La méthodologie de référence MR-004 encadre les traitements de données à caractère personnel à des fins d’étude, évaluation ou recherche n’impliquant pas la personne humaine. Il s’agit plus précisément des études ne répondant pas à la définition d’une recherche impliquant la personne humaine, en particulier les études portant sur la réutilisation de données. La recherche doit présenter un caractère d’intérêt public. Le responsable de traitement s’engage à ne collecter que les données strictement nécessaires et pertinentes au regard des objectifs de la recherche.
La personne responsable de l’étude qui en assure la gestion et vérifie que son financement est prévu.
À noter : même si le responsable de traitement n’est pas établi en France et que des personnes résidant en France participent à l’étude, conformément à l’article 5 paragraphe 1 de la loi « informatique et libertés », les dispositions spécifiques relatives aux recherches dans le domaine de la santé doivent être respectées (chapitre IX, section 2).
Dans ce cas, un responsable de traitement non établi en France a la possibilité d’adresser une déclaration attestant de la conformité à une méthodologie de référence auprès de la CNIL.
Seules les données indirectement identifiantes des personnes se prêtant à la recherche et les données directement ou indirectement identifiantes des professionnels intervenant dans la recherche peuvent faire l'objet d'un transfert hors de l'Union européenne. Le transfert doit être strictement nécessaire à la mise en œuvre de la recherche ou à l'exploitation de ses résultats, dans les conditions prévues par méthodologie de référence.
Le responsable de traitement désigne un délégué à la protection des données et tient à jour, au sein du registre des activités de traitement, la liste des recherches mises en œuvre dans le cadre de la MR.
Les traitements de données à caractère personnel visés par la méthodologie de référence ont pour objet la réalisation de recherches, études et évaluations dans le domaine de la santé ne répondant pas à la définition des recherches impliquant la personne humaine qui peuvent, en pratique, inclure deux types de recherches :
- Les recherches sur des données déjà collectées, lors du soin ou de recherches antérieures (réutilisation de données) ou des données collectées dans le cadre de la prise en charge médicale, au fil de l’eau ;
- Les recherches dans lesquelles la personne participe et pour lesquelles des données spécifiques liées à la recherche sont collectées sans répondre à la définition juridique de « recherche impliquant la personne humaine » et notamment à la finalité précisée dans le code de la santé publique (articles L.1121-1 et R. 1121-1 du code de la santé publique).
Chaque projet conforme à la MR 004 doit être enregistré dans un répertoire public tenu par la Plateforme des données de santé ou Health data hub (PDS ) et accessible sur son site internet (health-data-hub.fr).
Systèmes fils du SNDS :
Un responsable de traitement peut utiliser les données issues d’un système fils du SNDS pour un projet de recherche dans le cadre des méthodologies de référence, à condition que les dispositions spécifiques applicables au SNDS soient respectées à la fois :
- Par le responsable de traitement du système fils et
- Par le responsable de traitement de la nouvelle recherche utilisant les données du système fils.
Les exigences suivantes, prévues par les textes applicables au SNDS, doivent notamment être respectées :
- L’interdiction d’utiliser les données du SNDS pour les finalités décrites à l’article L. 1461-1 V du CSP (finalités interdites),
- Pour les industriels de produits de santé et les assureurs, l’accès aux données et la réalisation des analyses par un bureau d’études ou laboratoire de recherche ou la possibilité de démontrer que les modalités de mise en œuvre du traitement rendent impossible toute utilisation des données pour l’une des finalités interdites,
- Le respect du référentiel de sécurité applicable au SNDS,
- Le principe de transparence : transmission du protocole, de la déclaration des intérêts et des résultats à l’INDS.
Le responsable de traitement s’engage à ne collecter que les données pertinentes, adéquates et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
La nécessité de leur traitement doit être justifiée scientifiquement dans le protocole de recherche.
