point 4)
Enfin, les données de santé pourront être collectées et traitées si la recherche présente un caractère d’intérêt public (par exemple, pour améliorer la qualité et/ou la sécurité des soins de santé ou des dispositifs médicaux et afin de garantir des normes élevées de qualité, l’innovation dans la prise en charge médico-sociale).
Déterminer si la recherche médicale est interne ou non : un critère de simplification des démarches pour les professionnels
Une recherche médicale est interne si elle est menée (i) à partir de données recueillies dans le cadre du suivi individuel des patients, (ii) par le personnel assurant ce suivi et (iii) pour leur usage exclusif.
Bon à savoir : si la recherche est interne, aucune formalité autre que le respect de l’ensemble des principes du RGPD et de la Loi Informatique et Libertés n’est requise car il s’agit d’une recherche qui présente le moins de risques pour les patients.
Dans ce cas, vous pouvez vous rendre directement au dernier point de notre article sans procéder aux vérifications préalables du point 3.
Dans le cas contraire, la recherche envisagée n’est pas interne et nécessite d’accomplir des formalités.
Déterminer les formalités à accomplir par les professionnels en cas de recherche médicale non interne
Les recherches médicales sont particulièrement encadrées et peuvent nécessiter l’accomplissement de certaines formalités avant d’être mises en œuvre, et ce afin de protéger la vie privée des patients.
Les premières formalités à accomplir seront celles auprès de la CNIL, qui a adopté six méthodologies de référence expliquant les conditions dans lesquelles certaines recherches peuvent être réalisées.
Si la recherche est strictement conforme à l’une des méthodologies de la CNIL, un engagement de conformité devra être envoyé à la CNIL. Dans le cas contraire, une demande d’autorisation devra être envoyée à la CNIL. La recherche ne pourra être mise en œuvre qu’en cas d’autorisation de la CNIL.
D’autres formalités peuvent être nécessaires selon que la recherche implique la personne humaine (c’est-à-dire qu’elle est organisée et pratiquée sur un être humain pour développer des connaissances biologiques ou médicales) ou qu’elle n’implique pas la personne humaine (ce qui est notamment le cas de la réutilisation de données de santé).
Si la recherche implique la personne humaine au sens du Code de la Santé Publique, un avis favorable d’un comité de protection des personnes doit être obtenu avant le début de la recherche ou avant de procéder à la demande d’autorisation auprès de la CNIL.
Si la recherche n’implique pas la personne humaine :
- et est conforme à une méthodologie de référence (cf. supra), la recherche doit être enregistrée dans le répertoire tenu par le Health Data Hub (qui devra changer de nom dans les prochaines semaines mais c’est un autre sujet, dont nous reparlerons plus tard) ; ou
- et nécessite une autorisation de la CNIL, un dossier doit être soumis auprès du Health Data Hub, qui le transmettra ensuite pour avis au CESREES (le Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé) avant dépôt à la CNIL pour autorisation.
Dans tous les cas, les professionnels doivent documenter le traitement et informer les personnes concernées
Peu importe la typologie de la recherche, les principes du RGPD demeurent applicables et il convient d’être particulièrement vigilant pour :
- documenter le traitement au sein du registre des activités de traitement et réaliser une analyse d’impact sur la vie privée. Cette analyse d’impact permettra d’identifier les éventuels risques et d’y remédier pour mettre en œuvre un traitement de données de santé conforme au RGPD et respectueux de la vie privée des participants ;
- veiller à informer les personnes concernées du traitement de leurs données à des fins de recherche, et à faciliter l’exercice de leurs droits, les patients bénéficiant toujours du droit de se retirer de la recherche ;
- fixer une durée de conservation des données ; et
- encadrer les relations contractuelles avec les sous-traitants intervenant dans la recherche dans l’objectif de garantir la sécurité des données des patients.