Le Chapitre IX de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés a été modifié de façon substantielle par la loi n°2016-41 du 26 janvier 2016 de modernisation de notre système de santé.

Il concerne désormais l’ensemble des « Traitements de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé. » Ainsi, un seul et même régime d’autorisation gouverne l’ensemble des types de recherche dans le domaine de la santé alors qu’au préalable, les chapitre IX et X encadraient respectivement les traitements à des fins de recherche dans le domaine de la santé, et avec une procédure plus souple, les traitements conduits à des fins d’évaluation ou d’analyse des pratique ou des activités de soins et de prévention.

Dans le cadre de cette procédure, la loi de modernisation de notre système de santé a prévu la création de l’Institut national des données de santé (« l’INDS ») qui est issue d’un avenant à la convention constitutive de l’Institut des données de santé mis en place en 2007 et auquel il succède [1]. Cette convention fixe cinq missions à l’INDS :

• veiller à la qualité des données de santé et aux conditions générales de leur mise à disposition, garantissant leur sécurité et facilitant leur utilisation,
• assurer le guichet unique pour les demandes d’accès aux données aux fins de recherche,
• émettre un avis sur le caractère d’intérêt public que présente une recherche, une étude ou une évaluation,
• faciliter la mise à disposition d’échantillons ou de jeux de données agrégées mentionnées dans des conditions préalablement homologuées par la Commission nationale de l’informatique et des libertés (CNIL),
• contribuer à l’expression des besoins en matière de données anonymes et de résultats statistiques, en vue de leur mise à la disposition du public.
  Il aura notamment pour mission d’autoriser l’accès au système national des données de santé (« SNDS ») créé par la loi de modernisation de notre système de santé. En effet, cette nouvelle procédure s’accompagne d’une réforme de l’accès aux bases de données médico-administrative.

Ainsi, deux décrets sont parus au Journal Officiel du 28 décembre 2016 :

• le premier porte sur le SNDS, il précise les modalités de gouvernance de ce système et la liste des organismes, établissements et services bénéficiant d’un accès permanent à ce système ainsi que les modalités de ces accès. Il précise également les finalités retenues pour utiliser ces données et les catégories de données présentes dans le SNDS.
• Le second porte sur les modalités de demande d’autorisation de traitement de données à caractère personnel ayant pour fin la recherche, les études et les évaluations dans le domaine de la santé : il précise les modalités de fonctionnement de l’INDS et du nouveau Comité d’expertise pour les recherches, les études et les évaluations dans le domaine de la santé (CEREES).

Le Règlement intérieur de l’INDS a été adopté par l’Assemblée Générale du 14 juin 2017 et il a ouvert, le 27 juillet dernier, un site web provisoire accessible à l’adresse www.indsante.fr rappelant les textes entourant la création de l’INDS, du SNDS et de la procédure d’autorisation de traitement de données à caractère personnel ayant pour fin la recherche, les études et les évaluations dans le domaine de la santé.

Les premiers dossiers peuvent être déposés à compter du 28 août et le nouveau CEREES devrait tenir sa première session d’expertise le 21 septembre prochain.

I- L’INDS, au cœur de la nouvelle procédure d’autorisation

L’INDS est au cœur de la nouvelle procédure du Chapitre IX. Son site internet rappelle que « le nouvel institut voit son rôle significativement augmenté […] Il devient le point d’entrée unique pour les demandes d’accès aux bases de données de santé, notamment au SNDS. Il a également pour mission d’évaluer l’intérêt public des projets qui lui seront soumis. »

En effet, la loi de modernisation de notre système de santé a institué le système national des données de santé regroupant les données issues du Système national d’information inter-régimes d’assurance maladie (SNIIRAM), incluant le programme de médicalisation des systèmes d’information (PMSI), celles du Centre d’épidémiologie sur les causes médicales de décès (CépiDC) de l’INSERM, les données médico-sociales de la Caisse nationale de solidarité pour l’autonomie (CNSA) et un échantillon des données de remboursement des complémentaires. Le SNDS a été instauré le 1^er avril 2017 en application d’un décret du 28 décembre 2016.

L’INDS est désormais au cœur du nouveau dispositif procédural puisqu’il tient à la fois le rôle de porte d’entrée de la nouvelle procédure et de l’autorité qui autorise l’accès au système national des données de santé (SNDS) et apprécie, avec la CNIL, l’intérêt public des projets qui lui sont présentés, selon une procédure encore complexe.