La liste des catégories de données des patients et des données des professionnels de santé pouvant être traitées est limitative et énumérée dans la méthodologie de référence.
Les données de santé des patients, leur âge, leur situation familiale ou leurs habitudes de vie peuvent, par exemple, être collectées.
Sont exclues les données qui ne figurent pas dans la liste prévue par la méthodologie de référence. Est par exemple exclue la collecte des données de géocodage, du NIR, des opinions religieuses, des données relatives aux infractions.
Les données des patients peuvent être conservées jusqu'à deux ans après la dernière publication des résultats de la recherche ou, en cas d’absence de publication, jusqu'à la signature du rapport final de la recherche.
Les données à caractère personnel des professionnels intervenant dans la recherche ne peuvent être conservées au-delà d'un délai de quinze ans après la fin de la dernière recherche à laquelle ils ont participé.
Elles font ensuite l'objet d'un archivage sur support papier ou informatique pour une durée conforme à la réglementation en vigueur.
L’accès aux données intervient sous la responsabilité du responsable de traitement ou en application de dispositions légales ou règlementaires spécifiques.
La méthodologie de référence distingue les destinataires des données directement identifiantes et les destinataires des données indirectement identifiantes.
Les personnes accédant aux données sont soumises au secret professionnel. Elles peuvent relever du responsable de traitement, des centres participants à la recherche ou de structures agissant pour le compte du responsable de traitement.
Seuls les professionnels et leurs collaborateurs intervenant dans la recherche dans un lieu de recherche peuvent conserver le lien entre l'identité codée des personnes se prêtant à la recherche utilisée pour associer les données de santé à caractère personnel et leurs nom(s) et prénom(s) (table de correspondance conservée de façon sécurisée).
Parmi les destinataires des données directement identifiantes des patients, figurent notamment les professionnels intervenant dans la recherche et les personnes responsables du contrôle et de l'assurance de qualité.
Par ailleurs, des sous-traitants, agissant pour le compte du responsable de traitement, peuvent être destinataires des données administratives d’identification des personnes se prêtant à la recherche (nom, prénom, coordonnées postales, électroniques et téléphoniques, coordonnées bancaires) sous certaines conditions et pour les missions précises [remboursement des frais, indemnités, suivi des personnes (envoi d’un message textuel, lien vers un questionnaire en ligne, etc.), livraison des produits].
Attention, le traitement de données directement identifiantes et de données de santé par le même sous-traitant reste exclu de la méthodologie de référence. Le traitement du nom de l’organisme responsable de traitement, même s’il peut révéler un domaine de santé (cancer, sida etc.) est admis dans la méthodologie de référence.
À noter : conformément aux articles 13 et 14 du RGPD, les coordonnées du délégué à la protection des données du responsable de traitement doivent être indiquées dans la note d’information des personnes. Le délégué à la protection des données peut potentiellement être destinataire de l’identité de la personne si celle-ci souhaite le contacter. En effet, conformément à l’article 38 paragraphe 4 du RGPD, les personnes concernées peuvent prendre contact avec le délégué à la protection des données pour toute question relative au traitement de leurs données ainsi qu’à l’exercice de leurs droits. Conformément à l’article 38 paragraphe 5 du RGPD, le délégué à la protection des données est soumis à une obligation de confidentialité ou de secret professionnel en ce qui concerne l’exercice de ses missions.
En ce qui concerne l’exercice effectif des droits, la personne concernée peut néanmoins être invitée à contacter le professionnel de santé investigateur l’ayant pris en charge, ce dernier connaissant son identité et son numéro d’inclusion figurant dans la base de données.
Ces précisions peuvent être apportées dans la note d’information destinée aux personnes concernées.
- Une information générale concernant les activités de recherche dans l’établissement doit être assurée auprès des personnes concernées (affichage dans les locaux, mention dans le livret d’accueil, etc.)
