Guide pour l’information des participantsGuide pratique : rendre une note d’information destinée aux participants à une recherche en santé conformes au RGPD et la loi informatique et liberté

• Le respect des droits des personnes est une obligation qui pèse sur chaque responsable de traitement. Elle passe en premier lieu par le principe de loyauté et de transparence à l’égard de la personne concernée.
• En matière de recherche en santé, cette transparence est une garantie essentielle reconnue aux participants en contrepartie de la levée du secret professionnel.
• Elle leur permet de comprendre les objectifs de la recherche, les modalités de leur participation, la portée de l’accord qu’ils donnent et de maîtriser l’utilisation qui sera faite de leurs données.
• Elle conditionne et facilite l’exercice de leurs droits.
• Elle permet d’instaurer une relation de confiance avec les chercheurs et avec l’Inserm.

L’information individuelle

L’information doit être délivrée individuellement à chaque personne participant à la recherche que les données soient recueilles auprès d’elle ou de tiers (LIL, art. 58). Cette information individuelle peut être délivrée par :

• La remise d’une notice d’information aux personnes concernées,
• L’envoi d’un courrier postal ou électronique. 

Une information générale sur les lieux de soins

La CNIL préconise que l’information individuelle soit doublée d’une information générale dans les lieux de soins qui transmettent des données à caractère personnel pour permettre des activités de recherche (méthodologies de référence homologuées). Cette information peut prendre la forme suivante :

• un affichage dans les locaux,
• une mention dans le livret d’accueil, etc.

Il appartient au responsable de traitement de s’assurer que cette information générale qui vient doubler l’information individuelle est bien effectuée dans l’établissement.

L’information individuelle doit être :

• préalable à la mise en œuvre du traitement de données à caractère personnel nécessaire à la réalisation de la recherche ;
• spécifique à chaque projet pour lequel les données personnelles relatives à une personne sont traitées.

• Lorsque les données sont collectées auprès des personnes concernées, l’information doit être délivrée au moment du recueil des données.
• Lorsque les données sont collectées auprès de tiers, la CNIL préconise une information délivrée dans un délai d’un mois avant la mise en œuvre du traitement pour permettre de garantir l’exercice effectif des droits.

Le RGPD introduit un principe général de transparence

Le RGPD crée une obligation nouvelle de transparence commune à tous les droits de la personne (art. 12). Conformément à ce principe, toute communication à l’intention d’une personne doit être réalisée d’une façon « concise, transparente, compréhensible et aisément accessible » et en des termes « clairs et simples ». La communication qui s’adresse à un mineur de moins de 15 enfant doit être délivrée dans un langage clair et facilement accessible lorsque les données à caractère personnel sont collectées auprès de lui (LIL, art. 32).

Le RGPD renforce les droits existants et crée de nouveaux droits

Le RGPD complète les informations à délivrer par rapport aux dispositions de la loi Informatique et libertés.

L’obligation de délivrer une information conforme aux dispositions du RGPD aux participants à une recherche est applicable depuis le 25 mai 2018. Doivent recevoir une information conforme à la loi Informatique et Libertés et au RGPD :

• Les participants à toute nouvelle recherche ;
• Les participants aux recherches en cours.

Les recherches terminées qui ont donné lieu à une information des participants​conforme au cadre réglementaire antérieur à l’entrée en application du RGPD ne sont pas concernées.

Les recherches, études ou évaluations dans le domaine de la santé sont souvent des projets menés sur le long terme.

Pour les études commencées avant le 25 mai 2018 et toujours en cours, la note individuelle d’information, comportant les mentions additionnelles requises par le RGPD peut être délivrée à l’occasion d’une nouvelle phase de collecte. Elle peut intervenir :

1- À l’occasion de nouvelles inclusions dans la recherche

Si les inclusions sont toujours en cours, les personnes sollicitées pour participer à la recherche doivent recevoir une note d’information mise en conformité avec le RGPD et la loi Informatique et libertés révisée.

