Parmi les sources juridiques, nous connaissions les règlements européens, la loi, les ordonnances, les décrets, les arrêtés, etc., mais il va falloir dorénavant composer avec une toute nouvelle source du droit : la rumeur !
La recherche en santé est largement victime de ces rumeurs juridiques portées par diverses organisations qui assènent avec force des « vérités » juridiques, qui n’en sont pas !
Depuis des mois, la question de la signature électronique des consentements (e-consent) en est la parfaite illustration !
Les rumeurs entourant la signature électronique des formulaires de consentement
À force de dire que ce n’est pas possible, car le droit français ne le prévoit pas (en toute méconnaissance des principes généraux du droit) ou que c’est très compliqué, car il est nécessaire d’obtenir une autorisation de la CNIL, cela complexifie anormalement le quotidien des promoteurs et surtout nuit gravement à l’attractivité de la recherche française.
À titre d’illustration, un CPP a récemment conditionné la délivrance d’un avis favorable à l’obtention d’une autorisation du traitement par la CNIL, au seul motif qu’il était prévu un recueil du consentement par l’utilisation d’une solution de signature électronique et, que de ce fait, le promoteur ne pouvait donc pas être conforme à la méthodologie de référence (MR) 001.
Pourquoi le CPP s’est-il ainsi positionné ? Tout simplement parce que des rumeurs, des « on-dit », circulent, dans des milieux autorisés, sur le fait que la CNIL considérerait (s’agissant d’une rumeur non vérifiée nous resterons prudents en privilégiant le conditionnel !) que les solutions de signature électronique n’étant pas prévues par les MR actuelles, le responsable de traitement ne peut pas s’y déclarer conforme.
À défaut de pouvoir démontrer sa conformité à la MR, il doit donc obtenir une autorisation de son traitement auprès de la CNIL.
La rumeur n’est pas opposable
Cette rumeur appelle, en premier lieu, les commentaires suivants :
- Une rumeur n’est pas une source de droit
Il paraît bon de rappeler, y compris à des CPP qui doivent argumenter leur positon, que toute décision doit reposer sur un argumentaire juridique. En d’autres termes, une décision administrative doit être fondée juridiquement, ce qui implique que la base juridique soit clairement identifiée.
- Une rumeur crée des distorsions de concurrence inacceptables
La publicité des sources du droit (publication au Journal officiel, au bulletin, officiel, etc.), permet un égal accès à la connaissance juridique. L’ensemble des acteurs d’un secteur d’activité se trouvent sur un pied d’égalité face à la mise en œuvre d’une règle, notamment par les différentes administrations chargées de sa mise en œuvre.
Une rumeur juridique, donc non officielle, ne dispose pas de la publicité permettant de garantir l’opposabilité de la mesure et une concurrence saine entre différents opérateurs placés dans une situation identique. Elle doit donc être combattue.
Que nous apprend la rumeur ?
Les MR ne citent pas les éditeurs de solutions de signatures électroniques, et alors ?
Plus précisément, il serait reproché aux éditeurs de signature électronique de ne pas être cités par les MR parmi les destinataires de données directement identifiantes.
Pire, ces destinataires, qui agissent comme sous-traitants, disposent de données directement identifiantes et peuvent accéder à des données de santé.
En effet, les solutions de signature électronique collectent les informations identifiantes des potentiels participants (nom, prénom, coordonnées, titre d’identité, etc.) et les documents devant être signés (les notes d’information et formulaire de consentement) contenant des informations susceptibles de révéler des informations sur l’état de santé du signataire (titre du protocole, information sur la recherche, critère d’inclusion et d’exclusion, etc.) et donc des données de santé.
Nous ne contestons pas que de tels éditeurs de solutions informatiques ne soient pas cités parmi les destinataires des données de la recherche, mais pour autant faut-il considérer que ceci empêche un promoteur d’être conforme à cette MR ?
Si la réponse est positive, nous sommes au regret d’informer un grand nombre de promoteurs qu’ils sont largement exposés à un risque de sanctions en cas d’inspection de la CNIL.
Donc aucune solution digitale ne permet d’être conforme aux MR !
Nous pensons plus particulièrement à tous les promoteurs qui, dans un souci de sécurisation des traitements mis en œuvre pour leurs recherches, ont fait le choix de logiciels, de plateformes, de solutions numériques afin de collecter, via des e-CRF, les données pseudonymisées des participants et de les analyser.
Les éditeurs de ces solutions proposent de nombreuses fonctionnalités qui varient selon le statut de chaque intervenant, des niveaux de sécurités adaptés à la sensibilité des données traitées et permettent ainsi de se conformer aux exigences des MR (« Titre IV -Mise en œuvre et sécurité »).
Parmi ces fonctionnalités, nous pouvons parfaitement imaginer, au bénéfice des investigateurs ou des équipes d’investigation, la possibilité de saisir les données identifiantes des participants afin d’être en mesure de les contacter pour organiser les différentes visites de suivi ou assurer leur indemnisation, la possibilité de conserver les copies numériques des notes d’information et formulaires de consentement, etc.
