Le cadre juridique régissant le traitement de données de santé en recherche universitaire

You are currently viewing Le cadre juridique régissant le traitement de données de santé en recherche universitaire

Le cadre juridique des traitements de données de santé dans le cadre de la recherche est consacré à échelles européenne et nationale, et celui-ci vaut la peine d’être étudié. Il connaît un encadrement spécial et général.

 

Le cadre européen : le Règlement général sur la protection des données

Le RGPD de 2018 trouve à s’appliquer au domaine de la recherche en santé, tant en ses dispositions fondamentales qu’en ses dispositions plus spécifiques.

 

  • Les principes fondamentaux du RGPD

Le Règlement impose un ensemble de principes fondamentaux (obligation de base légale, transparence, minimisation, sécurité…) aux responsables de traitements de données à caractère personnel, et ceux-ci incluent naturellement les données de santé, définies comme celles relatives à l’état de santé physique ou mentale d’une personne, y compris la prestation de services de soins de santé, qui révèlent des informations sur son état de santé.

Elles comptent parmi les catégories particulières de données consacrées par le texte, dont le traitement est en principe interdit. Il prévoit toutefois des exceptions, notamment en ce qu’il est des motifs d’intérêt public dans le domaine de la santé publique ou des traitements à des fins de recherche scientifique, sous réserve de garanties appropriées. Les traitements de données de santé sont d’un grand intérêt public et doivent donc être facilités.

 

  • Les garanties spécifiques pour la recherche scientifique 

Le RGPD prévoit donc un régime dérogatoire pour la recherche scientifique. Il prévoit ainsi des garanties appropriées pour limiter l’impact des traitements dans le domaine de la recherche sur les données traitées à travers des mesures techniques et organisationnelles telles que la pseudonymisation. Il prévoit ensuite des dérogations à certains droits des personnes concernées si ceux-ci venaient à empêcher ou sérieusement compliquer la réalisation des finalités poursuivies par le traitement, et qu’une telle dérogation s’y avérait donc nécessaire. 

Ce point se place dans le respect d’une certaine proportionnalité : le traitement de ces données n’est donc permis que lorsque la recherche le justifie et que des mécanismes de protection sont mis en œuvre pour protéger lesdites données. C’est ce qu’il en est du RGPD, qui se voit complété par un cadre national du traitement de données de santé en recherche universitaire, constitué de la loi Jardé et de la Loi Informatique et Libertés.

 

Le cadre national : la loi Jardé et la Loi Informatique et Libertés

 

  • L’encadrement spécifique de la recherche en santé : la loi Jardé

La loi Jardé de 2016 encadre les recherches biomédicales menées en France, et exclut de son champ d’application les recherches n’impliquant pas directement la personne humaine (RNIPH).

Elle distingue trois catégories de recherches impliquant la personne humaine (RIPH). 

  • Les RIPH 1 constituent les interventions non justifiées par une prise en charge habituelle, comme les protocoles comportant des actes médicaux invasifs. Pour mener une telle recherche, une autorisation de l’Agence nationale de sécurité du médicament et des produits de santé est nécessaire. Celle-ci évalue notamment les aspects pharmacologiques, toxicologiques et de sécurité des recherches. Aussi, un avis favorable du Comité de protection des personnes (CPP) est requis. Ce point garantit la validité scientifique de la recherche ainsi que la protection des personnes. Le consentement du participant est obligatoire, et doit être libre, éclairé et écrit.
  • Les RIPH 2, quant à elles, désignent les recherches comportant des risques et contraintes minimes, comme des actes de soins habituels réalisés dans un protocole de recherche. Un avis favorable d’un CPP est obligatoire, et le consentement du participant est obligatoire sauf exceptions.
  • Enfin, les RIPH 3 constituent les recherches non interventionnelles, alors dites « observationnelles », comme les études d’observation sur des pratiques cliniques. L’avis d’un CPP est encore requis, mais le consentement du participant peut-être remplacé par une information claire assortie d’un droit d’opposition : ici, le consentement est présumé.

Cette loi apporte ainsi un double niveau de protection au traitement de données de santé en recherche universitaire : une protection sanitaire et éthique à travers l’ANSM et les CPP, et une protection juridique et technique à travers son articulation avec le RGPD et la Loi Informatique et Libertés, qu’il y a alors lieu d’étudier.

 

  • La Loi Informatique et Libertés et la Commission Nationale Informatique et Libertés

La Loi Informatique et Libertés (LIL) de 1978 inclut deux mécanismes clés au régime spécial des traitements de données de santé en recherche.

La CNIL homologue des « méthodologies de référence » (MR). Elles portent sur la définition des acteurs impliqués dans les traitements, l’origine et la nature des données, les destinataires, la durée de conservation, la mise en œuvre et la sécurité des données, etc.

Quand un projet de recherche est strictement conforme à une méthodologie de référence, il peut être mis en œuvre sans autorisation préalable, sous réserve d’un engagement de conformité de l’établissement responsable du traitement adressé à la CNIL avant la mise en œuvre. Sinon, une autorisation individuelle de la CNIL sera nécessaire. Les méthodologies de référence applicables à la recherche sont les suivantes : 

Les RIPH comprennent les MR-001, MR-002 et MR-003

  • La MR-001 concerne les recherches dans le domaine de la santé avec recueil du consentement. 
  • La MR-002, quant à elle, concerne les études non interventionnelles de performance concernant les dispositifs médicaux de diagnostic in vitro. 
  • Enfin, la MR-003 s’intéresse aux recherches sans recueil du consentement.

Quant aux RNIPH : 

  • La MR-004 concerne les études et évaluations dans le domaine de la santé, 
  • Tandis que les MR-005 et MR-006 concernent le programme de médicalisation des systèmes d’information (PMSI) en s’attelant aux études nécessitant l’accès aux données du PMSI et aux résumés de passage aux urgences par les établissements de santé, fédérations hospitalières, et industriels de santé.

Il est à noter que lorsqu’une recherche nécessite un accès aux données médico-administratives nationales ou à des systèmes fils (des bases dérivées locales, par exemple), son projet doit alors être déposé sur la plateforme des données de santé nommée « Health Data Hub » avant de recevoir un avis du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé et enfin une autorisation de la CNIL. 

En résumé, la conformité, pour un chercheur universitaire en santé, se traduit par une identification de la catégories de recherche (RIPH/RNIPH et MR/autorisations), une sollicitation des instances nécessaires (DPO, CPP, ANSM, CNIL, CESREES), la mise en oeuvre de garanties techniques et organisationnelles, l’information des participants et le respect de leurs droits, ainsi que par une documentation de conformité en collaboration avec le DPO.

 

Ghanbary Nina, COMED

Master 2 Cyberjustice 2024/2025

 

Sources : 

 

Site de la CNIL pour les méthodologies de référence et les types de recherches



Étiquettes: , ,

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.