Comment encadrer les traitements de données de santé pour la recherche : guide de conformité

Dans le secteur de la santé, les projets de recherche impliquent généralement des traitements de nombreuses données personnelles des patients et des professionnels de santé. Cette exploitation des données de santé est encadrée en France par différents textes : le RGPD, la loi dite informatique et libertés (LIL) ou encore par les dispositions du Code de la santé publique. A ces textes s’ajoutent les recommandations des autorités compétentes, telles que la CNIL (Commission nationale de l'informatique et des libertés) ou l’ANS (Agence du numérique en santé).

‍

L’utilisation de données personnelles de santé à des fins de recherche est donc soumise au respect d’un cadre réglementaire et législatif fractionné. Il peut s’avérer complexe pour les acteurs d’y naviguer et de comprendre leurs obligations. Le présent article a pour objectif de présenter les principaux cas de figure et les règles de conformité associées.

‍

Un webinaire dédié à la réutilisation des données de santé que nous organisons avec notre partenaire Aumans Avocats complétera les principes exposés ici :

‍

‍

‍

‍

Qualifier le projet de recherche et les acteurs

‍

‍

Selon les caractéristiques du projet de recherche en santé envisagé, plusieurs régimes distincts seront susceptibles de s’appliquer. Il est donc primordial de définir en amont de la manière la plus précise possible les contours du projet de recherche et notamment :

‍

• Les intervenants au projet
• Les sources des données de santé
• Les catégories de données traitées
• L’étendue de la recherche médicale
• Le lieu de stockage des données

‍

Les rôles de chacun des intervenants au projet devront également être définis précisément. En fonction de leur degré d’immixtion dans la recherche, ces derniers se verront alternativement qualifiés de responsable de traitement (indépendant ou conjoint) ou de sous-traitant (initial ou ultérieur). Les critères à prendre en compte sont définis par le CEPD (Comité européen de la protection des données) au sein de ses lignes directrices n°07/2020.

‍

Par exemple, au sein d’un projet de recherche de type essai clinique, le sponsor (ou promoteur) de la recherche sera généralement considéré comme le responsable du traitement des données des patients, tandis que la CRO (Clinical research organization) sera le plus souvent qualifiée de sous-traitant car elle intervient sur instruction du sponsor de l’essai.

‍

Toutefois, les analyses des qualifications applicables doivent être réalisées au cas par cas, selon les caractéristiques et rôles de chaque intervenant au sein du traitement des données personnelles de santé effectué dans le cadre de la recherche.

‍

Également, un sous-traitant peut souhaiter réutiliser les données de santé qu’il collecte et traite pour le compte d’un responsable de traitement (par exemple, en tant qu’éditeur d’un logiciel en e-santé) afin d’effectuer des recherches ultérieures. Dans ce cas, il deviendra le responsable de traitement des données réutilisées, ce qui suppose notamment l’accord explicite et préalable du primo-responsable du traitement.

‍

Si ces considérations permettent de définir la répartition des obligations applicables en matière de protection des données à l’ensemble des intervenants au sein de la recherche, le cadre juridique applicable en lui-même doit également être fixé.

‍

‍

Le cas des recherches spécifiques : études internes et recherches en santé

‍

‍

Lorsque le projet de recherche porte sur une finalité précise et répond à une problématique spécifique en santé, ce dernier peut revêtir deux qualifications alternatives : il s’agira soit d’une étude interne, laquelle ne nécessite pas la réalisation de formalités préalables auprès de la CNIL car elle figure parmi les exceptions listées à l’article 65 de la loi informatique et libertés nᵒ 78-17 (ci-après la LIL) ; soit d’une recherche en santé.

‍

Pour être qualifiée d’étude interne, le projet de recherche doit répondre à trois conditions cumulatives :

‍

• Il s’agit d’une étude réalisée à partir de données recueillies dans le cadre de la prise en charge individuelle des patients concernés
• Il s’agit d’une étude réalisée par les personnels soignants assurant ce suivi
• Il s’agit d’une étude réalisée pour leur usage exclusif

‍

Si l’étude ne remplit pas ces critères, elle ne bénéficiera pas de l’exception à la réalisation de formalités préalables telle qu’elle est prévue par l’article 65 de la LIL. Or, il s’agira in fine de la majorité des projets de recherche, lesquels impliquent le plus souvent des laboratoires ou des CRO.

‍

Dans ce cas, le projet de recherche interne devra alors :

‍

• Se conformer en tous points à l’un des référentiels de la CNIL : les MR-001 à 008 (méthodologies de référence) et faire l’objet d’une déclaration de conformité auprès de la CNIL
• En l’absence de conformité à l’une des MR, le responsable du traitement devra constituer un dossier de demande d’autorisation de la recherche auprès de la CNIL

‍

En tout état de cause, il sera généralement nécessaire de réaliser une analyse d’impact relative à la protection des données (ci-après une AIPD) afin de se conformer à l’une des MR de la CNIL ou pour constituer son dossier de demande d’autorisation.

