L’accès aux données de santé à des fins de recherche : Entre respect de la vie privée et haute technicité

Le projet de loi relatif à la santé prend en considération la technicité de la question des traitements des données de santé à caractère personnel mis en œuvre dans le cadre d’études, d’évaluations et de recherches en santé. Le projet de loi qui comporte aujourd’hui 57 articles a connu des modifications postérieures à son examen par le Conseil d’Etat.

L’article 47 de ce texte prévu au Chapitre V intitulé « créer les conditions d’un accès ouvert aux données de santé » vient notamment modifier le Code de la santé publique et la loi dite Informatique et Libertés (LIL – loi n°78-17 du 6 janvier 1978) emportant de nombreuses incidences sur le régime juridique de la recherche en santé.

Au titre des modifications apportées au Code de la santé publique, l’article 47 prévoit l’ajout d’un titre VI composé de deux chapitres.

Est ainsi prévue la création :

-d’un Système National des Données de Santé (SNDS) : y seront centralisées les données issues des bases de données de santé existantes.

Ces données seront mises à disposition selon des modalités différentes déterminées suivant leur nature. Les données pour lesquelles aucune identification n’est possible seront, selon le préambule « accessibles et réutilisables par tous en « open data » » ; les données dites potentiellement identifiantes (mais non directement, ce qui sous-entend que ni les noms et prénoms, ni le numéro NIR ne seront répertoriés) pourront être utilisées sur autorisation de la CNIL à des fins de recherche et, c’est aussi là une nouveauté, d’étude ou d’évaluation d’intérêt public dans le domaine de la santé ou sur autorisation par décret en Conseil d’Etat après avis de la CNIL pour l’accomplissement de missions de service public.

La Caisse Nationale d’Assurance Maladie des Travailleurs Salariés (CNAMTS) est nommément désignée responsable de traitement du SNDS.

-de l’Institut National de Données de Santé (INDS), lequel remplace l’ancien Institut des Données de Santé (IDS), sous la forme d’un GIE constitué entre l’Etat, les organismes assurant une représentation des malades et usagers du système de santé, les producteurs de données de santé et les utilisateurs publics et privés de données de santé incluant les organismes de recherche.

Son rôle est ainsi prévu : « il est chargé de veiller à la qualité des données de santé et aux conditions générales de leur mise à disposition garantissant leur protection et facilitant leur utilisation. ».

Tout acteur de la recherche en santé voit ici poindre des interactions avec la CNIL.

Et en effet, le texte précise immédiatement (futur article L. 1462-1 du CSP) que l’INDS “aura également pour rôle d’éclairer la décision de la CNIL sur l’intérêt public des recherches, études et évaluations“. En miroir, l’article 54 de la LIL modifiée dispose que l’INDS peut être saisi par la CNIL afin de donner son avis sur le caractère d’intérêt public que présente la recherche, l’étude ou l’évaluation justifiant la demande de traitement.

En outre, l’article 47 remanie en profondeur le cadre juridique applicable aux traitements de données à caractère personnel, et notamment de santé, que celles-ci soient ou non issues du SNDS, mis en œuvre à des fins de recherche, d’étude et d’évaluation en matière de santé. En effet, le chapitre X de la LIL qui concernait l’évaluation et l’analyse des pratiques de soin et de prévention disparait.

L’ensemble de ces traitements seront désormais soumis à autorisation de la CNIL au titre du nouveau chapitre IX.

Les dispositions modifiées du chapitre IX prévoient que la CNIL se prononce ensuite de :

-l’avis d’un Comité de protection des personnes (CPP) s’agissant des traitements mis en œuvre dans le cadre de recherches impliquant la personne humaine ;
-l’avis d’un Comité d’expertise scientifique (CES) s’agissant des traitements mis en œuvre dans le cadre d’études ou d’évaluations dans le domaine de la santé et dans le cadre de recherches n’impliquant pas la personne humaine. L’avis de ce Comité portera sur la nécessité d’avoir recours aux données dont le traitement est envisagé et sur la pertinence de leur utilisation au regard de la finalité du traitement, compte tenu de l’intérêt scientifique de l’étude, de l’évaluation ou de la recherche ainsi que de la méthodologie retenue.

La CNIL aura ainsi la possibilité (s’agissant de l’avis de l’INDS) ou l’obligation (CPP ou CES) de s’adjoindre l’examen et les avis d’entités dont l’expertise technique, scientifique ou sociale sera adaptée aux domaines concernés par les recherches, études et évaluations envisagées et rendant nécessaire le traitement des données sensibles que sont les données de santé.

Ce texte n’est pour l’heure qu’à l’état de projet. Son examen par le Parlement devrait être initié début 2015 !