Sur l’appréciation de l’intérêt public présenté par les projets de recherche, la CNIL apprécie « l’intérêt public que la recherche, l’étude ou l’évaluation présente conformément au premier alinéa de l’article 54 de la loi Informatique et Libertés. »

L’INDS intervient également dans l’appréciation de l’intérêt public, puisqu’aux termes du sixième alinéa du II de l’article 54 de la loi Informatique et Libertés, il est indiqué que « … Dans des conditions définies par décret en Conseil d’Etat, l’Institut national des données de santé, prévu à l’ article L. 1462-1 du code de la santé publique, peut être saisi par la Commission nationale de l’informatique et des libertés ou le ministre chargé de la santé sur le caractère d’intérêt public que présente la recherche, l’étude ou l’évaluation justifiant la demande de traitement ; il peut également évoquer le cas de sa propre initiative. Dans tous les cas, il rend un avis dans un délai d’un mois à compter de sa saisine ».

Ces modalités ont été fixées par le décret précité du 26 décembre 2016.

Cette notion d’intérêt public, qui n’obéit pas à une définition juridique précise, introduit une subjectivité dans son appréciation et une inquiétude légitime de la part des acteurs qui s’inquiètent de l’importance désormais accordée à ce critère qui n’existait pas jusqu’à présent pour apprécier la conformité d’un projet de recherche aux règles de protection des données personnelles.

A cet effet, l’article 11 de la convention constitutive de l’INDS a créé un comité d’expertise sur l’intérêt public placé auprès du président de l’INDS et qui a pour mission d’établir et de maintenir une doctrine sur l’appréciation du caractère d’intérêt public d’une recherche, d’une étude ou d’une évaluation et de conseiller l’institut lorsqu’il doit émettre un avis sur le caractère d’intérêt public d’un dossier spécifique ainsi que sur toute question d’ordre éthique.

Aux termes de l’article 17 du Règlement intérieur de l’INDS, ce comité sera composé de 9 à 17 experts nommés intuitu personae et choisis par le conseil d’administration sur proposition du président en raison de leurs expériences et compétences.

Les premières positions de la CNIL et de ce comité sont évidemment très attendues dans la mesure où cette notion tient un rôle central dans l’appréciation des projets de recherche soumis à autorisation.

La procédure débute par le dépôt d’une demande d’autorisation auprès du secrétariat de l’INDS pour l’ensemble des recherches à l’exception de la catégorie des recherches impliquant la personne humaine qui relèvent des 1° et 2° de l’article L1121-1 du code de la santé publique et de celles visées au 3° du même article et qui concernent les produits de santé. [2]

L’INDS procède ensuite au tri des dossiers et selon leur nature les dirige vers un Comité de protection des Personnes (CPP) [3] ou vers le nouveau comité d’expertise pour les recherches, les études et les évaluations dans le domaine de la santé (CEREES), ce dernier délivrant un avis sur la nécessité du recours à des données à caractère personnel, la pertinence de celles-ci par rapport à la finalité poursuivie et le cas échéant, la qualité scientifique du projet.

Conformément à l’article 54 de la loi Informatique et Libertés, la CNIL est ensuite saisie après avis du CEREES ou du CPP selon les cas pour délivrer son autorisation « … dans le respect des principes définis par la présente loi et en fonction de l’intérêt public que la recherche, l’étude ou l’évaluation présente  ».

Dans les cas où le traitement nécessite l’accès aux données du nouveau Système national des données de santé, la procédure sera différente selon que l’organisme relève du secteur privé (en particulier les personnes produisant ou commercialisant des produits à finalité sanitaire et les établissements de crédit ou les entreprises d’assurance) ou du secteur public. [4]

Pour les premiers, le demandeur devra communiquer à l’INDS l’autorisation de la CNIL et une déclaration d‘intérêts en rapport avec l’objet du traitement et du protocole d’analyse, précisant notamment les moyens permettant d’en évaluer la validité et les résultats. L’INDS publiera sans délai l’autorisation de la CNIL, la déclaration d’intérêts, puis les résultats et la méthode. 

II- Une nouvelle procédure difficile à apprivoiser

Si le changement d’une procédure connue implique toujours un temps d’adaptation de la part des acteurs concernés, la mise en œuvre pratique de la procédure et son usage restent le meilleur marqueur de son efficacité.

D’ores et déjà, et avant même cette mise en œuvre, des interrogations apparaissent et sont de plusieurs nature. Les premières concernent l’absence de visibilité claire sur les procédures et les possibilités de simplification. Les secondes, plus inquiétantes, concernent l’interprétation de la notion d’intérêt public qui apparaît dans cette nouvelle procédure comme le critère central d’appréciation par les services de l’INDS de la possibilité ou pas de mener une recherche, et de justifier une différence de traitement entre le secteur privé et le secteur public.

