Méthodologie de Référence dans le domaine de la recherche en santé : pourquoi et comment s’y conformer ?
Introduction
Dans le domaine de la recherche en santé, la manipulation de données à caractère personnel est strictement encadrée.
A l’exception des études dites « internes », tout projet impliquant un traitement de données de santé doit faire l’objet d’une formalisation préalable auprès de la Commission nationale de l’informatique et des libertés (Cnil) :
• soit une autorisation, ;
• soit un engagement de conformité à une Méthodologie de Référence (MR).
Le respect d’une MR permet au promoteur (responsable du traitement au sens du RGPD) de simplifier la procédure : il n’a plus à solliciter d’autorisation formelle, mais simplement à déclarer sa conformité à la MR concernée.
Encore faut-il que le traitement respecte en tous points les conditions posées par la MR, conditions qui peuvent être vérifiées par la réalisation d’une analyse d’impact relative à la protection des données (AIPD).
1. Pourquoi se conformer à une Méthodologie de Référence ?
A. Le principe : une demande d’autorisation préalable
La Loi Informatique et libertés prévoit un régime d’autorisation pour les traitements de données de santé à des fins de recherche, d’étude ou d’évaluation.
Par principe, tout traitement automatisé de données de santé à ces fins doit faire l’objet d’une demande d’autorisation auprès de la Cnil.
La Cnil dispose de 2 mois pour se prononcer, délai pouvant être prolongé une fois si le CESREES (Comité éthique et scientifique pour les recherches, études et évaluations dans le domaine de la santé) est saisi.
En l’absence de réponse dans ce délai, la demande est réputée acceptée tacitement, sauf si un avis préalable obligatoire n’a pas été rendu. Ainsi, une autorisation tacite peut intervenir, conformément à l’article 66 de la Loi Informatique et libertés.
B. La dérogation : la conformité à une Méthodologie de Référence
La loi prévoit une dérogation à cette obligation lorsqu’un traitement est conforme à une une MR homologuée et publiée par la Cnil.
Les principales méthodologies de référence sont notamment :
- MR-001 : études interventionnelles nécessitant le consentement ;
- MR-002 : études non interventionnelles sur les dispositifs médicaux in vitro pour leur mise sur le marché ;
- MR-003 : études non interventionnelles ne nécessitant pas le consentement ;
- MR-004 : études n’impliquant pas la personne humaine ;
- MR-005 à MR-008 : encadrent l’accès aux données de santé du PMSI et du SNDS selon le type d’organisme et l’objectif poursuivi.
Le responsable du traitement doit alors déclarer sa conformité à la MR applicable. Cet engagement couvre ensuite tous les traitements ultérieurs respectant le même périmètre.
Cette procédure, plus légère, exige toutefois une analyse rigoureuse de conformité : le projet doit répondre intégralement aux conditions de la MR retenue.
2. Comment se conformer à une Méthodologie de Référence ?
A. Vérifier la conformité du traitement
L’adoption d’une MR suppose une revue systématique du traitement, étape par étape, afin de s’assurer qu’il respecte les exigences de la Cnil. Cette démarche :
• réduit les risques de non-conformité ;
• facilite la mise à jour du registre des traitements ; et
• renforce la sécurité juridique du projet.
Chaque MR prend la forme d’une fiche structurée décrivant les caractéristiques essentielles du traitement (finalités, base légale, durée de conservation, destinataires, mesures de sécurité, etc.).
En cas d’évolution du projet, le promoteur reste couvert tant que le traitement demeure dans le périmètre défini par la MR, sans nouvelle formalité d’autorisation.
B. Réaliser une analyse d’impact relative à la protection des données (AIPD)
L’analyse d’impact relative à la protection des données (art. 35 du RGPD) constitue un outil clé pour traduire la conformité théorique en conformité opérationnelle.
Elle est expressément prévue par plusieurs méthodologies (MR-001, MR-003, MR-004). La Cnil y précise que le responsable du traitement doit « réaliser une analyse d’impact couvrant les risques sur les droits et libertés des personnes concernées, et mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques identifiés ».
L’analyse d’impact peut être réalisée pour un ensemble d’opérations similaires, afin d’alléger la charge administrative.
C. Anticiper le « risque résiduel élevé »
Une AIPD doit obligatoirement être menée lorsque le traitement envisagé est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées » (art. 35 RGPD).
L’article 36 (1) du RGPD prévoit l’obligation, pour le responsable du traitement, de consulter l’autorité de contrôle, préalablement au traitement, lorsqu’une analyse d’impact effectuée au titre de l’article 35 indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque. Cette obligation est précisée par le Considérant (84) du RGPD de la manière suivante : « Lorsqu’il ressort de l’analyse d’impact relative à la protection des données que les opérations de traitement des données comportent un risque élevé que le responsable du traitement ne peut atténuer en prenant des mesures appropriées compte tenu des techniques disponibles et des coûts liés à leur mise en œuvre, il convient que l’autorité de contrôle soit consultée avant que le traitement n’ait lieu ».
Pour traduire cette obligation, le Comité européen de la protection des données (CEPD) emploie l’expression de « risques résiduels élevés » : « Lorsque le responsable du traitement ne parvient pas à identifier des mesures suffisantes pour réduire les risques à un niveau acceptable (à savoir que les risques résiduels demeurent élevés), une consultation de l’autorité de contrôle est obligatoire » (CEPD, Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679, adoptées le 4 avril 2017, WP248-rev.01, p. 22. ).
Autrement dit, certaines recherches peuvent être exclues du champ d’une MR lorsque, malgré les mesures de sécurité mises en œuvre, un risque résiduel élevé subsiste pour les personnes concernées.
Cette exigence invite les promoteurs à aller au-delà du formalisme réglementaire, en adoptant une approche proactive de la gestion du risque et de la documentation de la conformité.
Le cabinet Lexing accompagne les acteurs de la santé dans :
- • la mise en conformité de leurs traitements de données de santé (RGPD, MR, Loi Informatique et libertés) ;
- • la rédaction et la validation des AIPD ;
- • la constitution des dossiers Cnil ;
- • et plus largement, la sécurisation juridique de leurs projets de recherche.
Notre approche allie expertise juridique, connaissance du secteur de la santé et compréhension des exigences techniques du numérique.
Contactez-nous pour bénéficier d’un accompagnement personnalisé !
Pour en apprendre davantage
Isabelle Chivoret
Avocate, Directrice du département Santé numérique
Emma Gellé
Avocate, Collaboratrice Publicité & Marketing électronique
Le Règlement européen sur l’intelligence artificielle constitue un outil essentiel pour comprendre les enjeux juridiques et techniques que pose le RIA (ou AI Act). L’ouvrage analyse et souligne les points clé et analyse article par article ce texte...
La cobotique juridique #3 : Les malfaçons. Ce troisième épisode détaille les différents facteurs de malfaçons et comment les corriger...
Sommaire
- 1. Pourquoi se conformer à une Méthodologie de Référence ?
- A. Le principe : une demande d’autorisation préalable
- B. La dérogation : la conformité à une Méthodologie de Référence
- 2. Comment se conformer à une Méthodologie de Référence ?
- A. Vérifier la conformité du traitement
- B. Réaliser une analyse d’impact relative à la protection des données (AIPD)
- C. Anticiper le "risque résiduel élevé"
