§2 Le cas particulier de la recherche médicale : des règles de protection spécifiques
B. L’encadrement particulier des traitements des données de santé dans le cadre de la recherche
139. Conscient du domaine délicat de la recherche et de l’importance d’éviter les déviances et les abus, le législateur a très tôt encadré l’utilisation et le partage des données de santé dans le cadre de la recherche. Ainsi, laloi n° 94-548 du 1er juillet 1994 relative au traitement de données nominatives ayant pour fin la recherche dans le domaine de la santé et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés190 est venue compléter la loi Informatique et Libertés afin d’y intégrer un chapitre consacré aux traitements de données à caractère personnel dans le domaine de la recherche médicale. Troisième volet du triptyque relatif à la bioéthique191, cette loi a fait l’objet d’une longue maturation et était très attendue des acteurs de la recherche médicale.192
140. Plus récemment, la loi de modernisation de notre système de santé a modifié le cadre applicable aux traitements des données à caractère personnel ayant pour fin la recherche dans le domaine de la santé, refondant ainsi le chapitre IX de la loi Informatique et Libertés, qui pose les principes applicables aux traitement de données à caractère personnel dans le cadre
187
V. en ce sens Marie CHEMTOB-CONCE, Marie-Christine. CAILLEUX, Anne. « L’impact des nouvelles dispositions de la loi relative aux recherches impliquant la personne humaine », op. cit., p. 30.
188 LEROYER, Anne-Marie. « Loi n° 2012-300 du 5 mars 2012 relative aux recherches impliquant la personne
humaine », RTD Civ., 2012, p. 384.
189
Ibid.
190
Loi n° 94-548 du 1er juillet 1994 relative au traitement de données nominatives ayant pour fin la recherche dans le domaine de la santé et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, JORF n°152 du 2 juillet 1994, p. 9559.
191
TÜRK, Alex. « Rapport au nom de la Commission des lois », Sénat, 1993/1994, p. 87.
192 MARLIAC-NEGRIER, Claire. « La protection des données nominatives informatiques en matière de
81
de la recherche (1). Par ailleurs, la CNIL a modifié sa méthodologie de référence applicable aux recherches biomédicales (MR001) et en a adopté une nouvelle (MR003) (2) simplifiant ainsi les démarches pour les chercheurs souhaitant mettre en place un traitement de données.
1) Les principes applicables aux traitements de données à caractère personnel dans le cadre de la recherche médicale
141. Par principe, les traitements ayant une finalité d’intérêt public de recherche, d’étude ou d’évaluation dans le domaine de la santé, doivent être autorisés par la CNIL. L’autorité prend sa décision après avoir recueilli d’une part l’avis du Comité de Protection des Personnes (CPP) en ce qui concerne les recherches impliquant la personne humaine telles que définies à l’article L. 1121-1 du Code de la santé publique ou du Comité d’Expertise pour les Recherches, les Etudes et les Evaluations dans le domaine de la Santé (CEREES) pour les demandes relatives à des recherches n’impliquant pas la personne humaine ou relatives à des études ou des évaluations. Ce comité, dont la composition exacte a été précisée par décret193, doit rendre son avis dans un délai d’un mois à compter de sa saisine, délai qui peut être ramené à quinze jours en cas d’urgence. Cet avis portera sur « la méthodologie retenue, sur la
nécessité du recours à des données à caractère personnel, sur la pertinence de celles-ci par rapport à la finalité du traitement et, s'il y a lieu, sur la qualité scientifique du projet ». Le
comité va apporter une caution éthique au projet de recherche.
142. A noter que ce comité vient remplacer l’ancien Comité Consultatif sur le Traitement de l’Information en matière de Recherche dans le domaine de la Santé (CCTIRS), qui avec la loi de modernisation de notre système de santé, disparaît. Cette suppression du CCTIRS au profit d’un comité rebaptisé mais ayant les mêmes missions peut intriguer. Cependant, le décret n° 2016-1872 du 26 décembre 2016194, qui vient préciser le fonctionnement du CEREES, tend à démontrer que le législateur a souhaité organiser celui-ci de manière plus précise.
193 Décret n° 2016-1872 du 26 décembre 2016 modifiant le décret n° 2005-1309 du 20 octobre 2005 pris pour
l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, JORF n°0301 du 28 décembre 2016, texte n° 34.
