Recherche, étude ou évaluation dans le domaine de la santé : comment procéder pour une thèse ou un mémoire ?
Recherche, étude ou évaluation dans le domaine de la santé : comment procéder pour une thèse ou un mémoire ?
27 décembre 2023
Vous rédigez une thèse ou un mémoire dans le domaine de la santé ? Vous êtes amenés dans le cadre de vos travaux à traiter des données sensibles (données relatives à la santé notamment) de personnes ? La CNIL rappelle vos obligations et indique les bonnes pratiques à suivre.
1- Rapprochez-vous du service compétent en interne
La réalisation d’une recherche en santé est encadrée par le règlement général sur la protection des données (RGPD), la loi Informatique et Libertés et le code de la santé publique (CSP).
Pour vous aider à comprendre les obligations prévues par ces textes (informer les patients, définir une durée de conservation, accomplir une formalité, etc.), vous pouvez vous faire aider par votre université ou l’établissement de soin auquel vous êtes rattaché.
Votre structure a désigné un délégué à la protection des données (DPD) : prenez contact avec lui en priorité.
Sinon, sollicitez en interne le service qui sera le plus à même de vous accompagner dans vos démarches (ex. : service juridique, etc.).
À noter : la désignation d’un DPD est obligatoire pour les établissements publics de santé ainsi que les établissements publics scolaires et universitaires.
2 - Vérifier votre conformité aux exigences prévues par les textes
Des grands principes à suivre
Dans une logique de responsabilisation des organismes, le RGPD pose des grands principes auxquels ces derniers doivent se soumettre, tout en renforçant les droits des personnes dont les données sont traitées.
Pour plus d’information sur les exigences prévues par le RGPD, vous pouvez vous référer aux fiches dédiées.
Des mesures de sécurité minimales à respecter
Afin de garantir la sécurité des traitements mis en œuvre lors de votre recherche, la CNIL recommande de suivre quelques précautions élémentaires :
pour les ordinateurs portables ou autres matériels nomades : s’assurer que le disque dur est chiffré par le système d’exploitation ;
tenir secrets ses mots de passe (ex. : ne pas les noter sur un post-it, ne pas les communiquer à un proche ou un collègue, etc.) ;
utiliser des antivirus mis à jour et installer un « pare-feu » (firewall) logiciel ;
effectuer dès que possible les mises à jour de sécurité des logiciels, idéalement en les configurant pour qu’elles se fassent automatiquement ;
être prudent vis-à-vis des contenus extérieurs, notamment les courriels (contact inconnu, tournures employées inhabituelles, etc.), un document reçu, un lien de téléchargement sur un site web, etc. En cas de doute, ne cliquez pas ou n’ouvrez pas le document ;
prévoir une procédure de verrouillage automatique de session et verrouiller son ordinateur dès que l’on quitte son poste de travail ;
enregistrer régulièrement vos travaux pour éviter toute perte de données ;
stocker les données sur un espace de stockage régulièrement sauvegardé accessible via le réseau interne de l’organisme plutôt que sur son poste de travail ;
ne pas stocker les données collectées sur du matériel non sécurisé ou prévoir des moyens de chiffrement du matériel ;
limiter l’usage de supports amovibles (ex. : clefs USB) à l’indispensable.
Attention : les violations de données (destruction, perte, altération ou divulgation non autorisée de données), doivent être signalées sans délai à l'établissement (de soin, scolaire, universitaire) auquel vous êtes rattaché.
3 - Identifier si une formalité préalable est à effectuer
Votre structure et vous-même devez identifier si votre traitement nécessite l’accomplissement d’une formalité préalable auprès de la CNIL.
En cas d’étude interne
Seules les « études internes » ne sont pas soumises à formalités auprès de la CNIL. Elles répondent à trois conditions cumulatives. Il doit s’agir d’une étude réalisée :
à partir de données recueillies dans le cadre de la prise en charge individuelle des patients concernés ;
par les personnels assurant ce suivi ;
pour l’usage exclusif de ces derniers.
Dans tous les autres cas
À l’exception des études « internes », tous les projets de recherche, étude ou évaluation dans le domaine de la santé nécessitant un traitement de données de santé doivent faire l’objet d’une formalité préalable auprès de la CNIL, en se référant aux méthodologies de référence (MR).
Pour identifier la méthodologie de référence adaptée, il conviendra de se référer à la qualification de la recherche effectuée en amont :
soit la recherche implique la personne humaine (RIPH) ;
soit la recherche n’implique pas la personne humaine (RNIPH).
Une fois cette qualification effectuée :
soit la formalité requise consiste en une déclaration de conformité à la méthodologie de référence identifiée ;
soit, à défaut de conformité en tous points à cette méthodologie de référence, en une autorisation préalable de la CNIL.
Pour plus d’information sur la qualification de votre recherche et le type de formalité à accomplir, vous pouvez vous référer à la fiche dédiée.
Pour plus d’information sur le choix de la méthodologie de référence adaptée, vous pouvez vous référer à la fiche dédiée.
Vous ne devez pas, en tant que doctorant ou étudiant, réaliser une formalité auprès de la CNIL en votre nom propre (engagement de conformité à une MR ou demande d’autorisation « recherche »). C’est à l’établissement de soin ou établissement scolaire et universitaire auquel vous êtes rattaché d’effectuer cette démarche, en sa qualité de .
4 - Rester vigilant pendant et après la recherche !
Si, en pratique, le traitement de données mis en œuvre dans le cadre de la recherche nécessite des modifications substantielles, c’est-à-dire portant sur ses caractéristiques principales du traitement de données, ces modifications nécessitent dans certains cas une nouvelle autorisation de la CNIL. Pour plus de précisions sur les cas les plus fréquents de modifications du traitement et leurs conséquences en termes de formalités, vous pouvez consulter la fiche dédiée.
Après la fin de votre recherche, les résultats de l’étude qui sont publiés ne doivent pas permettre d’identifier directement ou indirectement les personnes concernées (anonymisation), sauf si leur consentement a été recueilli à cette fin.
Enfin, assurez-vous de bien procéder à l’effacement des données à l’expiration du délai de conservation défini (voir étape n°3.).
A noter
Vous ne devez pas réutiliser ou transmettre ces données pour une autre recherche si la personne n’en a pas été informée ou si les adéquates n’ont pas été réalisées auprès de la CNIL.