‍

Par ailleurs, il convient de souligner que les démarches de conformité effectuées pour une recherche spécifique ne pourront être étendues à une recherche ultérieure. Cette dernière devra alors faire l’objet d’un dossier de conformité propre.

‍

‍

Le cas de l’entrepôt de données de santé (EDS)

‍

‍

Les acteurs de la recherche en santé sont régulièrement confrontés à la problématique suivante : mon projet de recherche constitue-t-il un entrepôt de données de santé ou bien une recherche en santé ?

‍

Afin de déterminer si le projet correspond plutôt à la constitution d’un entrepôt plutôt qu’à la réalisation d’une recherche spécifique, il est nécessaire de vérifier si :

‍

• Le projet de recherche n’a pas de durée limitée et définie ou si les bases de données sont constituées pour une durée longue (par exemple 10 ans)
• Les bases de données ne disposent pas d’un objectif de recherche précis mais sont susceptibles d’être réutilisées pour plusieurs recherches différentes
• Les bases de données sont alimentées par des sources multiples et de manière continue dans le temps

‍

Lorsque le projet répond à la qualification d’entrepôt de données de santé, il pourra être mis en place sous réserve de respecter l’un des cadres suivants :

‍

• Soit l’entrepôt est mis en œuvre dans le cadre de la poursuite d’une mission d’intérêt public par le responsable du traitement et répond en tous points aux critères définis par le référentiel dédié établi par la CNIL
• Soit l’entrepôt ne répond pas à ces conditions et devra faire l’objet d’une demande d’autorisation auprès des services de la CNIL

‍

Dans le premier cas, seule une déclaration de conformité au référentiel de la CNIL devra être adressée à cette dernière.

‍

Enfin, il existe une autre alternative pour les acteurs du secteur de la santé : le recueil du consentement explicite des personnes concernées par le traitement de leurs données personnelles. Cette possibilité est prévue par l’article 65 de la LIL et permet aux acteurs, sous réserve du respect de l’ensemble des conditions classiques du RGPD, de se soustraire au régime de formalité préalable auprès de la CNIL.

‍

Dans tous les cas, il sera nécessaire de veiller à informer de manière complète et conforme aux articles 12 à 14 du RGPD les personnes concernées de la réutilisation de leurs données pour la constitution de l’entrepôt et pour l’ensemble des recherches ultérieures.

‍

A ce titre, la mise en place d’un portail de transparence, lorsqu’une information individuelle s’avère impossible, peut constituer une bonne pratique pour centraliser l’information relative à la constitution de l’entrepôt et aux recherches effectuées.

‍

Enfin, il est intéressant de noter que la CNIL a pu requalifier des recherches d’entrepôt de données de santé concernant des collectes de données effectuées sans autorisation. Ce fut le cas lors de sa décision de sanction à l’encontre de la société Cegedim santé en 2024.

‍

‍

‍

‍

Les règles en cas d’anonymisation des données de santé

‍

‍

Les projets de recherche peuvent s’appuyer sur des données anonymisées afin de bénéficier d’une plus grande souplesse dans le cadre de leur mise en œuvre. En effet, dès lors que les données personnelles traitées dans le cadre de la recherche font l’objet d’une anonymisation complète, les règles applicables à la protection des données ne trouvent plus à s’appliquer.

‍

Néanmoins, les acteurs devront être particulièrement vigilants lors de la mise en place d’un tel procédé d’anonymisation, notamment afin d’éviter l’écueil d’une requalification en simple procédé de pseudonymisation avec l’application complète des règles de protection des données. Par exemple, ce fut le cas en 2024 au sein de la décision précitée pour la société Cegedim santé qui s’est vue sanctionnée par la CNIL à hauteur de 800 000 euros.

‍

À l’heure actuelle, les critères d’évaluation d’un procédé d’anonymisation sont fixés par l’avis du G29 n°05/14. Ces derniers devront faire l’objet d’une analyse documentée par les acteurs et de tests préalables du procédé d’anonymisation retenu.

‍

Les règles en matière de création d’entrepôt de données, notamment à l’échelle européenne, et de recherche en santé sont susceptibles d’évoluer. Le règlement (UE) sur l’espace européen des données de santé (EHDS) n°2025/327, dont les dispositions entrent en vigueur entre 2027 et 2035, permettra notamment de fixer un cadre unique pour la constitution d’entrepôts de données européens.

‍

Enfin, le projet de règlement européen Omnibus, qui a pour vocation de simplifier certains règlements existants dont le RGPD, pourra également faire évoluer le cadre applicable aux traitements de données de santé effectués à des fins de recherche.

‍

Ces évolutions devront être suivies de près par les acteurs du secteur de la santé ainsi que leurs conseils.

‍

‍

‍

‍

{{newsletter}}