82
143. A ces formalités administratives, le chapitre IX de la loi Informatique et Libertés ajoute d’autres obligations à la charge du responsable du traitement. Ainsi, une liste d’informations à fournir préalablement à la collecte des données et de manière individuelle aux personnes concernées est dressée à l’article 57 de la loi Informatique et Libertés195
. Cette obligation d’information n’est pas absolue et deux exceptions sont prévues : la première concerne l’impossibilité de retrouver le patient encas de recherche rétrospective ; la seconde concerne l’hypothèse dans laquelle le médecin traitant estime pour des raisons légitimes que le patient doit être laissé dans l’ignorance du diagnostic.
144. A ce sujet, il est intéressant de signaler que ces dispositions sont aujourd’hui en contradiction avec la réforme du Code de déontologie intervenue le 7 mai 2012196. En effet, le Code de déontologie prévoyait en son article 35 la possibilité pour le médecin, de tenir un patient dans l’ignorance d’un diagnostic ou d’un pronostic graves et ce, pour des raisons légitimes qu’il appréciait en conscience. En prévoyant une possibilité de non divulgation de l’information par le praticien, le Code de déontologie était en opposition avec l’article L. 1111-2 du Code de la Santé Publique qui ne prévoit que trois exceptions à l’obligation d’information : l’urgence, l’impossibilité d’informer, la volonté du patient d’être tenu dans l’ignorance. Cette possibilité est désormais supprimée et remplacée par la disposition suivante : « toutefois, lorsqu’une personne demande à être tenue dans l’ignorance d’un diagnostic ou
pronostic, sa volonté doit être respectée, sauf si des tiers sont exposés à un risque de contamination ». Dès lors, il est légitime de se demander quelles vont être les dispositions qui
prévalent.
De notre point de vue, le Code de déontologie a été modifié afin d’être mis en conformité avec les dispositions du Code de la santé publique et renforcer ainsi le droit à l’information des patients. Dans cette optique, cette possibilité de tenir le patient dans
195
Cet article dispose : « Les personnes auprès desquelles sont recueillies des données à caractère personnel ou
à propos desquelles de telles données sont transmises sont, avant le début du traitement de ces données, individuellement informées :
1° De la nature des informations transmises ; 2° De la finalité du traitement de données ;
3° Des personnes physiques ou morales destinataires des données ; 4° Du droit d'accès et de rectification institué aux articles 39 et 40 ;
5° Du droit d'opposition institué aux premier et troisième alinéas de l'article 56 ou, dans le cas prévu au deuxième alinéa de cet article, de l'obligation de recueillir leur consentement. »
196 Décret n° 2012-694 du 7 mai 2012 portant modification du Code de déontologie médicale, JORF n°0108 du 8
83
l’ignorance d’un diagnostic ne devrait plus exister non plus dans le cadre de la recherche médicale, sauf à admettre que la recherche puisse bénéficier d’un cadre plus souple du fait des buts poursuivis. Or, nous estimons que les données du patient et, d’une manière plus générale, les droits du patients, doivent être protégés de la même manière, que le patient soit pris en charge dans le cadre d‘une activité de soins et de diagnostic ou dans le cadre d’une recherche médicale.
145. Parmi les obligations incombant au responsable du traitement, se trouve l’obligation d’anonymiser les données à caractère personnel, obligation à laquelle il ne peut plus être dérogé197. Enfin, il faut souligner que la loi Informatique et Libertés soumet toutes les personnes, amenées à mettre en œuvre les traitements ou ayant accès aux données sur lesquelles celui-ci porte, au secret professionnel tel que défini à l’article 226-13 du Code pénal. L’ensemble de ces démarches constituent les formalités préalables à la mise en place Cependant, des formalités simplifiées existent, par le biais des méthodologies de référence.
2) Les Méthodologies de Références MR001 et MR003
146. La version initiale de la loi du 1er juillet 1994 prévoyait la possibilité pour le Président du CCTIRS de mettre en œuvre une procédure simplifiée198
applicable aux traitements de données à caractère personnel ayant pour finalité la recherche en santé. Toutefois, ces dispositions ne contenaient pas plus de précisions quant aux recherches concernées ou aux modalités de mise en œuvre de cette procédure simplifiée.199
Néanmoins, la CNIL et le CCTIRS avaient adopté un régime simplifié de déclaration des essais cliniques en 1998200. Cette procédure simplifiée était applicable aux recherches entrant dans le champ d’application
197 L’article 55 de la loi Informatique et Libertés, dans sa version antérieure au 26 janvier 2016, prévoyait :
« lorsque ces données permettent l'identification des personnes, elles doivent être codées avant leur
transmission. Toutefois, il peut être dérogé à cette obligation lorsque le traitement de données est associé à des études de pharmacovigilance ou à des protocoles de recherche réalisés dans le cadre d'études coopératives nationales ou internationales ; il peut également y être dérogé si une particularité de la recherche l'exige. La demande d'autorisation comporte la justification scientifique et technique de la dérogation et l'indication de la période nécessaire à la recherche. ». Ces dispositions ont été supprimées par la loi de modernisation de notre
système de santé.
