Recherches dans le cadre de la santé : quelles sont les formalités ?
Les traitements de données de santé mis en œuvre à des fins de recherches, études ou évaluations dans le domaine de la santé sont strictement encadrés et nécessitent l’accomplissement de démarches spécifiques.
Les formalités préalables applicables aux recherches, études ou évaluations dans le domaine de la santé diffèrent en fonction de leur qualification et de leur périmètre.
1. Identifier le traitement : recherche, étude ou évaluation dans le domaine de la santé
Tout d’abord, il convient d’identifier si le traitement répond aux trois critères cumulatifs suivants, définissant une recherche, étude ou évaluation dans le domaine de la santé :
- il doit s’agir d’une recherche scientifique, c’est-à-dire un projet de recherche établi conformément aux normes méthodologiques et éthiques du secteur et conformément aux bonnes pratiques ;
- des données de santé doivent être collectées, c’est-à-dire des données personnelles relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne ; et
- la recherche doit relever d’un questionnement en matière de santé (médical, paramédical, sanitaire, etc.).
Les recherches, études ou évaluation dans le domaine de la santé ne sont pas des :
- entrepôts de données de santé qui, même s’ils sont constitués pour la mise en œuvre de projets de recherche ultérieurs, obéissent à un régime juridique distinct ;
- recherches scientifiques qui ne poursuivent pas une finalité en lien avec le domaine de la santé et/ou qui ne nécessitent pas le traitement de données relatives à la santé.
S’il s’agit effectivement d’une recherche, étude ou évaluation dans le domaine de la santé, il faudra ensuite procéder à sa qualification et identifier son périmètre.
Pour vous accompagner dans ces démarches, prenez contact en priorité avec le délégué à la protection des données (DPD) de votre organisme.
En l’absence d’un DPD, sollicitez en interne le service qui sera le plus à même de vous accompagner dans vos démarches (ex : service juridique, etc.).
Dans le cadre d’un mémoire ou d’une thèse, vous pouvez vous faire aider par votre université ou l’établissement de soin auquel vous êtes rattaché. Pour plus d’information sur la manière de procéder dans le cadre d’une thèse ou d’un mémoire, vous pouvez consulter la fiche dédiée.
2. Identifier le type de recherche et les formalités nécessaires
Qu’est-ce qu’une recherche « interne » ?
- Une recherche interne est réalisée à partir de données recueillies dans le cadre de la prise en charge individuelle des patients concernés (article 44.1 de la loi Informatique et Libertés) ; et
- par les personnels assurant ce suivi (la notion d’équipe de soins est définie à l’article L. 1110-12 du code de la santé publique) ; et
- pour leur usage exclusif.
Exemples d’études internes :
- Un médecin cardiologue exerçant à l’hôpital souhaite, pour mieux connaître ses pratiques (ex : indicateurs, taux de rémission, survie etc.), faire une étude sur les données des patients qu’il a suivis dans son service, à partir de leur dossier médical.
- une recherche menée par un interne en médecine, agissant sous la responsabilité d’un chef de service, à partir des données contenues dans les dossiers des patients suivis dans le service pendant son internat.
En revanche, sont exclues de cette qualification :
- une recherche menée sur les données de patients pris en charge dans différents établissements ou centres de soins ;
- une recherche menée par un étudiant non rattaché au service concerné de l’établissement de santé ;
- une recherche menée par un professionnel de santé nécessitant à la fois une réutilisation des données des patients qu’il a suivis dans son service ainsi qu’une collecte de données supplémentaires pour les besoins de l’étude (ajout d’un questionnaire, etc.) ;
- une recherche à l’initiative d’un organisme public ou privé auquel les données sont transmises par un professionnel de santé.
Lorsque la recherche, étude ou évaluation dans le domaine de la santé ne remplit pas ces critères, des formalités doivent être accomplies auprès de la CNIL.
Il convient alors de déterminer quelle est la méthodologie de référence applicable à la recherche, selon la qualification du projet (recherche impliquant la personne humaine (RIPH) ou recherche n’impliquant pas la personne humaine (RNIPH)).
Pour les recherches impliquant la personne humaine (RIPH)
Elles sont définies par les articles L.1121-1 et R.1121-1 du code de la santé publique (CSP), et se divisent en trois catégories, en fonction du risque encouru par le participant.
Il s’agit des recherches organisées et pratiquées sur l'être humain en vue du développement des connaissances biologiques ou médicales.
Il appartient au promoteur (et non à la CNIL) de qualifier la recherche au regard des dispositions du CSP.