2- Lors d’une visite de suivi, pour les études prévoyant un suivi longitudinal

Pour les personnes déjà incluses dans la recherche et qui sont toujours en cours de suivi, il est acceptable qu’elles reçoivent l’information complémentaire rendue obligatoire par le RGPD à l’occasion de la prochaine visite de suivi prévue dans le lieu de recherche. Cette information prendra la forme d’un addendum qui sera annexé au document d’information initial.

3 – À l’occasion d’une modification substantielle de la recherche justifiant l’envoi d’une nouvelle notice d’information

Si une modification du traitement est envisagée, l’information mise à jour peut être délivrée préalablement à cette modification, sans obligation d’un courrier ou message spécifique avant cette modification. Cela suppose que les modifications envisagées ne soient pas trop distantes de la date du 25 mai 2018. La Commission nationale de la recherche impliquant la personne humaine (CNRIPH), estime pour les recherches impliquant la personne humaine (RIPH) qu’il faut trouver un moyen d’informer les participants conformément aux dispositions du RGPD si la modification substantielle intervient après plus de 12 mois.

La mise à jour de la notice d’information dans le seul but de garantir la conformité au RGPD ne constitue pas en soi une modification substantielle du traitement initial. Elle ne donne pas lieu à des formalités déclaratives auprès de la Cnil.

En revanche, si une modification substantielle est apportée au traitement (exemples : changement de finalité, ajout de catégories de données sensibles non prévues par l’autorisation initiale, accès à ou extraction d’une base de données (SNDS…), le document d’information mis à jour pour tenir compte de cette modification et rendu conforme au RGPD doit être adressé à la Cnil à l’appui de la demande d’autorisation modificative.

La Cnil a publié un document présentant les cas les plus fréquents de modification de traitement mis en œuvre à des fins de recherche en santé, celles qui sont considérées comme substantielles, et les procédures à suivre dans chaque cas pour être en conformité.

Pour les RIPH, qui sont évaluées par un comité de protection des personnes (CPP), des recommandations ont été élaborées spécifiquement par la CNRIPH. La CNRIPH propose la conduite à tenir suivante :

• les documents d’information et de recueil du consentement mis à jour sont communiqués au CPP pour information, en parallèle de leur transmission aux investigateurs, s’il n’y a pas de modification substantielle autre dans la recherche ;
• lors du dépôt au CPP de la prochaine modification substantielle par le promoteur, le CPP s’assurera que les documents d’information et de recueil de consentement ont pris en compte le RGPD. A défaut de conformité de ces documents, le CPP devra suspendre son avis et informer le promoteur des nouvelles exigences réglementaires ;
• En l’absence de dépôt au CPP d’une modification substantielle par le promoteur dans les 12 mois après la communication pour information au CPP des documents d’information et de recueil du consentement, une demande de modification substantielle spécifique aux documents d’information et de consentement sera déposée auprès du CPP.

Il convient de se référer à la liste des informations à délivrer fixée par l’article 13 du RGPD. La collecte directe des données auprès des personnes peut prendre différentes formes :

• questionnaire rempli par la personne ;
• données collectées au cours d’entretiens, notamment sur des supports audio ou vidéo ;
• informations issues de dispositifs (capteurs) ou de technologies d’observation de l’activité des personnes (vidéosurveillance, géolocalisation…) ;

Il convient de se référer à la liste fixée par l’article 14 du RGPD. La collecte indirecte des données peut être effectuée auprès d’un tiers détenteur. Il peut s’agir par exemple de :

• données personnelles issues des dossiers médicaux,
• données recueillies au cours de recherches antérieures (registres, cohortes, collections d’échantillons biologiques humains) ;
• données issues de bases médico-administratives (Système National des Données de Santé (SNDS) et ses composantes).