198
L’ancienne version de l’article 40-1 loi Informatique et Libertés alinéa 3 prévoyait la chose suivante : « le
président du comité consultatif peut mettre en œuvre une procédure simplifiée ».
199 PERRAY, Romain. « Traitement de données personnelles dans le cadre de recherches médicales : vers un
allégement des formalités », Revue Lamy droit de l’immatériel, 2007, n° 24, pp. 64-66.
200 Procédure simplifiée adoptée par le Comité consultatif le 3 février 1998 relative aux traitements
84
de la loi du 20 décembre 1988 modifiée sur la protection des personnes qui se prêtent à des recherches biomédicales.
147. La loi du 6 août 2004 modifiant la loi Informatique et Libertés initiale dans un premier temps, puis la loi de modernisation de notre système de santé plus récemment, ont précisé cette possibilité d’instaurer des procédures simplifiées. L’article 54, IV précise désormais : « pour les catégories les plus usuelles de traitements automatisés de données de santé à
caractère personnel à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé, la Commission nationale de l'informatique et des libertés peut homologuer et publier des méthodologies de référence destinées à simplifier la procédure d'examen. Celles-ci sont établies en concertation avec le comité d'expertise et des organismes publics et privés représentatifs des acteurs concernés ». Ces procédures vont permettre aux responsables de
traitement, en souscrivant à un engagement de conformité vis-à-vis d’une méthodologie de référence, d’éviter de formuler une demande d’autorisation auprès de la CNIL. Dans ce cas les traitements peuvent être mis en œuvre dès lors qu’ils respectent les conditions fixées par la Méthodologie de Référence (conditions en termes de sécurité du traitement notamment mais également en termes de durée de conservation des données).
148. Conformément à ces dispositions, la CNIL avait donc adopté, en 2006, une méthodologie de référence applicable aux traitements de données personnelles mis en œuvre dans le cadre des recherches biomédicales201. L’adoption de cette méthodologie de référence a été justifiée par le fait que les recherches biomédicales sont déjà encadrées de manière stricte et selon des méthodologies standardisées. La MR-001, qui a été récemment modifiée par la délibération CNIL n° 2016-262 du 21 juillet 2016202, s’applique aux essais cliniques de médicaments, à l’exception des essais cliniques dits "par grappe"203
, aux recherches biomédicales, aux recherches interventionnelles qui comportent une intervention sur la
201
Méthodologie de référence MR-001 pour les traitements de données personnelles opérées dans le cadre des recherches biomédicales.
202 Délibération n° 2016-262 du 21 juillet 2016 portant modification de la méthodologie de référence pour les
traitements de données personnelles opérés dans le cadre des recherches biomédicales (MR-001), JORF n°0189 du 14 août 2016, texte n° 76.
203
GIRAUDEAU, Bruno. «L’essai clinique randomisé par grappes », disponible sur [http://ipubli- inserm.inist.fr]. Consulté le 22 février 2017. Pour l’auteur « un essai clinique randomisé par grappes (cluster
randomization trial) est un essai dans lequel on ne randomise pas individuellement des sujets, mais des groupes de sujets qu’on appelle des « grappes » (clusters). Ces unités de randomisation peuvent être des hôpitaux, des médecins, des familles, des villages, des entreprises, autant d’unités "sociales" pour lesquelles les sujets qui composent une unité ne peuvent être considérés comme indépendants les uns des autres ».
85
personne non justifiée par sa prise en charge habituelle, aux recherches interventionnelles, qui ne portent pas sur des médicaments et qui ne comportent que des risques et des contraintes minimes (la liste de ces recherche a été fixée par un arrêté en date du 3 mai 2017204) et les recherches nécessitant la réalisation d’un examen des caractéristiques génétiques.
La Méthodologie de Référence n°3 (MR003) quant à elle a été adoptée avec la délibération CNIL du 21 juillet 2016 et publiée le 14 août 2016205. Elle s’applique aux essais cliniques de médicaments dits "par grappe", les recherches visant à évaluer les soins courants et les recherches non interventionnelles.
Le législateur a donc prévu plusieurs dispositions venant encadrer l’utilisation des données de santé dans le cadre de la recherche médicale. Cependant, il apparait opportun de s’interroger sur la force de cette protection.