Référentiels santé de la Cnil : que retenir des résultats de la consultation publique ?

La Commission nationale de l’Informatique et des Libertés (Cnil) a dévoilé les résultats de la consultation publique consacrée à ses référentiels santé lors d’un webinaire le 10 décembre. Ouverte du 16 mai au 12 juillet, cette dernière a reçu 141 contributions des principaux syndicats représentatifs, des fédérations et associations de délégués à la protection des données, des organismes de recherche, des établissements de santé, des éditeurs de logiciels, des industriels, des institutions publiques, des entreprises de la recherche clinique (cf.graphique).  

Aurore Gaignon, juriste au service santé de la Cnil, précise :  “Nous avons noté une sous-représentation des patients et des organismes qui les représentent, mais ces acteurs seront sollicités pour la suite des travaux.”

Les thématiques ayant reçu le plus de contributions sont les suivantes : 

• Les axes prioritaires de travail concernant les méthodologies de référence (MR) pour la Cnil et l’organisation de groupes de travail ;
• L’information des personnes et la mise en place d’un portail de transparence ; 
• Les bilans des méthodologies de référence 004, 001 et 003 ; 
• Le bilan du référentiel entrepôt de données de santé ;
• Les besoins liés aux outils de conformité ;
• Les besoins liés à l’intelligence artificielle (IA). 

Ces sujets seront priorisés par la Cnil dans le cadre de son travail de mise à jour. 

Des groupes de travail constitués au premier trimestre 2025

Cette consultation publique doit aboutir à la présentation d’un programme de travail. Elle sera présentée au collège de la Cnil puis aux différents acteurs de l’écosystème au premier trimestre 2025. Par la suite, la Cnil va proposer à des acteurs publics ou privés représentatifs de l’écosystème de diriger des groupes de travail en collaboration avec elle. Parmi les groupes de travail identifiés comme prioritaires figurent les thématiques suivantes : 

• L’intelligence artificielle ;
• La décentralisation/dématérialisation ; 
• Les catégories de données ; 
• Les mesures de sécurité ; 
• L’information et le recrutement des personnes ;
• La mise à jour des référentiels existants au regard de l’évolution de la réglementation (adoption du règlement européen sur les dispositifs médicaux );
• L’adoption de nouveaux référentiels.

L’organisation de ces groupes de travail doit permettre que “certains référentiels puissent être mis à jour rapidement grâce à des modifications successives afin d’avoir des référentiels plus agiles”, précise Aurore Gaignon. 

Pour faire évoluer ses référentiels, la Cnil a choisi de mener une réflexion transversale par thématique. mind Health en détaille les éléments à retenir. 

Produits de santé

Les besoins du terrain

Les répondants se sont majoritairement opposés à la constitution de méthodologie de référence (MR) dédiés par produits de santé (par exemple, une MR dédiée aux essais cliniques). Ils estiment que les réglementations sectorielles et les spécificités des produits, notamment en matière de mesures de sécurité, devraient être prises en compte dans les référentiels actuels. 

Les pistes d’action de la Cnil

• Inclure des encarts dédiés dans les référentiels de la Cnil ; des échanges avec les acteurs seront nécessaires pour déterminer les mesures appropriées ; 
• Clarifier le champ d’application des référentiels afin d’identifier la MR applicable en fonction de la recherche sur un produit ; 
• Déterminer les spécificités réglementaires à intégrer dans les référentiels.

Intelligence artificielle

Les besoins du terrain

Les participants à la consultation ont insisté sur le besoin d’accompagnement vis-à-vis de  l’intelligence artificielle, notamment concernant l’articulation entre le RGPD et le règlement européen sur l’intelligence artificielle, entré en vigueur cet été. À date, les contributions ne justifient pas l’élaboration d’un référentiel dédié à l’intelligence artificielle en santé, mais les spécificités de ces systèmes et ces modèles devront être prises en compte dans les nouveaux référentiels.

Les pistes d’action de la Cnil

• Poursuivre le travail de consolidation globale de la doctrine de la Cnil en identifiant également des cas d’usages spécifiques au secteur de la santé ;
• Diffuser la doctrine concernant l’application des référentiels à cette technologie.

Clarification du cadre réglementaire

Les besoins du terrain 

Les répondants indiquent qu’il est important de clarifier certaines notions abordées dans les référentiels, notamment le statut juridique des cohortes ou des registres ou les distinctions entre une recherche impliquant la personne humaine (RIPH) observationnelle et une recherche n’impliquant pas la personne humaine (RNIPH). 

