Les accès précoce et compassionnel de médicaments, définis respectivement par les articles L. 5121-12 et L. 5121-12-1 du Code de la santé publique, et correspondant à l’utilisation de certains médicaments destinés à traiter des maladies graves, rares ou invalidantes sont subordonnées, notamment, à l’établissement et au respect, par l’entreprise assurant l’exploitation du médicament, d’un protocole d’utilisation thérapeutique et de recueil des données (PUT-RD), défini par la HAS.
Collecte et traitement des données dans le cadre du PUT-RD
L’obligation d’élaboration d’un PUT-RD se matérialise, notamment, par la collecte régulière de données en vie réelle réalisée par les prescripteurs, les pharmaciens et les patients bénéficiaires du traitement, sous la responsabilité de l’entreprise assurant l’exploitation du médicament concerné.
Deux référentiels, publiés par la CNIL le 22 septembre 2022, sont venus préciser le cadre juridique applicable aux traitements de données à caractère personnel constitués pour la mise à disposition du médicament sous autorisation d’accès précoce ou compassionnel. Il s’agit, pour l’accès précoce du référentiel RS-003 et pour l’accès compassionnel du référentiel RS-004.
Ces référentiels précisent[1], notamment, la nature des données à caractère personnel concernées par ce traitement, à savoir concernant les données d’identification du patient, les « trois premières lettres du nom et deux premières lettres du prénom, numéro, code alphanumérique ou code alphabétique, informations signalétiques (sexe, poids, taille, âge ou année et mois de naissance ou date de naissance complète si nécessaire dans un contexte pédiatrique), à l’exclusion du numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) et de l’identifiant national de santé (INS) ». Les données collectées dans ce cadre sont donc exclusivement des données pseudonymisées.
Exigence, par les référentiels, de recourir à des Hébergeurs de données de santé certifiés
Ces référentiels[2] imposent également au responsable de traitement ayant recours « aux services d’un sous-traitant pour l’hébergement, le stockage ou la conservation des données de santé », que ce sous-traitant soit un hébergeur de données de santé certifié conformément à l’article L. 1111-8 du Code la santé publique (CSP).
Si le responsable de traitement, à savoir le responsable des autorisations d’accès précoce ou compassionnel, souhaite se déclarer conforme à ces référentiels, il devra donc, en cas de recours aux services d’un sous-traitant pour l’hébergement, le stockage ou la conservation des données de santé, choisir un sous-traitant certifié hébergeur de données de santé (HDS). A défaut, le responsable de traitement devra solliciter une demande d’autorisation spécifique auprès de la CNIL, conformément à l’article 66, III de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite Loi Informatique et Liberté.
Remise en cause de l’exigence du recours à des Hébergeurs de Données de Santé certifiés
Le traitement de données mis en œuvre dans le cadre de l’autorisation d’accès précoce ou compassionnel a pour objectif d’améliorer les connaissances sur le médicament objet de cette autorisation, et poursuit donc une finalité scientifique.
De tels traitement de données à des fins d’amélioration des connaissances scientifiques se retrouvent notamment dans le cadre d’études observationnelles, à savoir les traitements de données à caractère personnel ayant pour finalité la réalisation de recherches, d’études et évaluation dans le domaine de la santé ne répondant pas à la définition des recherches impliquant la personne humaine et présentant un caractère d’intérêt public, objet de la méthodologie de référence MR-004.
Dans le cadre de telles recherches, la MR-004 prévoit que des données directement identifiantes peuvent être traitées.
Pour autant, cette méthodologie de référence n’impose pas que les sous-traitants du responsable de traitement soient des hébergeurs de donnée de santé certifiés HDS. La MR-004 se contente de rappeler que le responsable de traitement doit, lorsqu’il fait appel à un sous-traitant :
- s’assurer que celui-ci présente des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD, de la loi « informatique et libertés » et garantisse la protection des droits de la personne concernée ;
- conclure un contrat ou autre acte juridique précisant les obligations de chaque partie et reprenant les dispositions de l’article 28 du RGPD.
Force est donc de constater qu’il existe une différence notable entre la collecte de données dans le cadre du soin « classique » et celle réalisée dans le cadre d’un accès précoce ou compassionnel. Dans la première situation les données, qui seraient éventuellement hébergées auprès d’un tiers, sont des données directement identifiantes, alors que celles collectées dans le cadre d’un accès précoce ou d’un accès compassionnel (tout comme pour une recherche !) sont des données pseudonymisées c’est-à-dire indirectement identifiantes.
Une différence de traitement injustifiée
En synthèse, les référentiels relatifs aux autorisations d’accès précoce et compassionnel imposent que les sous-traitants du responsable de traitement soient certifiés HDS pour l’hébergement, le stockage et la conservation des données, alors même que ces données ont déjà fait l’objet d’un niveau de sécurisation, au moyen de la pseudonymisation ; lorsqu’en parallèle, la MR-004 n’impose pas une telle obligation pour des traitements de données directement identifiantes.
Pourquoi une telle différence de traitement est-elle instaurée ?
⇒ Solenne PINATEL, Avocate
[1] Point 7
[2] Article 4.6 du RS-003 et 4.5 du RS-004.
