Le point de vue développé ici est celui d’une juriste spécialiste des systèmes d’information de santé et de la protection des données. Après dix ans passés à la CNIL, j’ai rejoint l’Inserm en 2014 et suis en charge du pilotage de la politique de protection des données dans l’établissement.
L’essor des sciences et les technologies numériques a fait exploser la quantité et l’hétérogénéité des informations disponibles. Aux données scientifiques issues de la recherche clinique et en santé s’ajoutent des données médico-administratives recueillies initialement à des fins gestionnaires et des données issues de l’utilisation d’internet, de smartphones ou d’objets et de dispositifs médicaux connectés.
Ces données représentent un potentiel de contribution à la santé individuelle et collective dont la concrétisation dépendra de la validation par la recherche des méthodes et des outils et de la capacité à organiser le développement d’un écosystème facilitant l’accès et l’exploitation des données dans le respect de la vie privée des personnes et avec la rigueur et l’éthique, indispensables à la confiance numérique.
C’est pourquoi l’Inserm s’implique fortement dans l’organisation, la gestion et l’accès à ces données sensibles pour les communautés de recherche. Dans le prolongement du rôle d’opérateur d’extraction et de mise à disposition des données du Système national des données de santé (SNDS) pour des traitements mis en oeuvre à des fins de recherche, d’étude ou d’évaluation, que l’Inserm s’est vu confier par le décret relatif au SNDS, l’effort actuel de l’l’Inserm porte sur la mise en place d’une infrastructure nouvelle afin d’optimiser l’utilisation de ces données à des fins de recherche. La mutualisation et la combinaison des forces et des compétences permettront d’être à un puissant levier d’innovation scientifique dans le respect de la réglementation et de la sécurité des données.
Rappelons à cet égard que si le cadre juridique applicable à l’utilisation des données de santé à des fins de recherche n’est pas nouveau et présente déjà une dimension européenne, il est actuellement en cours de refonte tant au plan européen que national et présente un caractère complexe.
Le Règlement européen 2016/679 relatif aÌ la protection des personnes physiques à l’égard du traitement des données à caractère personnel et aÌ la libre circulation de ces données (RGPD) du 27 avril 2016, qui sera applicable le 25 mai 2018, marque un changement de paradigme. Alors que le régime de protection des données actuel repose en grande partie sur l’existence de formalités administratives préalables, le RGPD reposera sur une logique de conformité et de responsabilité des acteurs qui devront être en mesure de démontrer de façon continue la conformité des traitements qu’ils mettent en oeuvre à la réglementation. Ils seront soumis à des obligations nouvelles lourdement sanctionnées et devront mettre en place une véritable politique de gouvernance des données à caractère personnel (désigner un délégué à la protection des données, tenir un registre de tous les traitements, mener des études d’impact pour les traitements qui présentent des risques élevés pour la vie privée, documenter tous les processus en interne qui permettent de démontrer la conformité, notifier les failles de sécurité…).
En outre, il faudra articuler le RGPD avec le droit national dans la mesure oú il laisse d’importantes marges de manoeuvre aux États membres qui peuvent maintenir ou adopter des spécificités nationales pour certains types de traitements parmi lesquels figurent les traitements qui portent sur les données de santé, les données génétiques, le numéro d’identification national et les traitements à des fins de recherche scientifique. C’est la raison pour laquelle un projet de loi d’adaptation de la loi du 6 janvier 1978 au RGPD est en cours de discussion au Parlement, qui devra être articulé avec le cadre national applicable à la recherche en santé issu notamment de la loi du 26 janvier 2016 de modernisation de notre système de santé qui crée le SNDS, ainsi que l’ensemble des dispositions du code de la santé publique applicables
Dans ce contexte, la sécurité est une exigence dotée d’une force accrue et c’est particulièrement vrai dans le cas de maladies rares oú le risque de ré-identification des personnes est accru. Il en va de même du rôle des patients ou des personnes à l’origine des données qui est majeur. Pourtant, l’exigence d’une information individuelle spécifique à chaque projet issu de ces données et/ou échantillons est difficilement compatible avec les projets reposant sur une réutilisation secondaire renouvelée et réitérée de données ou d’échantillons biologiques faiblement identifiants, collectés à cette fin. C’est pourquoi, il est indispensable de concevoir des modalités d’exercice des droits souples et dynamiques, susceptibles de permettre aux infrastructures de répondre aux enjeux d’une meilleure compréhension des mécanismes pathologiques, tout en garantissant une meilleure maîtrise par les personnes des données et des échantillons biologiques qui les concernent. à cet égard, il faut saluer l’évolution de la doctrine de la CNIL sur ce point, illustrée par le projet de méthodologie de référence MR004 soumis à la concertation des acteurs représentatifs de la recherche. Celle-ci admet que l’information initiale renvoie à un dispositif spécifique d’information auquel les personnes pourront se reporter avant la mise en oeuvre d’un nouveau traitement (par exemple un site internet). Ce type d’approche apparaît de nature à favoriser l’utilisation des données en recherche tout en préservant l’autonomie des patients qui deviennent de véritables parties prenantes au projet. Il est également souhaitable que les patients ou leurs représentants intègrent les structures de gouvernance des infrastructures et participent à l’élaboration du projet, des principes directeurs et des procédures d’accès mises en place.