La recherche médicale : premier rappel à l’ordre pour l’année 2023
Les organismes qui se lancent dans des recherches médicales sont souvent interloqués par le cadre juridique applicable à ce type d’activités.
Bien entendu, ils auront connaissance de l’application du Code de la santé publique qui permet de distinguer différents types de recherches (recherches interventionnelles ou non interventionnelles, etc.). Ils auront également connaissance du RGPD : règlement général sur à la protection des données, prévoyant un bataillon de règles dès lors que l’on utilise des données relatives à des personnes physiques.
Le doute plane cependant sur l’application particulière de la Loi informatique et libertés et parfois sur le rôle de la CNIL.
Le 13 mars 2023, la CNIL a prononcé un rappel à l’ordre concernant deux organismes procédant à des recherches médicales. Ce rappel à l’ordre abordait deux points :
- L’obligation de mener une étude d’impact ;
- L’obligation d’information des personnes concernées.
A cette occasion, la CNIL a rappelé de manière succincte le cadre légal applicable à la recherche en France. Du fait de l’application combinée du RGPD, de la Loi informatique et libertés, et du Code de la santé publique, les recherches en santé doivent être autorisées par la CNIL ou être conformes à une méthodologie de référence, sauf à tomber dans la définition de « recherches internes ».
On précisera quelques éléments sur ce point.
- Les recherches « internes » sont des recherches réalisées à partir des données collectées pendant les soins par les professionnels de santé prenant en charge les patients, et pour leur usage exclusif (par exemple une recherche dans un hôpital menée au sein d’un même service, par les professionnels de ce service prenant en charge les patients du service).
- Les recherches « multicentriques » sont celles devant être spécifiquement encadrées.
Une recherche multicentrique est une recherche qui sort de la définition de “recherche interne”. Les données des personnes concernées peuvent être issues de différents organismes, les professionnels de santé également.
On précisera ici qu’il existe en fait que deux régimes de formalités à réaliser auprès de la CNIL dans des cas ciblés :
- Le régime de l’autorisation ou de déclaration pour les traitements présentant une finalité d’intérêt public et pour les traitements automatisés dont la finalité est ou devient, la recherche ou les études dans le domaine de la santé, ainsi que l’évaluation ou l’analyse des pratiques ou des activités de soins ou de prévention ;
- Le régime de la demande d’avis sur un projet d’acte réglementaire autorisant un traitement de données de santé.
En bref, le premier régime, et celui qui nous intéresse ici, peut se synthétiser de la manière suivante : pour répondre aux exigences françaises, le traitement devra être soit simplement déclaré auprès de la CNIL, soit autorisé par la CNIL.
- La simple déclaration concerne les cas de recherche correspondant à des formalités préalables.
- La demande d’autorisation concerne les cas de recherche ne correspondant pas à des formalités préalables.
La CNIL a d’ailleurs fourni deux fiches de synthèse pour vous aider ici et ici.
Mais qu’en est-il du cadre légal général ? C’est-à-dire de l’application du RGPD ?
C’est là que le rappel à l’ordre de la CNIL entre en jeu. Cette dernière a rappelé deux obligations importantes prévues par le RGPD.
- Concernant l’obligation d’information des personnes :
Il s’agit d’une obligation cruciale du RGPD, bénéficiant d’ailleurs de peu d’exceptions. On vous a présenté cette obligation dans un format vidéo ici.
En matière de recherche, certains organismes considèrent qu’ils ne traitent pas de données à caractère personnel et de fait, n’ont pas à remplir cette obligation. Ils peuvent aussi parfois considérer qu’ils entrent dans un des cas d’exception listés par le RGPD en matière de collecte indirecte…
entrent dans un des cas d’exception listés par le RGPD en matière de collecte indirecte…
Attention à une interprétation trop souple du texte !
La majorité des données traitées sont en fait des données pseudonymisées et donc bien des données à caractère personnel, c’est d’ailleurs ce que rappelle la CNIL.
Les exceptions du RGPD sont bien applicables, mais, au cas par cas peuvent être exclues du cadre de la recherche encadrée par des méthodologies de références. On vous invite donc vivement à bien lire le contenu des méthodologies auxquelles vos recherches peuvent se raccrocher et de vérifier le cadre prévu pour l’information des personnes. Un défaut d’information ferait sortir du cadre des méthodologie et pourrait contraindre l’organisme à demander l’autorisation de la CNIL.
- Concernant l’obligation de mener une étude d’impact :
Ce point ci nous a un peu plus surpris, on vous l’avoue. Pourquoi ? Pour répondre très simplement : les traitements de données à caractère personnel en matière de recherche répondent très souvent, voire tout le temps, aux critères rendant la réalisation des études d’impact obligatoire (données de santé, données de personnes vulnérables, large échelle, etc.)
Le rappel à l’ordre de la CNIL nous a donc semblé inattendu, mais bienvenu. Il montre l’intérêt de la CNIL sur un sujet rarement sanctionné et permet de rappeler cette obligation aux plus oublieux. On espère donc, que désormais, tout organisme se lançant dans la recherche remplira correctement son lot d’obligations.
Si vous vous sentez perdu ou ne savez pas par quel bout prendre cette obligation, on vous invite à consulter les ressources de la CNIL sur le sujet.
Et si de manière générale, vous cherchez à vous former sur l’encadrement des traitements de données de santé, n’hésitez pas à nous contacter ! 😉