Essais cliniques: La CNIL veille à l'anonymat

01 mars 2007

Helene Lebon

Les essais comportant des données informatisées sur les patients, y compris sous forme codée, doivent désormais faire l'objet des formalités prévues par la loi Informatique et libertés.

Comme la Commission nationale de l'informatique et des liberlés (CNIL) l'a souligné à plusieurs reprises, le fait que les traitements mis en place par le promoteur dans le cas d'études cliniques ne comportent pas l'identité complète du patient (mais le plus souvent ses initiales et/ou un numéro d'ordre) ne constitue pas un traitement de données anonymisées au sens de la loi Informatique et libertés. Dans cette hypothèse, les données ainsi codées sont considérées comme étant indirectement nominatives (puisque l'investigateur dispose du moyen permettant d'identifier les personnes concernées). Par conséquent, les essais comportant des données informatisées sur les patients, y compris sous forme codée, doivent faire l'objet des formalités prévues par la loi Informatique et libertés. Conformément aux dispositions du chapitre X, les traitements de données sur des personnes, mis en oeuvre dans le cadre de recherches dans le domaine de la santé, doivent faire l'objet d'un avis du Comité consultatif sur le traitement de l'information en matière de recherche dans le domaine de la santé (CCTIRS). Et doivent être suivis d'une aulotisation de la CNIL. Le décrel d'application de la loi Informatique et libertés prévoit qu'il appartient au ({ responsable du traitement li de procéder à ces formalités. Le responsable du traitement, au sens de la loi, est l'entité qui détermine les finalités et les moyens du traitement. En matière de recherche, ces formalités incombent donc au promoteur et non au prestataire de recherche. Même si en pratique, le prestataire détient de nombreuses informations dont le promoteur a besoin pour remplir les dossiers. 

Le silence du comité. La procédure prévue par cette loi donne au CCTIRS un délai d'un mois pour se prononcer (ramené à 15 jours en cas d'urgence), le silence du comité à l'issue de cette période valant avis favorable. Le promoteur de la recherche doit ensuite demander l'autorisation de la CNIL qui dispose alors d'un délai de deux mois pour se pranoncer. Ce délai est renouvelable une fois sur décision motivée de son président, le silence de la CNIL valant pour sa part, une décision de rejet de la demande d'autorisation. Lorsque la recherche constitue une recherche biomédicale au sens des articles 1121-1 et suivants du Code de la santé publique, les formalités prévues par la loi Informatique et libertés n'interviennent qu'après l'avis du Comité de protection des personnes (CPP). En effet, ces formalités ne peuvent pas être effectuées parallèlement : le dossier déposé auprès du CCTIR5 doit comporter une copie de l'avis du CPP et le dossier transmis à la CNIL doit également comporter une copie de l'avis du CCTIRS. Le fait de mettre en place un tel traitement dans le cadre d'une recherche, sans procéder aux formalités préalables prévues par ladite loi, est pénalement sanctionné d'une peine pouvant aller jusqu'à 3 ans d'emprisonnement et 1,5 million d'euros pour les personnes morales. A cela vient s'ajouter les séillctions financières que la CNIL à le pouvoir de prononcer depuis la réforme de la loi Informatique et libertésintervenue en 2004. Heureusement, cette dernière laisse tout de même la possibilité à la CNIL d'alléger ces formalités dans le cadre de certaines recherches.

Méthodologie de référence. La CNIL a donc publié, en janvier 2006, une méthodologie de référence permettant aux promoteurs de recherches biomédicales, qui la respectent, de procéder à des formalités simplifiées auprès de la CNIL. Le document, adopté par la CNIL, encadre bien entendu le traitement de données personnelles concernant les patients, mais également celui des données personnelles concernant les investigateurs. Cette méthodologie de référence est réservée aux recherches biomédicales au sens de l’article L. 112l-1 et suivants du Code de la santé publique. Sont notamment exclus de cette méthodologie: la pharmacovigilance, les recherches épidémiologiques (sauf si elles constituent des recherches biomédicales au sens des articles 1121-1 et suivants du Code de la santé publique), les recherches portant sur l'étude des comportements, les recherches génétiques, qui ont pour objet d'identifier les personnes par leurs caractéristiques génétiques, ainsi que les autorisations temporaires d'utilisation telles que définies à l'article L. 512112 du Code de la santé publique. Les conditions posées par la CNIL sont les suivantes. Tout d'abord, les recherches biomédicales, pour pouvoir faire l'objet de procédures simplifiées, ne doivent pas contenir de données personnelles relatives aux patients. Ensuite, les données personnelles traitées doivent obligatoirement être collectées directement auprès des patients et des investigateurs, à l'exclusion de tout autre mode de collecte. Enfin, les catégories de données personnelles qu'il est possible de collecter, les fonctions des traitements, les catégories de personnes mettant en oeuvre le traitement ainsi que les catégories de personnes pouvant avoir accès au traitement, sont strictement énumérées. Par ailleurs, la méthodologie de référence impose une mention d'information et de recueil de consentement des personnes que les responsables de recherche doivent reprendre. Pour pouvoir procéder à la formalité simplifiée, les promoteurs de recherche doivent s'engager à répondre aux demandes d'accès dans un délai maximal de deux mois. La méthodologie fixe également une durée de conservation des données ainsi que des mesures de sécurités minimales. Parmi les mesures de sécurité que doivent mettre en oeuvre les responsables des recherches, la CNIL impose l'établissement d'une politique de confidentialité, de protection et de sécurisation des données, avec la mise en place de formations et d'un système de documentation qui trace ces formations. En ce qui concerne les transferts de données hors de l'Union Européenne, la CNIL indique que seules les informations codées ou anonymes pourront être transférées dans le cadre de la méthodologie. Si les responsables de recherches respectent l'ensemble des conditions posées par la méthodologie de référence, ils pourront procéder à une simple déclaration de conformité à la méthodologie pour la totalité des recherches qu'ils conduisent (et non plus comme auparavant à une procédure pour chacune des recherches mise en oeuvre, avec une réactualisatian annuelle).

Délai supérieur à quatre mois. En revanche, s'ils n'entrent pas dans le cadre des conditions posées par la méthodologie, ils devront procéder à une demande d'avis auprès du Comité consultatif sur le traitement de l'information en matière de recherche dans le domaine de la santé, suivie d'une demande d'autorisation auprès de la CNIL conformément aux dispositions des articles 53 et suivants de la loi Informatique et libertés. A cet égard, il convient de préciser que le CCTIRS ainsi que la CNIL, qui reçoivent des dossiers de demande d'avis et de demande d'autorisation, souhaitent que le promoteur indique, dans son dossier, les raisons pour lesquelles il estime que la recherche qu'il souhaite mettre en place n'entre pas dans le cadre de la méthodologie de référence. En conclusion, le promoteur qui souhaite mettre en place une recherche biomédicale doit prévoir un délai minimal supérieur à quatre mois (si les autorités concernées n'adressent pas de demandes complémentaires) entre le dépôt de la demande d'avis auprès du CPP, celle auprès du CCTIRS et enfin l'autorisation de la CNIL. Il doit également remplir ses dossiers de façon à éviter de susciter les questions complémentaires de la part des autorités concernées.