Autre besoin identifié, la nécessité de mettre à jour certains référentiels avec la réglementation nationale et européenne adoptée ces dernières années (règlement européen relatif aux essais cliniques, règlement européen relatif aux dispositifs médicaux, etc.) ainsi qu’avec des outils de droit souple comme le code EUCROF ou les recommandations de l’Agence européenne du médicament, par exemple. 

La question se pose de créer de nouveaux référentiels pour certains traitements comme les recherches menées exclusivement à l’étranger, le cadre de prescription compassionnelle ou encore les entrepôts constitués par les centres de ressources biologiques. 

Les pistes d’action de la Cnil

• Poursuivre le travail de concertation avec les autorités compétentes pour proposer des définitions et qualifications claires ; 
• Renforcer la transparence institutionnelle pour que les acteurs identifient mieux les autorités compétentes ; 
• Priorisation des nouveaux référentiels ; 
• Élaboration et adoption de nouveaux référentiels en concertation avec les acteurs. 

Outils de Conformité

Les besoins du terrain

Les répondants ont en majorité considéré que les outils mis à leur disposition par la Cnil les ont aidés à documenter leur traitement. Ils estiment qu’une traduction des MR en anglais serait utile.

Les pistes d’action de la Cnil

• Diffusion de nouveaux outils de conformité (MOOC, check-list, etc.) ; 
• Mise à jour du formulaire de demande d’autorisation de la Cnil.

Information des personnes

Les besoins du terrain

Pour les recherches impliquant la personne humaine (MR-001 et MR-003), les répondant souhaitent intégrer une dérogation à l’information en cas d’urgence vitale immédiate ou encore une dérogation à l’information des deux titulaires de l’autorité parentale 

Pour les recherches n’impliquant pas la personne humaine (MR-004), ils demandent l’intégration d’une dérogation à l’information individuelle motivée par des efforts disproportionnés d’assurer une information individuelle. 

Les pistes d’action de la Cnil

• Sur les recherches concernant la personne humaine, l’intégration de ces dérogations pourrait être intégré dans les référentiels ;
• Pour les recherches n’impliquant pas la personne humaine, des réflexions et des échanges avec les acteurs seront nécessaires pour dégager des critères et des garanties appropriées qui pourrait encadrer la dérogation à l’information individuelle.

Les destinataires et les accédants

Les besoins du terrain 

Il ressort de la consultation la nécessité d’élargir les catégories de destinataires pouvant accéder à des données directement identifiantes et à des données de santé.

Pour la MR-0001, les besoins sont les suivants :

• Nécessité de mise en cohérence des méthodologies de référence avec les besoins inhérents à la pratique ; 
• Extension de la liste des cas d’usage pour lesquels un sous-traitant (CRO) peut accéder à des données identifiantes et des données de santé ; 
• Nécessité pour le responsable de traitement d’accéder également à des données de santé et à des données directement identifiantes. L’accès à des données brutes pour les experts indépendants chargés de réanalyser les données dans le cadre de publication des recherches est également concerné.

Pour la MR-004, le besoin est le suivant :

• Nécessité d’élargir les catégories de destinataires pour que les sous-traitants et les responsables de traitement aient accès aux données directement identifiantes et aux données de santé. 
• Pour les entrepôts de données, le besoin est le suivant :
• Élargir les destinataires afin de permettre des exports de données, notamment dans le cadre de recherches multicentriques ou de recherches organisées sur le plan européen. 

Les pistes d’action de la Cnil

• Pour les recherches impliquant la personne humaine, mise en place de réflexions de manière à intégrer aux référentiels les exigences du code EUCROF. 
• Pour les entrepôts de données de santé, entamer une réflexion avec les acteurs concernés sur le niveau de sécurité attendu, en lien avec le règlement européen sur l’Espace européen des données de santé.

Les catégories de données

Les besoins du terrain

La concertation fait remonter une nécessité d’étendre les catégories de données prévues par les référentiels en intégrant, notamment les enregistrements vocaux et vidéos directement identifiants, les données de localisation ou les données liées aux appariements comme le NIR ou la date de naissance complète. 

Les pistes d’action de la Cnil

• Elaborer les catégories de données à ajouter aux référentiels  ;
• Identifier les garanties juridiques, techniques et organisationnelles à prévoir dans les référentiels. Par exemple, concernant les données sur les proches/tiers : articulation entre le principe de minimisation et le principe de transparence. 

Décentralisation et dématérialisation des essais cliniques

Les besoins du terrain

En mai 2024, la Cnil a publié trois fiches retraçant les bonnes pratiques autour de trois thématiques de décentralisation et de dématérialisation de la recherche : une fiche relative au contrôle qualité à distance, une sur l’envoi dématérialisé de la note d’information et une autre sur les visites à domicile (le fait de recourir à des sociétés prestataires ou des infirmiers pour réaliser des soins à domicile dans le cadre de la recherche). 

