Demande d’autorisation d’une recherche en santé : les informations à fournir et les critères d’octroi
À l’exception des études « internes », tous les projets de recherche dans le domaine de la santé nécessitant un traitement de données de santé doivent faire l’objet d’une formalité préalable auprès de la CNIL. Ainsi, lorsqu’ils ne sont pas conformes à une méthodologie de référence, ces projets doivent être autorisés par la CNIL.
Quelles sont les questions à se poser avant de déposer une demande d’autorisation « recherche » ?
Avant de déposer une demande d’autorisation « recherche » auprès de la CNIL, il est nécessaire de vérifier que :
- le projet concerné est bien soumis à la loi Informatique et Libertés : le responsable de traitement doit être établi en France et/ou les personnes concernées doivent résider en France ;
- il s’agit bien d’un projet de recherche, d’étude ou d’évaluation dans le domaine de la santé au sens de la loi Informatique et Libertés : un projet de recherche scientifique en santé nécessitant la collecte de données personnelles relatives à la santé, qui sont particulièrement protégées. La recherche hors santé fait l’objet de règles distinctes.
S’il s’agit d’un projet de recherche dans le domaine de la santé :
- s’agit-il d’une recherche impliquant la personne humaine (au sens de l’article R. 1121-1 du code de la santé publique) ou d’une recherche n’impliquant pas la personne humaine ?
- s’il s’agit d’une recherche n’impliquant pas la personne humaine, s’agit-il d’une étude « interne » ? Pour rappel, les études menées à partir de données recueillies dans le cadre du suivi (thérapeutique ou médical) individuel des patients par les personnels assurant ce suivi et pour leur usage exclusif ne nécessitent pas d’autorisation de la CNIL (articles 65.1 et 44.1 de la loi Informatique et Libertés). Les trois conditions précédentes sont cumulatives.
- s’il ne s’agit pas d’une étude interne, quelle est la méthodologie de référence susceptible d’être applicable au projet ?
- le projet de recherche est-il en tous points conforme à ce référentiel ?
- si la recherche est strictement conforme à la méthodologie de référence applicable à la typologie de l’étude, le traitement ne nécessite pas une autorisation préalable de la CNIL et peut être mis en œuvre dans le cadre d’une déclaration de conformité à ce référentiel ;
- si ce n’est pas le cas, une demande d’autorisation « recherche » doit être déposée directement auprès de la CNIL (pour les recherches impliquant la personne humaine) ou de la Plateforme des données de santé (qui assure le secrétariat unique pour les recherches n’impliquant pas la personne humaine).
De quoi la CNIL a-t-elle besoin pour instruire la demande d’autorisation ?
Faut-il réaliser une analyse d’impact relative à la protection des données (AIPD) ?
L’avis du comité compétent a-t-il déjà été recueilli ?
Quels sont les points de non-conformité à la méthodologie de référence concernée ?
Comment la demande d’autorisation est-elle instruite par la CNIL ?
Quels sont les critères d’octroi de l’autorisation ?
L’instruction du dossier par la CNIL a pour objectif de vérifier que le projet de recherche respecte les dispositions pertinentes du RGPD et de la loi Informatique et Libertés ainsi que les autres dispositions particulières applicables aux recherches en santé, notamment issues du code de la santé publique.
Attention, certains éléments de conformité à la réglementation doivent être documentés et détaillés dès le stade de la demande d’autorisation ; d’autres relèveront de la responsabilité du responsable de traitement lors de la mise en œuvre du projet de recherche.
Avant d’autoriser un projet de recherche, la CNIL vérifie que le projet respecte un certain nombre de critères.
Pour tous les projets, il faut :
- avoir déterminé le ou les responsable(s) de traitement ;
- avoir identifié et encadré les rapports avec les sous-traitants ainsi que, le(s) responsable(s) de la mise en œuvre ;
- justifier d’une finalité « d’intérêt public » ;
- avoir une base légale ;
- respecter le « principe de minimisation » ;
- justifier de la nécessité de la communication de données à des destinataires extérieurs ;
- informer toutes les catégories de personnes concernées ;
- garantir l’exercice des droits « Informatique et libertés » ;
- limiter les durées de conservation des données à ce qui est nécessaire ;
- s’il y a des transferts de données en dehors de l‘Union européenne, les encadrer ;
- assurer la sécurité des données.
Pour des projets spécifiques, concernant certaines données ou certains acteurs, il faut également :
- lorsque le responsable de traitement n’est pas établi dans l’Union européenne, désigner dans certains cas un représentant en application de l’article 27 du RGPD ;
- si des données sensibles sont traitées, justifier de la licéité de ce traitement au regard de l’article 9 du RGPD ;
- en cas d’interconnexions, de rapprochements ou de mise en relation automatisée entre plusieurs fichiers, en décrire les modalités (variables d’appariement, circuit des données, etc.) ;
- en cas de traitement de données génétiques, respecter le cadre juridique propre à l’utilisation de ces données dans le cadre de recherches dans le domaine de la santé ;
- en cas de réutilisation de données issues d’une base existante, justifier que l’existence de cette base est elle-même légale ;
- en cas de traitement de données du SNDS, respecter la réglementation qui lui est propre, notamment le référentiel de sécurité relatif au SNDS.
Les informations indispensables et ces critères d’examen sont détaillés ci-dessous.
1) Avoir déterminé qui assume la responsabilité de traitement et avoir désigné un représentant au sein de l’Union européenne si nécessaire
2) Indiquer qui est sous-traitant, encadrer la sous-traitance par un contrat et mentionner qui est chargé de la mise en œuvre de l’étude
3) Justifier que la finalité (l’objectif) de la recherche est d’intérêt public
4) Mentionner la base légale du traitement et l’exception pour traiter des données sensibles
5) Justifier l’utilité des données traitées (principe de minimisation)
6) Vérifier la licéité du traitement, notamment en cas de réutilisation de données déjà collectées ou en cas de traitement de données génétiques
7) Identifier les destinataires des données et vérifier que la transmission de ces données est indispensable
8) Prévoir des modalités d’information adaptées en fonction des catégories de personnes concernées par l’étude
9) Garantir l’exercice des droits « Informatique et libertés »
10) Limiter les durées de conservation (en base active et en archivage)
11) Si des données sont transférées en dehors de l’Union européenne, encadrer ces transferts
12) Préciser les modalités d’interconnexions ou de rapprochements de fichiers
13) Assurer la sécurité des données et garantir les secrets protégés par la loi
14) Respecter la règlementation spécifique applicable aux traitements de données du SNDS
Les textes de référence
- Textes applicables aux RIPH (articles L. 1121-1 et suivants du CSP ; articles R. 1121-1 et suivants du CSP) - Légifrance
- Dispositions relatives au SNDS (articles L. 1461-1 et suivants ; articles R. 1461-1 et suivants) - Légifrance
- Arrêté du 22 mars 2017 (« référentiel de sécurité du SNDS ») - Légifrance