Données personnelles, données de santé et recherche

Le 25 novembre 2020, le cluster FAME organisait un séminaire de valorisation des données de santé au sein du Laboratoire des Sciences du Numérique de Nantes. Ce séminaire donne lieu à deux articles sur le site internet (1/2).

Cet article a été rédigé à partir de la présentation donnée par Mme Emilie Masson le 25 novembre 2020, juriste auprès de la déléguée à la protection des données Gaelle Bujan au CNRS.

Cette illustration synthétise l’article sous la forme d’un arbre de décision (Emilie Masson / CNRS)

I. Définitions

Qu’est-ce qu’une donnée à caractère personnel ?

Le règlement général à la protection des données (RGPD), d’application directe dans notre droit depuis 2018, définit la donnée à caractère personnelle comme suit : « toute information se rapportant à une personne physique identifiée ou identifiable […] ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement […] ». Cette définition est la même dans le droit européen. Cela signifie qu’à partir du moment où l’on peut identifier une personne directement ou indirectement, on est soumis à cette loi.

Qu’est-ce qu’une donnée de santé ?

Les données de santé sont, d’après le RGPD, « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique […] ». Il précise que cela inclut l’ensemble des données se rapportant à l’état de santé physique ou mental passé, présent ou futur. Par exemple, le surpoids est considéré comme une donnée de santé puisqu’il laisse présager l’état de santé futur d’une personne physique.

Les données de santé concernent :

– la collecte d’informations pour s’inscrire à l’hôpital pour bénéficier de soin ou participer à des recherches

– tout numéro ou symbole permettant d’identifier une personne de façon unique

– les résultats de tests ou d’examens

– les (risques de) maladies et handicaps, les traitements, l’état psychologique ou biomédical d’une personne physique, et ce, indépendamment de sa source : que la donnée soit passée ou non par un établissement de santé ou par un médecin, cela reste une donnée de santé.

II. Données de santé et recherche en santé

Il est important de ne pas confondre donnée de santé et recherche dans le domaine de la santé, et de se poser la question : est-ce que mon sujet de recherche entre dans le domaine de la recherche en santé ?

Une étude peut recueillir des données de santé sans pour autant entrer dans le champ de la recherche en santé. Par exemple, si l’on interroge des personnes dans le cadre d’une étude sur le respect des procédures d’isolement en période de covid-19, il ne s’agit pas d’une recherche dans le domaine de la santé. Pourtant, on récolte bien des données de santé (contraction ou non du virus, tests, présence de symptômes…). Lorsque les recherches utilisant des données de santé n’entrent pas dans le domaine de santé, les procédures sont plus légères.

La recherche dans le domaine de la santé concerne le développement de connaissances biologiques et médicales, et les recherches sur la personne humaine en vue de faire avancer la santé.

III- Procédures applicables aux projets utilisant des données de santé

Dans le cas de la recherche dans le domaine de santé, on distingue deux catégories :

Les recherches impliquant la personne humaine, c’est à dire les recherches organisées et pratiquées sur des personnes volontaires saines ou malades avec pour objectif le développement de connaissances biologiques ou médicales. La loi Jardé, votée en 2012 (modifiée en 2016), présente trois niveaux de recherche, en fonction des risques et du degré d’intervention pour le patient :
- Les recherches interventionnelles à risque (dans ce cas le porteur sera généralement l’INSERM ou un CHU)
- Les recherches interventionnelles à risque minime
- Les recherches non-interventionnelles

Ces recherches nécessitent :

l’accord d’un Comité de Protection des Personnes (celui-ci est tiré au sort, on ne peut pas le choisir)
une étude d’impact sur la vie privée des gens. /!\ l’institution qui a la responsabilité des données a la charge de la preuve de la prise en compte des risques pour les participants.
un engagement de conformité à une méthodologie de référence. Par principe, il faudrait une demande d’autorisation préalable à la CNIL. Cependant, la loi a prévu des exceptions pour la simplification des démarches si on respecte les méthodologies de référence : MR-001 pour les risques forts et minimes (recherches interventionnelles) et MR-003 pour les recherches non-interventionnelles. Ces méthodologies décrivent l’ensemble des éléments à respecter.
si elle ne rentrent pas dans une des méthodologies de référence, une autorisation de la CNIL

Les recherches qui n’impliquent pas directement la personne humaine (c’est à dire recherche Hors Loi Jardé) : études de santé, prospectives etc. Deux procédures :
- 1. Utilisation de la méthodologie de référence MR-004 (même principe que ci-dessus). Le protocole peut être difficile respecter car il nécessite une information individuelle des personnes concernées. L’avis d’un comité d’éthique est juridiquement facultatif pour mettre en œuvre la recherche, cependant, il est de plus en plus demandé par les revues dans le cadre d’une publication. A Nantes, il est possible de s’adresser au Comité d’éthique pour la recherche non interventionnelle (CERNI). De plus, il est nécessaire de faire une analyse d’impact sur la vie privée et d’inscrire cette recherche au répertoire des recherches soumises à la méthodologie de référence MR-004.
- 2. Non-utilisation de MR-004. La procédure est plus lourde : le dossier doit être transmis au Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (CESREES) pour avis puis, si ce dernier est positif, à la CNIL pour autorisation. Il est également nécessaire de réaliser une analyse d’impact sur la vie privée.

Dans le cas de la recherche hors du domaine de la santé :

Les données de santé sont considérées comme des données sensibles de même niveau que les opinions politiques, philosophiques, religieuses, sexuelles… Ce sont des données de catégorie particulière. En principe, il y a une interdiction totale de collecter ces données afin de protéger les personnes contre d’éventuelles discriminations. Dans le monde de la recherche au sens large, il existe trois exceptions pour les collecter :

Les personnes concernées ont donné leur consentement explicite au traitement de ces données
Les données ont été rendues publiques par les personnes concernées (par exemple sur un blog), faisant ainsi tomber le caractère sensible de la donnée
S’il n’est pas possible d’évoquer l’une de ces deux exceptions, il est possible depuis 2018 de demander un avis préalable à la CNIL dans le cadre d’activités scientifiques. Le dossier est cependant très lourd.

Notes : Pour apporter la preuve de l’anonymisation de données : il est nécessaire que plus de 5 personnes d’une cohorte aient toutes les caractéristiques en commun (selon l’INSEE). Pour cela, il est nécessaire de renoncer à certaines caractéristiques très précises (date de naissance/age/ date précise d’arrivée/ nom de l’hôpital…) et de les remplacer par des caractéristiques plus générales (année de naissance ou tranche d’âge, année d’hospitalisation…).

Le CHU de Nantes dispose d’une procédure pour l’anonymisation des données validée par la CNIL.