La Plateforme des données de santé (PDS – ex « Health Data Hub ») vient d’apporter des précisions sur l’obligation de transparence des projets de recherche. On connaît l’obligation de transparence qui s’impose aux acteurs de la recherche clinique vis-à-vis des personnes, soit celles impliquées dans des recherches impliquant la personne humaine, soit celles dont les données personnelles sont traitées dans le cadre de la recherche. Souvent complexe, le régime de transparence vis-à-vis des personnes ne doit pas éluder l’obligation de transparence du projet de recherche en lui-même et de ses résultats.
Cette transparence s’organise autour de la PDS et de son répertoire public. Retours sur le périmètre de cette obligation et les récentes précisions de la PDS sur l’obligation de transparence.
L’obligation de transparence concernant les recherches impliquant la personne humaine
La recherche clinique en France se nourrit de cette dualité : recherches impliquant la personne humaine (RIPH) et recherches n’impliquant pas la personne humaine (RNIPH).
En matière de transparence sur les résultats de la recherche, cette distinction est prégnante.
En effet, un article dédié encadre la transparence des RIPH : l’article L.1121-15 du code de la santé publique prévoit que :
« Les recherches impliquant la personne humaine et leurs résultats, à l’exception de ceux relevant du secret de la défense nationale, sont inscrits dans un répertoire d’accès public selon des règles déterminées par décret ».
Malheureusement depuis le décret d’application de la loi Jardé relative aux recherches impliquant la personne humaine (décret n° 2016-1537 du 16 novembre 2016), plus aucune disposition réglementaire sur ce répertoire n’est applicable et le répertoire spécifique aux RIPH, visé à l’article L1125-15 du CSP, n’a pas d’existence réglementaire.
Avis aux autorités compétentes pour combler ce vide juridique !
L’obligation de transparence concernant les recherches n’impliquant pas la personne humaine à partir de données du SNDS
Concernant l’accès aux données du système national des données de santé (ci-après « SNDS »), celui-ci est accordé aux utilisateurs soit :
- Sous la forme d’un accès sur projet dans le respect d’une autorisation délivrée par la CNIL, ou d’un engagement de conformité à l’un de ses référentiels conformément aux dispositions de la LIL (Section 3 : Traitements de données à caractère personnel dans le domaine de la santé – Articles 65 et suivants de la LIL), soit
- sous la forme d’un accès permanent accordé à certains établissements/services limitativement énuméré par le CSP (Article R.1461-12 du CSP) .
À ce titre, nous rappellerons que les services de l’Etat, les établissements publics et les organismes chargés d’une mission de service public disposant d’un accès permanent sont tenus par l’obligation prévue par l’article le décret du 29 juin 2021 de déposer un rapport d’évaluation auprès de la Commission Nationale de l’Informatique et des Libertés (ci-après « CNIL ») sur l’étendue de l’autorisation accordée à regard de leurs missions respectives. Les établissements ou services concernés disposaient d’un délai maximal de trois ans à compter de la publication du décret précité pour communiquer ce rapport, soit jusqu’au mois de juin 2024, permettant à la Présidente de la CNIL une fois ce délai dépassé de saisir la formation restreinte de la CNIL (Article 6 Décret n° 2021-848 du 29 juin 2021 relatif au traitement de données à caractère personnel dénommé « système national des données de santé »).
Pour les utilisateurs du SNDS qui ne disposent pas d’un accès permanent au SNDS, là encore des obligations de transparence sur le projet s’imposent et ce, à deux stades différents (article L.1461-3 du CSP) :
-
Avant la mise en œuvre du projet
Le porteur de l’étude devra transmettre à la Plateforme des données de santé une déclaration des intérêts en rapport avec l’objet du traitement et le protocole d’analyse, précisant notamment les moyens d’en évaluer la validité et les résultats.
Ces dispositions sont rappelées au sein de la MR005, MR006, MR007 et MR008.
-
Après la mise en œuvre du projet dans un délai raisonnable
Le porteur de l’étude ou de l’évaluation, devra transmettre à la Plateforme des données de santé la méthode et les résultats de l’analyse et les moyens d’en évaluer la validité.
Là encore les MR005, MR006, MR007 et MR008 reprennent les dispositions de l’article L.1461-3 du CSP.
Les précisions de la PDS sur l’obligation de transparence pour les recherches intégrant des données du SNDS
Au sein des méthodologies de référence précitées il est indiqué que « L’enregistrement du traitement et la transmission des résultats sont effectués conformément aux modalités définies » par la PDS.
C’est ainsi que la PDS a organisé une session d’information sur l’obligation de transparence pour les données du SNDS et a précisé les éléments suivants qu’il convient de relever.
