La plupart des projets de recherche clinique ou d’innovation médicale mobilisent des données de santé et cette tendance se renforce avec le développement des outils d’intelligence artificielle et la multiplication des sources de données (SNDS, entrepôts de données de santé, espace européen des données de santé, etc.). C’est l’occasion de faire un focus sur trois questions clés à se poser pour lancer son projet rapidement et sereinement.
Données personnelles ou données anonymes ?
Il s’agit de savoir si les données se rapportent à une personne identifiée ou qui peut être identifiée, même indirectement, via un identifiant patient ou par recoupement entre plusieurs bases de données.
- Dans l’affirmative, il s’agit de données personnelles soumises à un cadre juridique spécifique.
- Si l’identification est impossible, il s’agit de données anonymes dont l’utilisation présente de nombreux avantages : contraintes juridiques et règlementaires moindres, limitation des risques d’atteintes à la vie privée, respect du principe de minimisation des données…
Mais le caractère anonyme d’un jeu de données ne se présume pas. Il doit faire l’objet d’une évaluation juridique et technique soigneuse des différents critères posés par les autorités (individualisation, corrélation, inférence et risques de réidentification).
Quelles démarches règlementaires accomplir ?
En France, dans le domaine de la santé, l’utilisation de données personnelles nécessite de réaliser des formalités règlementaires auprès de la CNIL, avec quelques exceptions.
Deux options sont possibles :
- Soit la façon dont les données seront utilisées dans le projet respecte l’un des référentiels ou méthodologies de référence (MR) adoptés par la CNIL et il suffit de déclarer sa conformité à la CNIL,
- Soit l’utilisation des données qui est envisagée diffère de ceux-ci et il faut obtenir, au préalable, une autorisation de la CNIL pour mener le projet. En matière de recherche, d’étude et d’évaluation, cette autorisation doit être précédée de l’avis d’un comité éthique et scientifique (le CESREES).
Lorsque le projet le permet, la première option est à privilégier car elle est bien plus rapide à mettre en œuvre. Elle nécessite de décrire précisément de nombreux aspects juridiques et techniques concernant la façon dont les données seront utilisées dans une analyse d’impact relative à la protection des données qui servira aussi à démontrer la conformité au référentiel ou à la MR concerné(e).
Quels contrats conclure ?
Il existe des clauses spécifiques en matière de données personnelles (sous-traitance, responsabilité conjointe, partage en vue d’une réutilisation, transfert hors UE…) qui s’intègrent en général dans un contrat dont l’objet est plus vaste (prestation, collaboration, mise à disposition, etc.).
En matière de recherche et d’innovation en santé, il faut être particulièrement vigilant :
- A la façon dont les différents acteurs seront amenés à s’assister pour respecter certaines obligations et en particulier l’information des personnes concernées par les données ;
- Aux droits de propriété intellectuelle, notamment sur les bases de données, en particulier lorsque des organismes du secteur public sont impliqués car ceux-ci sont soumis à des règles spécifiques destinées à faciliter la réutilisation de leurs données.
.svg)
.svg)
.svg)
.svg)
%402x.svg)