Les catégories de RIPH
- Les recherches interventionnelles qui comportent une intervention sur la personne non justifiée par sa prise en charge habituelle (RIPH 1) ;
- les recherches interventionnelles qui ne comportent que des risques et des contraintes minimes, dont la liste est fixée par arrêté du ministre chargé de la santé (RIPH 2) ;
- les recherches non interventionnelles qui ne comportent aucun risque ni contrainte dans lesquelles tous les actes sont pratiqués et les produits utilisés de manière habituelle (RIPH 3).
RIPH : quelle méthodologie de référence (MR) peut s’appliquer ?
Vous pouvez vous référer aux MR-001, MR-002 et MR-003 en fonction de la finalité de votre traitement.
► Pour plus d’information : Traitements de données dans le domaine de la santé : les référentiels pour simplifier vos démarches
Pour les recherches n’impliquant pas la personne humaine (RNIPH)
Il s’agit des recherches dans le domaine de la santé qui ne relèvent pas des dispositions du CSP applicables aux recherches impliquant la personne humaine.
Les catégories de RNIPH
- Les recherches nécessitant une collecte de données supplémentaire pour les besoins de la recherche, faisant participer la personne mais ne répondant pas à la définition juridique de « recherche impliquant la personne humaine » (voir ci-dessus).
Exemple : étude effectuant évaluation des pratiques des médecins traitants auprès de leurs patients.
- Les recherches nécessitant exclusivement la réutilisation de données de santé.
Exemple : des études rétrospectives conduites sur des données déjà acquises dans le cadre du soin ou d’une précédente recherche (notamment à partir de dossiers médicaux, de registres ou d’entrepôt de données de santé, ou du Système nationale des données de santé - SNDS).
RNIPH : quelle méthodologie de référence (MR) peut s’appliquer ?
Vous pouvez vous référer aux MR-004, MR-005, MR-006, MR-007 ou MR-008 en fonction de la finalité de votre traitement.
► Pour plus d’information : Traitements de données dans le domaine de la santé : les référentiels pour simplifier vos démarches
Les textes de référence pour qualifier une recherche
- L’article 65.2 de la loi Informatique et Libertés (recherches internes) ;
- L’article L.1121-1 du code de la santé publique (catégories de RIPH) ;
- L’article R.1121-1 du code de la santé publique (définition des RIPH) ;
- Le site web du ministère de la Santé et de la Prévention (par exemple la page « Qualification des recherches »).
3. Effectuer les démarches nécessaires auprès de la CNIL
Les formalités requises consistent en une déclaration de conformité à une méthodologie de référence ou, à défaut de conformité en tous point à ce référentiel, en une autorisation préalable de la CNIL.
Dans tous les cas, le traitement devra également être inscrit par le responsable de traitement dans son registre des activités de traitement et une AIPD doit être réalisée avant sa mise en œuvre. Pour plus d’information sur les analyses d’impact relatives à la protection des données, vous pouvez consulter les fiches dédiées.
Hypothèse n° 1
Si la recherche est strictement conforme à une MR (selon la typologie de la recherche), seule une déclaration de conformité auprès de la CNIL est nécessaire.
Le responsable de traitement devra être en mesure de démontrer sa conformité à la MR à tout moment.
À noter : l’engagement de conformité à une MR n’est pas à réaliser pour chaque recherche. Il vaut pour l’ensemble des traitements d’un même responsable de traitement entrant dans le champ de la MR.
Hypothèse n° 2
Si la recherche n’est pas conforme à une MR, le responsable de traitement doit déposer une demande d’autorisation « recherche » en détaillant les points de non-conformité à la MR correspondante.
À noter : pour les RIPH, la demande devra être adressée à la CNIL après obtention de l’avis d’un comité de protection des personnes (CPP).
Pour les RNIPH, la demande devra être déposées auprès de la Plateforme des données de santé (PDS), qui se chargera de la transmettre au comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (CESREES) pour avis, puis à la CNIL pour autorisation.
Si la recherche concerne l’accès à l’échantillon national du SNDS (ESND), un référentiel permet sous réserve de conditions cumulatives précises (finalité, modalité d’accès, durée d’accès…), un unique examen par la PDS.
► Pour plus d’informations : Demande d’autorisation d’une recherche en santé : les informations à fournir et les critères d’octroi
4. Modifier une recherche
Si le traitement de données mis en œuvre dans le cadre de la recherche menée implique des modifications substantielles, c’est-à-dire portant sur ses caractéristiques principales, ces modifications nécessitent dans certains cas une nouvelle autorisation de la CNIL.
► Pour plus de précisions : Modification d’un traitement de données ayant pour finalité une recherche, une étude ou une évaluation dans le domaine de la santé