- A cette information générale s’ajoute l’information individuelle du patient inclus dans les recherches. Elle doit être réalisée pour chaque projet auquel le patient participe ou pour lequel les données du patient feront l’objet du traitement.
- Des données et/ou des échantillons biologiques recueillis non spécifiquement pour la recherche peuvent faire l’objet d’une réutilisation sans qu’il soit procédé à une nouvelle information individuelle des personnes concernées :
- Lorsque la personne concernée dispose déjà des informations prévues aux articles 13 ou 14 du RGPD ; ceci pourrait, par exemple, concerner plusieurs projets de recherche, menés par un même responsable de traitement avec des finalités identiques, des catégories de données identiques et des destinataires identiques ;
- Ou lorsque l’information délivrée lors de la collecte des données et / ou des échantillons biologiques prévoit la possibilité de réutiliser les données et/ou les échantillons, et renvoie à un dispositif spécifique d’information auquel les personnes concernées pourront se reporter préalablement à la mise en œuvre de chaque nouveau traitement de données (par exemple : un site Internet sur lequel serait présenté chaque projet de recherche mené sur les données et/ou échantillons collectés dans le cadre de l’information initiale).
Concernant les patients :
L’information individuelle doit être conforme aux dispositions de l’article 13 ou 14 du règlement général sur la protection des données.
Ainsi, pour chaque recherche, l’information du patient doit notamment porter sur:
- l’identité et les coordonnées du responsable de traitement ;
- les coordonnées du délégué à la protection des données du responsable de traitement ;
- la finalité du traitement de données (présentation du projet de recherche) ;
- la base juridique du traitement (article 6 du RGPD) ;
- la nature des informations qui seront utilisées dans la recherche ;
- les destinataires ou les catégories de destinataires des données ;
- les droits d’accès, de rectification, d’opposition, à l’effacement, à la limitation du traitement ;
- les modalités d’exercice de ces droits ;
- le caractère facultatif de la participation ;
- le cas échéant, le transfert de données à caractère personnel hors de l’Union européenne et la référence aux garanties appropriées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition ;
- la durée de conservation des données à caractère personnel ou les critères utilisées pour déterminer cette durée ;
À noter :
- Lorsque l’exception à l’information de la personne concernée prévue à l’article 14 paragraphe 5 point b) du RGPD est invoquée par le responsable de traitement (impossibilité d’informer les personnes, efforts disproportionnés ou le fait d’informer rend impossible ou compromet gravement la réalisation de l’étude), le responsable de traitement ne peut entrer dans le cadre de la méthodologie de référence. Il doit donc saisir la CNIL d’une demande d’autorisation.
Information des patients mineurs ou des majeurs protégés :
Doivent également être destinataires de l’information :
- si la personne concernée est mineure : chacun des titulaires de l’autorité parentale ;
- si la personne concernée est un majeur protégé : le représentant légal ;
- si la personne concernée est hors d’état de recevoir l’information : les membres de la famille ou la personne de confiance. La personne concernée devra toutefois être informée si son état le permet par la suite.
Concernant les professionnels de santé intervenant dans la recherche :
L’information est délivrée par une mention figurant sur des documents remis aux personnes concernées ou sur les conventions signées par les professionnels de santé intervenant dans la recherche. Cette information reprend les mentions prévues à l’article 13 du règlement général sur la protection des données.
La mise en œuvre de traitements de données à caractère personnel intervenant dans le cadre de la recherche s'effectue sous la responsabilité du responsable de traitement, et/ou chez des tiers agissant pour son compte.
Le responsable de traitement doit effectuer une analyse d’impact relative à la protection des données, qui doit couvrir en particulier les risques sur les droits et libertés des personnes concernées. Il met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques identifiés. Une seule et même analyse peut porter sur un ensemble d’opérations de traitement similaires.
Le responsable de traitement doit mettre en œuvre et contrôler l'application d'une politique de sécurité et de confidentialité en application de la méthodologie de référence.
