Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

Comment concilier la recherche médicale et la protection des données de santé ?

Publié le par - 2503 vues

Vous êtes une start-up active dans l’e-santé ? Vous traitez des données de santé qui peuvent, directement ou indirectement participer à la recherche médicale ? Vous êtes un laboratoire pharmaceutique qui développe de nouvelles molécules ? Dans ce cas, les nouvelles normes méthodologiques adoptées par la CNIL sont faites pour vous. Elles tendent à concilier la protection des données et leur réutilisation à des fins de recherche.

Pourquoi ces normes ?

Conformément à la loi Informatique et Libertés, les traitements de données mis en œuvre dans le cadre des projets de recherche sont soumis à un régime d’autorisation préalable.

Quiconque s’est lancé dans ce travail fastidieux sait que le résultat est incertain. Il y a des avis à obtenir (comité consultatif), et une autorisation qui doit être délivrée (CNIL). Chaque cas d’espèce est différent. Toutes les spécificités des projets ne sont pas nécessairement connues des autres promoteurs, de sorte que même si l’on pense être proche de la situation d’un concurrent ayant obtenu l’autorisation, il peut-il avoir des détails qui font basculer le dossier.

Et puis, l’autorisation préalable à un coût. Un coût lié à l’intervention d’un spécialiste, mais aussi un coût lié à l’incertitude du résultat d’une part, et aux délais nécessaires d’autre part.

En 2010 déjà, la CNIL tentait de clarifier les choses en adoptant une norme méthodologique pour les projets de recherche nécessitant le recueil du consentement exprès ou écrit du patient ou de ses représentants. Il s’agissait d’une sorte de guide de bonnes pratiques qui permettaient de faciliter l’obtention de l’autorisation.

Depuis lors, on a assisté à deux phénomènes essentiels :

  • le développement proprement hallucinant de l’e-santé. Il existe des centaines de start-ups qui collectent des données médicales dans le cadre d’applications toutes plus séduisantes les unes que les autres, et qui ont comme dénominateur commun de générer des bases de données extrêmement utiles du point de vue de la recherche médicale.
  • L’adoption du GDPR. L’une des marques de fabrique du nouveau règlement consiste à modifier totalement l’approche au niveau des formalités administratives. En échange d’un allégement des formalités, le nouveau règlement responsabilise chaque responsable. D’une approche parfois trop administrative, on bascule dans un monde de calcul du risque, d’analyse d’impact, de traçabilité et de méthodologie.

Deux nouvelles normes

Pour ces raisons, la CNIL a adopté une refonte complète de sa norme de 2010 (recherche avec consentement).

Elle en a ajouté une seconde, concernant les recherches pour lesquelles le patient ne s’oppose pas à participer, après avoir été individuellement informé.

Désormais, les recherches entrant dans le cadre des méthodologies de références peuvent être lancées après obtention du récépissé de la CNIL, 48 h après avoir réalisé en ligne un engagement de conformité (déclaration simplifiée) à l’une des méthodologies de références.

Un seul engagement de conformité suffit pour réaliser l’ensemble des projets de recherches entrant dans le champ d’application de la méthodologie de référence. Il n’est alors pas nécessaire d’obtenir un avis du CCTIRS.

Selon la CNIL, à l’heure actuelle, plus de 50% des demandes d’autorisation adressées à la CNIL sont susceptibles d’entrer dans le champ d’application de l’une de ces méthodologies.

MR 001 : recueil du consentement

La méthodologie de référence MR-001 a fait l’objet d’une refonte complète, afin notamment d’étendre son champ d’application. Elle concerne désormais les recherches nécessitant le recueil du consentement exprès ou écrit du patient ou celui de ses représentants légaux.

Il s’agit plus précisément :

·         des recherches interventionnelles ou biomédicales, comprenant également les recherches interventionnelles à risques et contraintes minimes ;

·         des essais cliniques de médicaments encadrés par le règlement européen ;

·         des recherches nécessitant la réalisation d’un examen des caractéristiques génétiques.

MR 003 :  nihil obstat

La nouvelle méthodologie de référence MR-003 concerne les recherches pour lesquelles le patient ne s’oppose pas à participer, après avoir été individuellement informé.

Il s’agit :

·         des recherches en soins courants,

·         des recherches non interventionnelles,

·         des essais cliniques de médicaments par grappe.

Recherches exclues

N’entrent pas dans le cadre de ces méthodologies de référence les recherches :

·         nécessitant de recourir à l’identité des personnes concernées (nom, prénom), notamment dans le cadre d’un suivi longitudinal ;

·         nécessitant un appariement avec des données issues des bases médico-administratives ;

·         portant sur des données génétiques qui ont pour objet ou pour effet d’identifier ou de ré-identifier les personnes.

Principes de base

En contrepartie de cet allègement, le promoteur de la recherche s’engage à respecter strictement le cadre de la méthodologie de référence pour l’ensemble des recherches dont il a la charge, notamment :

  1. en informant individuellement  et par écrit les patients ;
  2. en s’engageant à ne collecter que les données strictement nécessaires et pertinentes au regard des objectifs de la recherche ;
  3. en n’utilisant que des données indirectement identifiantes : les données nominatives sont exclusivement recueillies et stockées dans une table de correspondance établie par le professionnel de santé qui prend en charge le patient. Cette table de correspondance permet de faire le lien entre l’identité du patient et le code qui lui sera attribué pour participer à l’étude. Le professionnel de santé qui prend en charge le patient est le seul à pouvoir la consulter ;
  4. en menant une analyse des risques pour la vie privée : le promoteur de la recherche devra définir et mettre en œuvre une politique de sécurité et de confidentialité. Elle devra être déterminée à la suite d’une étude des risques sur la vie privée des personnes concernées.

Plus d’infos ?

En prenant connaissance des méthodologies MR 001 et MR 003, disponibles en annexes.

En consultant le site de la CNIL.

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK