Recherche, étude ou évaluation dans le domaine de la santé : comment procéder pour une thèse ou un mémoire ?

La réalisation d’une recherche en santé est encadrée par le règlement général sur la protection des données (RGPD), la loi Informatique et Libertés et le code de la santé publique (CSP).

Pour vous aider à comprendre les obligations prévues par ces textes (informer les patients, définir une durée de conservation, accomplir une formalité, etc.), vous pouvez vous faire aider par votre université ou l’établissement de soin auquel vous êtes rattaché.

Votre structure a désigné un délégué à la protection des données (DPD) : prenez contact avec lui en priorité.

Sinon, sollicitez en interne le service qui sera le plus à même de vous accompagner dans vos démarches (ex. : service juridique, etc.).

Des grands principes à suivre

Dans une logique de responsabilisation des organismes, le RGPD pose des grands principes auxquels ces derniers doivent se soumettre, tout en renforçant les droits des personnes dont les données sont traitées.

Pour plus d’information sur les exigences prévues par le RGPD, vous pouvez vous référer aux fiches dédiées.

Des mesures de sécurité minimales à respecter

Afin de garantir la sécurité des traitements mis en œuvre lors de votre recherche, la CNIL recommande de suivre quelques précautions élémentaires :

• pour les ordinateurs portables ou autres matériels nomades : s’assurer que le disque dur est chiffré par le système d’exploitation ;
• tenir secrets ses mots de passe (ex. : ne pas les noter sur un post-it, ne pas les communiquer à un proche ou un collègue, etc.) ;
• utiliser des antivirus mis à jour et installer un « pare-feu » (firewall) logiciel ;
• effectuer dès que possible les mises à jour de sécurité des logiciels, idéalement en les configurant pour qu’elles se fassent automatiquement ;
• être prudent vis-à-vis des contenus extérieurs, notamment les courriels (contact inconnu, tournures employées inhabituelles, etc.), un document reçu, un lien de téléchargement sur un site web, etc. En cas de doute, ne cliquez pas ou n’ouvrez pas le document ;
• prévoir une procédure de verrouillage automatique de session et verrouiller son ordinateur dès que l’on quitte son poste de travail ;
• enregistrer régulièrement vos travaux pour éviter toute perte de données ;
• stocker les données sur un espace de stockage régulièrement sauvegardé accessible via le réseau interne de l’organisme plutôt que sur son poste de travail ;
• ne pas stocker les données collectées sur du matériel non sécurisé ou prévoir des moyens de chiffrement du matériel ;
• limiter l’usage de supports amovibles (ex. : clefs USB) à l’indispensable.

Pour plus de précisions sur la manière de sécuriser votre traitement de données, vous pouvez consulter le guide « sécurité des données personnelles ».

Attention : les violations de données (destruction, perte, altération ou divulgation non autorisée de données), doivent être signalées sans délai à votre établissement de rattachement (de soin, scolaire, universitaire) auquel vous êtes rattaché.

​Votre structure et vous-même devez identifier si votre traitement nécessite l’accomplissement d’une formalité préalable auprès de la CNIL.

En cas d’étude interne

Seules les « études internes » ne sont pas soumises à formalités auprès de la CNIL. Elles répondent à trois conditions cumulatives. Il doit s’agir d’une étude réalisée :

• à partir de données recueillies dans le cadre de la prise en charge individuelle des patients concernés ;
• par les personnels assurant ce suivi ;
• pour l’usage exclusif de ces derniers.

Dans tous les autres cas

À l’exception des études « internes », tous les projets de recherche, étude ou évaluation dans le domaine de la santé nécessitant un traitement de données de santé doivent faire l’objet d’une formalité préalable auprès de la CNIL, en se référant aux méthodologies de référence (MR).

Pour identifier la méthodologie de référence adaptée, il conviendra de se référer à la qualification de la recherche effectuée en amont :

• soit la recherche implique la personne humaine (RIPH) ;
• soit la recherche n’implique pas la personne humaine (RNIPH).

Une fois cette qualification effectuée :

• soit la formalité requise consiste en une déclaration de conformité à la méthodologie de référence identifiée ;
• soit, à défaut de conformité en tous points à cette méthodologie de référence, en une autorisation préalable de la CNIL.

Pour plus d’information sur la qualification de votre recherche et le type de formalité à accomplir, vous pouvez vous référer à la fiche dédiée.

Pour plus d’information sur le choix de la méthodologie de référence adaptée, vous pouvez vous référer à la fiche dédiée.

Pensez également à mettre à jour le registre des traitements et réaliser une analyse d’impact relative à la protection des données si nécessaire.

Si, en pratique, le traitement de données mis en œuvre dans le cadre de la recherche nécessite des modifications substantielles, c’est-à-dire portant sur ses caractéristiques principales du traitement de données, ces modifications nécessitent dans certains cas une nouvelle autorisation de la CNIL. Pour plus de précisions sur les cas les plus fréquents de modifications du traitement et leurs conséquences en termes de formalités, vous pouvez consulter la fiche dédiée.

Après la fin de votre recherche, les résultats de l’étude qui sont publiés ne doivent pas permettre d’identifier directement ou indirectement les personnes concernées (anonymisation), sauf si leur consentement a été recueilli à cette fin.

Enfin, assurez-vous de bien procéder à l’effacement des données à l’expiration du délai de conservation défini (voir étape n°3.).