Les retours de la concertation reflète une volonté d’intégrer ces modalités de décentralisation dans les méthodologies de référence et font état d’un besoin d’explicitation des modalités techniques de mise en place.

Les pistes d’action de la Cnil

• Intégrer ces fiches pratiques dans les MR-001 et MR-003 avant de les adapter aux recherches n’impliquant pas la personne humaine, en prenant en compte les remarques formulées (discussion, précisions, formations)  ;
• Organiser des échanges pour identifier les cas d’usage des acteurs auxquels pourraient répondre les méthodologies de référence
• Poursuivre la consolidation du cadre juridique en support des autorités compétentes, comme c’est le cas sur le sujet du consentement électronique ;
• De janvier à septembre 2024 s’est déroulée une phase pilote menée par la DGS, la DGOS, l’ANSM et la Cnil pour accompagner les promoteurs dans la mise en place de projets impliquant une, voire plusieurs modalités de décentralisation et/ou de dématérialisation. Elle a permis d’adapter la doctrine de la Cnil et d’envisager l’intégration de ces modalités dans les MR. Un bilan consolidé de cette phase pilote sera prochainement publié ; 
• La Cnil travaille sur des recommandations concernant d’autres problématiques de décentralisation et dématérialisation comme le télésoin, l’envoi d’un questionnaire par voie électronique. 

Appariement de données

Les besoins du terrain 

Pour mener leurs études, les acteurs ont insisté sur leur besoin d’apparier plusieurs bases de données, qu’il s’agisse d’un appariement au SNDS ou à d’autres bases de données d’intérêt (bases médico-administratives, fichier des personnes décédées, etc.). Pour réaliser ces appariements, il est donc nécessaire d’intégrer dans les référentiels d’autres catégories de données constituant des variables pertinentes pour réaliser ces appariements. 

Les pistes d’action de la Cnil

• Réaliser une cartographie des bases de données d’intérêt disponibles pouvant être réutilisées dans le cadre de recherche ; 
• Trouver un équilibre entre le respect des principes clés du RGPD (minimisation, sécurisation des données, etc.) et les besoins des acteurs ; 
• Déterminer en parallèle les garanties juridiques techniques et organisationnelles à mettre en place pour que ces appariements soient réalisés dans le cadre d’une conformité à une méthodologie de référence ou un référentiel. 

Les référentiels impliquant un accès au SNDS

Les besoins du terrain

La majorité des retours portaient sur des questions ne relevant pas de la compétence de la Cnil et concernaient les besoins d’élargissement des accès permanents octroyés aux acteurs et la réduction des délais d’accès aux données. 

• préciser la notion d’étude, notamment dans le cadre de la MR-006. 
• préciser les modalités de mise en œuvre des mesures de sécurité. 
• de remplacer la mesure d’audit externe exigée dans le cadre de la MR-006 par l’envoi d’un bilan à la Cnil sur le modèle de la MR-007 ou de la MR-008.

Les pistes d’action de la Cnil

• Poursuivre le travail de formation et d’accompagnement avec le Health Data Hub
• Modifier la MR-006 pour intégrer un bilan à la place d’un audit externe
• Collaborer à la rédaction d’un guide sur le référentiel de sécurité du SNDS, piloté par la DREES. 
• Adapter les MR-007 et MR-008  lorsque les modalités de mise à disposition de la base principale du SNDS auront évoluées. 

Le référentiel entrepôt de données de santé 

Les besoins du terrain

Plus de la moitié des répondants ont mis en exergue des difficultés liées aux mesures de sécurité prévues par le référentiel, notamment en matière d’export de données. Une proportion identique des répondants demande des précisions, voire une évolution des modalités d’information autorisées par le référentiel (dérogation à l’obligation d’information individuelle des professionnels de santé n’exerçant plus dans l’établissement, etc.) Une harmonisation de la MR-004 et du référentiel EDS est souhaitée sur cette question. 

Les acteurs se questionnent également sur la définition du portail de transparence et les exigences inhérentes à cet outil. La Cnil a indiqué que sa doctrine sera diffusée prochainement. Elle a notamment été mise en cohérence avec les lignes directrices sur la transparence du Comité européen de la protection des données.

Enfin, 40 % des répondants ont exprimé des difficultés concernant l’origine, la nature des données et leur durée de conservation. 

Les pistes d’action de la Cnil

• Mise en place d’un groupe de travail dédié à la mise à jour du référentiel EDS 
• Formation et accompagnement des acteurs, notamment sur la mise en conformité des registres.