baner baner

Recherches médicales - protection des données de santé

Actualité publiée le
Recherches médicales et protection des données personnelles

Traitements de données à caractère personnel ayant pour fin la recherche dans le domaine de la santé

Il avait été rappelé dans le cadre d’un précédent article les principes à respecter par le responsable de fichiers lors de la collecte, du traitement et de la conservation de données personnelles. De même qu’avait été abordée la question des droits que la loi accorde aux personnes dont les données ont été collectées. (voir notre article sur le sujet). Il est ici uniquement question du traitement des données personnelles dans le cadre de recherches médicales. Ne sont pas concernés les traitements de données ayant pour fin le suivi thérapeutique ou médical individuel, lesquels obéissent à des règles différentes. Il en va de même de la collecte et du traitement de données dont l’objet est l’établissement d’études, dès lors que ces données sont réservées à l’usage exclusif du personnel qui assure le suivi des personnes concernées (études mono-centriques).

En matière de recherches médicales (etudes épidémiologiques, registres des cancers, recherches en pharmaco épidémiologie…), la collecte de données à caractère personnel obéit à une procédure particulière prévu par le chapitre IX de la loi du 6 janvier 1978 modifiée en août 2004.

Toute donnée de santé est par nature « sensible » et couverte par le secret professionnel, c’est pourquoi la loi Informatique et Libertés accorde une protection particulière aux personnes dont les informations personnelles ont été collectées.

Le secret professionnel peut néanmoins être levé à condition que la personne concernée soit clairement informée :

La collecte et le traitement de données de santé dans le cadre  de recherches médicales sont soumis à une procédure en deux étapes.

 

  • 1ère étape, demande d’avis auprès du CCTIRS :

Le responsable du traitement doit solliciter l’avis du Comité consultatif sur le traitement de l’information en matière de recherche dans le domaine de la santé (CCTIRS). Ce dossier comporte l’identité des responsables, le protocole de recherche, les avis rendus antérieurement par des instances scientifiques ou éthiques. Le Comité dispose d’un délai d’un mois pour notifier son avis. A défaut, l'avis est réputé favorable. En cas d'urgence, ce délai peut être ramené à quinze jours.

 

  • 2ème étape, demande d’autorisation auprès de la CNIL :

Une fois l’avis obtenu, une demande d’autorisation doit être effectuée auprès de la CNIL. Ce dossier comporte le formulaire de demande d’autorisation « recherche médicale », le dossier envoyé au CCTRIS et son avis, ainsi que les modalités d’information des personnes (note, consentement). La Commission dispose d’un délai de 2 mois, éventuellement renouvelable une fois, pour notifier son autorisation. A défaut de décision dans ce délai, son silence vaut décision de rejet.

 

L’utilisation, en matière de recherche, de données directement identifiantes doit rester exceptionnelle et être justifiée.

Toute transmission de données de santé, qu’elle permette l’identification directe ou indirecte de la personne concernée, doit faire l’objet de mesure de sécurité stricte afin d’assurer la confidentialité, l’intégrité ainsi que l’authenticité des informations communiquées. De même que le responsable du traitement doit veiller à ce que seules des personnes autorisées y aient accès.

Notez que pour les catégories les plus usuelles de traitements qui ont pour finalité la recherche dans le domaine de la santé et portent sur des données ne permettant pas une identification directe des personnes concernées, la Commission peut homologuer et publier des méthodologies de référence en concertation avec le CCTIRS. A ainsi été publiée une méthodologie de référence pour les recherches biomédicales (MR001) : essais cliniques, études préalables à la mise sur le marché de médicaments. Dans cette hypothèse, une déclaration simplifiée (engagement de conformité) auprès de la CNIL suffit.

Enfin, les recherches médicales, qui ne nécessitent pas de transmission d’informations directement ou indirectement identifiantes à l’extérieur de la structure responsable du traitement, relèvent du régime de la déclaration normale, sauf s’il existe une rupture dans le secret professionnel.

N’oubliez pas, tout responsable de fichiers peut voir sa responsabilité, notamment pénale, engagée s’il enfreint les dispositions de la loi Informatique et Libertés.

 

Aristote Avocat, cabinet d’avocat à Creil dans l’Oise










NOUS CONTACTER

Me Karim Boudenne

Avocat au barreau de Senlis
19, Rue Jesse
60100 Creil, Oise >plan d'accès

Tel : 09 70 90 20 57

Suivez Aristote sur

DEMANDEZ À ÊTRE RAPPELÉ

ACTUALITES