Par voie de conséquences, les éditeurs de ces solutions, et/ou les hébergeurs des données permettant leur fonctionnement, se retrouvent donc potentiellement destinataires de données directement identifiantes et de données de santé concernant les participants aux recherches.
Si l’on suit la rumeur, les éditeurs de telles solutions (qui s’avèrent être également sous-traitant au sens du RGPD, du fait d’opérations d’hébergement, de maintenances, d’assistance, etc.) n’étant pas évoqués dans les MR, ne permettent aux promoteurs qui utilisent leurs solutions, d’être conformes à une quelconque MR !
En effet, il n’y a aucune différence entre un éditeur qui fournit une solution technique pour gérer les données d’une recherche et un éditeur qui propose une solution pour signer numériquement un document.
Dans les deux cas, il s’agit d’un outil choisi par un promoteur. Cet outil permet le traitement de données personnelles et l’éditeur/hébergeur, lorsqu’il intervient sur les données présentes dans cet outil pour des opérations d’hébergement, de maintenance, d’assistance, etc., doit être considéré comme un sous-traitant au sens du RGPD.
Ainsi et bien que ces solutions permettent d’améliorer considérablement la sécurité des données traitées, les MR ne s’appliqueraient pas car ce cas spécifique de sous-traitance n’est pas abordé.
Ne pas confondre destinataire direct et destinataire indirect hypothétique
Les dispositions des MR ne concernent, dans le cas qui nous occupe, que trois situations de sous-traitance où ces derniers ne peuvent avoir accès qu’aux données identifiantes en dehors de toutes données de santé :
- Remboursement des frais ;
- Suivi des personnes concernées ;
- Livraison des produits expérimentaux.
Pour autant, lorsque l’on recourt à des solutions informatiques qui, en seconde intention, impliquent une opération de sous-traitance sur les données pour les besoins du fonctionnement de cette solution (hébergement, assistance, etc.), peut-on réellement considérer qu’ils agissent comme sous-traitant pour les besoins de la mise en œuvre du protocole ?
Ne faudrait-il pas avoir une interprétation un peu plus fine de la notion de « destinataire » concernant le traitement mis en œuvre pour les besoins d’une recherche clinique ?
La MR pourtant semble opérer cette distinction en ne s’intéressant qu’aux destinataires qui vont jouer un rôle actif pour les besoins de la recherche :
« Sous la responsabilité du responsable de traitement ou en application de dispositions légales ou réglementaires spécifiques, les catégories de personnes décrites ci-après ont accès aux données traitées, dans les limites de leurs habilitations, au regard de leurs fonctions et dans des conditions conformes à la réglementation. »
En toute logique les MR ne s’intéressent spécifiquement qu’aux destinataires « opérationnels » et directs, à savoir ceux qui jouent un rôle actif dans la conduite de la recherche, et ne s’intéressent pas aux destinataires « techniques » et indirects, c’est-à-dire ceux qui interviennent pour le bon fonctionnement et la sécurité des outils numériques choisis par le promoteur.
Bien que ces destinataires techniques ne soient pas identifiés parmi les « destinataires de données directement identifiantes » (2.3.2 de la MR 001), ils convient de considérer qu’ils relèvent des dispositions relatives à la sécurité du traitement (Titre IV de la MR-001) et de celles concernant les sous-traitants (Titre VII de la MR 001).
En effet, lorsque le responsable de traitement réalise son étude de risque, en identifiant les flux, les supports utilisés, les mesures de sécurité mises en œuvre, etc., il analyse obligatoirement les conditions d’intervention de ces sous-traitants techniques et les obligations sur lesquels ces derniers s’engagent notamment en termes de périmètre d’intervention et de confidentialité stricte.
Par voie de conséquence, la rumeur selon laquelle ces destinataires techniques ne sont pas prévus ou évoqués par les MR et que cela conduit à écarter toute conformité aux MR, doit être nuancée.
La rumeur ne doit pas se substituer au principe de responsabilité (accountability)
Ce n’est que grâce à la réalisation d’une analyse d’impact sur la protection des données (AIPD/PIA) que le promoteur pourra, à l’issue de celle-ci, déterminer si son traitement est, ou non, conforme à la MR en cause.
Le promoteur aura la sagesse de considérer que les éditeurs des solutions digitales choisies (il s’agit avant tout d’outils techniques) et, le cas échéant, leurs sous-traitants chargés d’héberger les données collectées sont des destinataires techniques et indirects et qu’il est tout à fait normal qu’ils ne figurent pas parmi les acteurs d’une recherche clinique listés au sein de la MR.
Le promoteur appréciera les mesures techniques proposées par les solutions qu’il aura choisies et notamment les mesures de sécurité entourant l’hébergement des données administratives et des données de santé.
Enfin, sous réserve d’une évaluation favorable par le DPO du traitement et plus spécifiquement des mesures techniques proposées par les différentes solutions digitales utilisées, y compris celles permettant une signature électronique des formulaires de consentement, le promoteur pourra initier son traitement sans avoir à solliciter l’autorisation de la CNIL.
Voilà comment mettre fin aux rumeurs infondées qui complexifient inutilement le paysage de la recherche clinique française et redonner à notre recherche un peu d’attractivité !
⇒ Thomas ROCHE, Avocat
