Laboratoire de recherche ou bureau d’études : un référentiel sur les critères de confidentialité, d’expertise et d’indépendance a été publié au Journal officiel le 25 juillet 2017 (1). Cet arrêté concerne la mise en œuvre des traitements de données à caractère personnel du système national des données de santé à des fins de recherche, d’étude ou d’évaluation.
Système national des données de santé (SNDS)
Créé par la loi de modernisation de notre système de santé, le SNDS regroupe les bases de données suivantes :
- Système national d’information inter-régimes d’assurance maladie (SNIIRAM) concernant les données de l’assurance maladie ;
- Programme de médicalisation des systèmes d’information (PMSI) concernant les données issues de l’activité des établissements de santé ;
- Centre d’épidémiologie sur les causes médicales de décès (CepiDC) ;
- base concernant les données liées aux handicaps issues des maisons départementales des personnes handicapées ;
- base concernant les données provenant des complémentaires-santé.
Champ d’application de l’arrêté
L’arrêté du 17 juillet 2017 concerne les traitements commandités par les entreprises sous le contrôle de l’Agence nationale de sécurité du médicament et des produits de santé (ANSM) ainsi que celles relevant des domaines de la complémentaire santé et les intermédiaires d’assurance.
L’article L. 1461-3 du Code de la santé publique autorise ces entreprises à accéder au SNDS, afin de mettre en œuvre un traitement de données à des fins de recherche, d’étude ou d’évaluation, sous certaines conditions, comprenant en particulier :
- soit la démonstration que les modalités de mise en œuvre du traitement rendent impossible toute utilisation des données pour l’une des finalités prohibées par l’article L. 1461-1 du Code de la santé publique ;
- soit le recours à un laboratoire de recherche ou à un bureau d’études, publics ou privés, pour réaliser le traitement.
C’est dans le cadre de cette dernière hypothèse que le référentiel exposé par l’arrêté du 17 juillet 2017 doit être appliqué.
Conclusion d’un contrat
L’arrêté précise que les engagements du responsable de traitement et ceux du laboratoire de recherche ou du bureau d’études doivent être précisés dans un contrat, préalablement aux travaux de recherche, d’étude ou d’évaluation.
A ce titre, il est indiqué que la rémunération doit uniquement dépendre de la nature et du volume des prestations prévues au contrat de manière à ce que celle-ci ne soit pas subordonnée aux résultats de la recherche.
En application de l’article 2 de l’arrêté, le contrat comporte les éléments suivants :
- identité du responsable de traitement, destinataire des résultats ;
- finalités conformes ;
- éléments concernant la recherche, l’étude ou l’évaluation ;
- catégories de personnes concernées par le traitement ;
- traitement de données à caractère personnel envisagés ;
- identité des financeurs et modalités de financement ;
- estimation du coût de la recherche, de l’étude ou de l’évaluation ;
- mesures et conditions de sécurité attestant de la conformité au référentiel de sécurité applicable au SNDS ;
- droits et obligations des personnes en charge ;
- rappel des interdictions de traitement du SNDS (ex. promotion des produits, exclusion de garanties, modifications des cotisations d’assurance, etc.).
Obligation de confidentialité
Les responsables du laboratoire de recherche ou du bureau d’études sont soumis au secret professionnel, de même que leurs salariés et prestataires mettant en œuvre le traitement ou autorisés à accéder aux données. A ce titre un engagement de confidentialité conforme au référentiel de sécurité applicable au SNDS doit être signé.
Compétences requises
Le laboratoire de recherche ou le bureau d’étude doit disposer de compétences pour la réalisation du traitement « intégrant une connaissance des enjeux relatifs à l’anonymisation des données ».
De plus, ceux qui accèdent au SNDS doivent suivre une formation validée par la Caisse nationale de l’assurance maladie des travailleurs salariés (CNAMTS), responsable du SNDS.
Déclaration d’intérêts et indépendance économique
Dans le cadre de sa demande d’accès au SNDS, le responsable de traitement doit fournir une déclaration d’intérêts en rapport avec le traitement envisagé, conformément à un modèle figurant en annexe de l’arrêté.
Cette déclaration atteste de l’absence de conflit d’intérêt avec le traitement, tout conflit d’intérêt prohibant la participation à la recherche, à l’étude ou à l’évaluation de la part du responsable, de ses salariés ou des prestataires, conformément à l’article 5 de l’arrêté.
Engagement de conformité
Enfin, un engagement de conformité au référentiel doit être réalisé par le laboratoire de recherche ou le bureau d’étude auprès de la Commission nationale de l’informatique et des libertés (Cnil).
Marguerite Brac de La Perrière
Chloé Gaveau
Lexing Santé numérique
(1) Arrêté du 17 juillet 2017 relatif au référentiel déterminant les critères de confidentialité, d’expertise et d’indépendance pour les laboratoires de recherche et bureaux d’études