Publication – La CNIL adopte de nouvelles méthodologies de référence pour faciliter le traitement de données personnelles en recherche
Afin d’alléger les formalités liées aux traitements de données de santé en recherche, et de renforcer la protection des personnes concernées, la CNIL a adopté cinq nouvelles méthodologies de référence adaptées au cadre juridique en matière de données de santé.
L’évolution des textes législatifs nationaux (loi relative aux recherches impliquant la personne humaine, loi informatique & libertés), la création du Système National des Données de Santé (SNDS), l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD), ainsi que par les retours d’expérience formulés par les acteurs de terrain sur les cadres existants, ont rendu nécessaire la mise à jour (MR-001 et MR-003) et la création (MR-004, MR-005 et MR-006) de ces méthodologies de références.
Celles-ci s’organisent et se caractérisent de la manière suivante :
MR-001 : Recherches dans le domaine de la santé avec recueil du consentement
La méthodologie de référence MR-001 encadre les traitements comprenant des données de santé et présentant un caractère d’intérêt public, réalisés dans le cadre de recherches nécessitant le recueil du consentement de la personne concernée ou celui de ses représentants légaux. Il est précisé que le consentement évoqué dans la méthodologie de référence est relatif à la participation à la recherche des patients et/ou à l’accord pour la réalisation d’un examen des caractéristiques génétiques, non à la base légale du traitement au sens du RGPD. Il s’agit plus précisément des recherches interventionnelles, y compris les recherches à risques et contraintes minimes, des essais cliniques de médicaments et des recherches nécessitant la réalisation d’un examen des caractéristiques génétiques. L’information individuelle des patients est obligatoire. Le responsable de traitement s’engage à ne collecter que les données strictement nécessaires et pertinentes au regard des objectifs de la recherche.
MR-003 : Recherches dans le domaine de la santé sans recueil du consentement
La méthodologie de référence MR-003 encadre les traitements comprenant des données de santé et présentant un caractère d’intérêt public, réalisés dans le cadre de recherches impliquant la personne humaine pour lesquelles la personne concernée ne s’oppose pas à participer après avoir été informée. Il s’agit plus précisément des recherches non interventionnelles et des essais cliniques de médicaments par grappe. L’information individuelle des patients est obligatoire. Le responsable de traitement s’engage à ne collecter que les données strictement nécessaires et pertinentes au regard des objectifs de la recherche.
MR-004 : Recherches n’impliquant pas la personne humaine, études et évaluations dans le domaine de la santé
La méthodologie de référence MR-004 encadre les traitements de données à caractère personnel à des fins d’étude, évaluation ou recherche n’impliquant pas la personne humaine. Il s’agit plus précisément des études ne répondant pas à la définition d’une recherche impliquant la personne humaine, en particulier les études portant sur la réutilisation de données. La recherche doit présenter un caractère d’intérêt public. Le responsable de traitement s’engage à ne collecter que les données strictement nécessaires et pertinentes au regard des objectifs de la recherche.
MR-005 : Études nécessitant l’accès aux données du PMSI et/ou des RPU par les établissements de santé et les fédérations hospitalières
La méthodologie de référence MR-005 encadre l’accès par des établissements de santé et des fédérations hospitalières aux données du Programme de Médicalisation des Systèmes d’Information (PMSI) et aux Résumés de Passage aux Urgences (RPU) mises à disposition sur la plateforme sécurisée de l’Agence Technique de l’Information sur l’Hospitalisation (ATIH). Les responsables de traitement ont l’obligation de documenter les projets menés dans le registre des activités de traitement. Les études menées doivent présenter un caractère d’intérêt public et aucun appariement avec d’autres données à caractère personnel n’est autorisé. Les responsables de traitement doivent enregistrer leurs traitements auprès d’un répertoire public tenu par l’Institut National des Données de Santé (INDS).
MR-006 : Études nécessitant l’accès aux données du PMSI par les industriels de santé
La MR-006 encadre l’accès par des industriels de santé aux données du PMSI de l’ATIH mises à disposition via une solution sécurisée. Les responsables de traitement ont l’obligation de documenter les projets menés dans le registre des activités de traitement. Les études menées doivent présenter un caractère d’intérêt public et aucun appariement avec d’autres données à caractère personnel n’est possible. Les responsables de traitement doivent enregistrer leurs traitements auprès d’un répertoire public tenu par l’INDS. Les industriels devront recourir à un bureau d’études/laboratoires de recherches ayant réalisé un engagement de conformité au référentiel fixé par l’arrêté du 17 juillet 2017 auprès de la CNIL. Ils devront également faire réaliser un audit indépendant tous les 3 ans sur l’utilisation des données et le respect de l’interdiction des finalités interdites.
Pour en savoir plus :
- MR-001 – CNIL et Legifrance
- MR-003 – CNIL et Legifrance
- MR-004 – CNIL et Legifrance
- MR-005 – CNIL et Legifrance
- MR-006 – CNIL et Legifrance