Dans les cas où l’organisme ne sera pas en mesure démontrer que les modalités de mise en œuvre du traitement rendent impossible toute utilisation des données pour une finalité prohibée, il devra recourir à un laboratoire de recherche ou à un bureau d’études, public ou privé, pour réaliser le traitement. A cet effet, est paru le 17 juillet 2017 un arrêté relatif au référentiel déterminant les critères de confidentialité, d’expertise et d’indépendance pour les laboratoires de recherche et bureaux d’études. Il détermine les critères de confidentialité, d’expertise et d’indépendance auxquels doivent se conformer les laboratoires de recherche et bureaux d’études réalisant des services pour le compte, entre autres, de personnes produisant ou commercialisant des produits de santé.

Les conditions prévues par cet arrêté s’appliquent aux traitements de données à caractère personnel du Système National des Données de Santé (« SNDS ») dans le cadre de recherches répondant à un motif d’intérêt public et contribuant à certaines finalités, dont la recherche, l’étude, l’évaluation et l’innovation dans les domaines de la santé et de la prise en charge médico-sociale.

Ainsi, la demande présentée devra veiller au respect de ces critères, s’ajoutant au parcours déjà complexe rendant cette nouvelle procédure contestable.

En outre, les restrictions d’accès aux données de santé du SNDS, imposées à certains acteurs sans justification précise, ont conduit les fédérations hospitalières à refuser de participer à la constitution de l’INDS.

Par un communiqué de presse du 18 avril, la Fédération hospitalière de France (FHF), la Fédération de l’hospitalisation privée (FHP), la Fédération des établissements hospitaliers et d’aide à la personne privés non lucratifs (Fehap) et Unicancer ont signifié qu’elles ne participaient pas, à ce stade, à la constitution de l’INDS.

En effet, ces quatre fédérations considèrent que cette nouvelle procédure va à l’encontre de la volonté d’ouvrir ces données aux acteurs.

Ces fédérations dénoncent non seulement une restriction trop élevée multipliant les obstacles administratifs mais soulignent au surplus les inégalités résultant de l’accès permanent de certains organismes (restreint ou total).

La mise en place des instances impliquées dans la nouvelle procédure a été longue et ne devrait être opérationnelle que dans le courant du mois de septembre 2017, délais difficilement compatibles avec les projets des acteurs, ce d’autant que depuis novembre 2016, l’ancien CCTIRS ne reçoit plus de dossier et que le nouveau CEREES se réunira pour la première réunion de travail le 21 septembre prochain.

La compréhension des nouvelles procédures selon le type de recherche reste également difficile en particulier pour la catégorie des recherches non interventionnelles qui selon les interprétations pourraient relever directement de la MR-003 de la CNIL ou pas.

Heureusement, la loi donne à la CNIL le pouvoir de simplifier ces procédures. Plusieurs décisions récentes de la Commission montrent qu’elle s’inscrit résolument dans cette simplification préfigurant ainsi l’esprit et les dispositions du nouveau Règlement européen sur la protection des données personnelles du 27 avril 2016.

La CNIL peut homologuer et publier des méthodologies de référence pour les catégories les plus usuelles de traitements automatisés de données de santé à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé. C’est déjà le cas de la MR-003 relative à certaines recherches non interventionnelles.

La CNIL peut également adopter des autorisations uniques comme c’est le cas pour les traitements de pharmacovigilance pour des traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques.

Cette faculté de simplification est très attendue et sera de nature à rassurer les acteurs.

[1] Le groupement d’intérêt public de l’INDS a été créé par arrêté du 20 avril 2017 entérinant l’évolution de l’Institut des données de santé en Institut National des Données de Santé.

[2] Il s’agit des recherches interventionnelles qui comportent une intervention sur la personne non justifiée par sa prise en charge habituelle, des recherches interventionnelles qui ne comportent que des risques et des contraintes minimes, dont la liste est fixée par arrêté du ministre chargé de la santé, après avis du directeur général de l’Agence nationale de sécurité du médicament et des produits de santé et de celles des recherches non interventionnelles qui ne comportent aucun risque ni contrainte dans lesquelles tous les actes sont pratiqués et les produits utilisés de manière habituelle mais qui portent sur des produits de santé.

[3] Si les recherches relèvent de la catégorie des recherches interventionnelles qui comportent une intervention sur la personne non justifiée par sa prise en charge habituelle, l’ANSM doit également émettre un avis.

[4] En effet, aux termes l’accès au SNDS peut être sollicité soit à des fins de recherche, d’étude ou d’évaluation contribuant à une finalité mentionnée au III de l’article L 1461-1 et répondant à un motif d’intérêt public, soit lorsqu’il est nécessaire à l’accomplissement des missions des services de l’Etat, des établissements publics ou des organismes chargés d’une mission de service public (Décret n°2016- 1871 du 26 décembre 2016).