Une distinction est faite entre 2 formulaires selon que le projet :
- nécessite une autorisation de la CNIL (procédure classique, décision unique, modification substantielle) et/ ou un avis du CESRESS (c’est le cas des projets s’inscrivant dans les MR007 et MR 008) : pour cela il s’agit du formulaire du dépôt du dossier auprès de la PDS en qualité de guichet unique
- ne nécessite aucune formalité (accès permanent ou encore MR 005 et MR 006) : pour cela il s’agit du formulaire d’enregistrement des projets au répertoire public
Par ailleurs, lors de la phase 1 (Avant la mise en œuvre du projet), la fiche publiée par la PDS sur son site internet indiquera la description du projet, le calendrier, les acteurs, les fondements juridiques et les droits des personnes.
Concernant la phase 2 (Après la mise en œuvre du projet), celle-ci est précisée en termes de délai : le porteur du projet a 6 mois pour transmettre à la PDS ses résultats au format qu’il souhaite. A ce stade les résultats peuvent ne pas être publiés et restés confidentiels. Ces résultats ne seront pas mis en ligne par la PDS sur son répertoire public sans l’accord du porteur de projet. La PDS précise que c’est dans un délai de 3 ans à compter de la transmission des résultats à la PDS que les résultats du porteur seront partagés au public.
Enfin, une précision très importante est apportée sur le format des résultats. En effet, rien de plus simple pour les projets qui feront l’objet d’une publication sous forme d’articles scientifiques ou de communications lors de conférence… Une fois ses résultats publiés, le porteur devra transmettre cette publication à la PDS maximum un mois après sa parution. Elle alimentera ensuite le répertoire public des projets.
Mais qu’en est-il pour les projets dont les résultats ne font jamais l’objet d’une publication, tels que les projets réalisés à la demande des autorités ou pour les requêtes isolées ou itératives ?
La PDS vient (enfin) répondre aux nombreux questionnements des acteurs se trouvant dans cette situation. Elle précise que le format de ces résultats pourra être :
- La liste des traitements annuels ;
- Une fiche descriptive pour les projets conduisant à des rendus interactifs (visualisation, application, algorithme…) ;
- Un rapport d’analyse pour les projets destinés aux autorités ou pour tout autre résultat.
Les précisions de la PDS au sein de ces documents permettent de répondre à de nombreux questionnements mais révèlent également sa vision extensive du SNDS.
Concernant les recherches n’impliquant pas la personne humaine à partir de données de santé non issues du SNDS
A priori, dans le cas des recherches n’impliquant pas la personne humaine (RNIPH) à partir de données non issues du SNDS, les dispositions de l’article L.1461-3 du CSP ne s’appliquent pas.
Seules les dispositions d’un article souvent méconnu du décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés s’appliquent :
« […] Pour les traitements qui ne sont pas enregistrés dans le répertoire public mentionné à l’article L. 1121-15 du code de la santé publique, les traitements sont enregistrés dans un répertoire public mis à disposition par le secrétariat unique. » (article 110)
Cela est repris au sein de la MR004 qui prévoit expressément
« Le responsable de traitement est tenu d’enregistrer son traitement de données auprès du répertoire public mis à disposition par l’Institut national des données de santé. »
Pour ces recherches n’intégrant pas des données du SNDS il n’y aurait donc pas lieu d’appliquer les précisions de la PDS en termes notamment de délai ; ces précisions s’appliquant uniquement aux projets qui intègrent des données du SNDS.
On rappellera que pour mémoire l’accès aux données du SNDS central ou celles des systèmes sources du SNDS n’est pas compris dans le périmètre de la MR-004. Seule la réutilisation de données de systèmes fils du SNDS est possible, sans être obligatoire. Dès lors de nombreux projets s’inscrivant dans la MR 004 n’intègrent pas des données du SNDS.
Or, en intégrant les études s’inscrivant dans la MR004 au sein de sa communication relative à la transparence des données du SNDS, la PDS démontre sa vision extensive du périmètre du SNDS, y intégrant bien évidemment la base principale du SNDS et le catalogue (application de l’article R.1461-2 I) mais également toutes les « données financées par la solidarité nationale » constituant ainsi, selon la PDS, le SNDS élargi.
Il s’agit à notre sens d’une anticipation précipitée de la stratégie interministérielle pour construire notre patrimoine national des données de santé 2025-2028. En effet, celle-ci précise concernant le SNDS que son périmètre a vocation à s’élargir après la prise d’un arrêté ministre d’extension du SNDS, issu de travaux du Comité stratégique des données de santé lancés depuis mai 2022 (action 4.1). En l’absence de cet arrêté, cette vision extensive ne peut être adoptée. A en croire, toutefois l’ordre du jour de la séance plénière de la CNIL du 12 décembre 2024, cela ne devrait tarder !