• Le responsable de traitement est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui « détermine les finalités et les moyens du traitement » sauf lorsque des dispositions législatives ou réglementaires relatives à ce traitement le désignent expressément (RGPD, art. 4, 7). 
• C’est sur lui que pèse la responsabilité juridique du traitement.
• Le responsable des traitements au sens de l’article 4 du RGPD est l’Inserm, représenté par son Président-directeur général (sauf délégation de pouvoir). Les autorisations de la Cnil sont formulées à son intention.
• Le responsable de traitement est également promoteur lorsque la recherche implique la personne humaine.

À noter : L’obligation de nommer un représentant établi dans un des États membres de l’Union européenne (UE) concerne les responsables de traitement établis en dehors de l’UE qui ciblent des résidents européens (exemple : L’Inserm transfère des données personnelles relatives à des résidents européens placées sous sa responsabilité pour permettre à un organisme situé hors UE d’effectuer une recherche). Ce dernier doit désigner un représentant sur le territoire de l’UE auprès duquel la CNIL et les personnes concernées pourront s’adresser pour toute question relative à la protection des données.

• C’est l’objectif principal poursuivi par la recherche.
• Si la collecte obéit à plusieurs objectifs distincts, il est nécessaire de l’indiquer cl​airement pour permettre à la personne ne comprendre la portée de l’accord qu’elle donne.

Nécessité d’une base légale clairement énoncée

Pour être licite, un traitement de données à caractère personnel doit reposer sur un des fondements juridiques énumérées par l’article 6 du RGPD (dits aussi “bases légales”). Il faut s’interroger pour chaque traitement sur la (ou les) bases légales parmi les différentes bases légales possibles susceptibles de fonder le traitement.

Le choix de la base légale du traitement est important car :

• c’est une mention obligatoire dans les documents d’information ;
• elle conditionne l’exercice de certains droits des personnes concernées.
  

Quelle base légale pour les traitements nécessaires aux recherches menées par l’Inserm ?

• L’Inserm, établissement public à caractère scientifique et technologue, a pour missions d’améliorer la santé de la population par le progrès des connaissances sur le vivant et sur les maladies, l’innovation dans les traitements et la recherche en santé publique (décret n°83 – 975 du 10 novembre 1983 modifié) .
• Le fondement juridique du traitement de données applicable aux recherches menées par l’Inserm est l’exécution d’une mission d’intérêt public dont est investi le responsable de traitement (RGPD, art. 6.1.e).
• S’agissant de la recherche en santé, l’Inserm doit également justifier de l’exception permettant le traitement de données sensibles (données de santé) fondée sur les nécessités de la recherche scientifique qui devra être ajoutée à la base légale (RGPD, art. 9.2.j).

Point de vigilance quant au choix du consentement de la personne comme base légale du traitement

Le consentement de la personne concernée au traitement de ses données pour une ou plusieurs finalités spécifiques est l’une des bases légales possibles du traitement (RGPD, art.6).

Il est recommandé d’être prudent et ne faire du consentement au traitement des données personnelles la base légale du traitement dans le cadre d’une recherche que lorsqu’aucune autre base légale n’est susceptible d’être retenue, en raison de l’impact du choix de ce fondement sur la suite du projet :

• le consentement comme base légale du traitement, obéit à des conditions très strictes : il doit être libre, spécifique, explicite, éclairé et facilement révocable et devra être renouvelé à intervalles réguliers ;
• le droit à la portabilité​ sera alors applicable.

• Un destinataire reçoit communication de manière habituelle des informations, qu’il s’agisse ou non d’un tiers (RGPD, art. 4.9).
• Les personnes accédant aux données peuvent relever du responsable de traitement, des centres participants à la recherche ou de structures agissant pour le compte et sous l’autorité du responsable de traitement.
• Les données personnelles doivent uniquement être rendues accessibles aux personnes habilitées à en connaitre en raison de leurs fonctions. Seuls certains professionnels sont habilités à connaître l’identité des patients.
• Une distinction entre les catégories de destinataires ayant accès aux données codées et à l’identité des participants peut utilement est effectuée.
• La bonne pratique serait de mentionner pour chaque catégorie de données collectées les catégories de destinataires correspondant en fonction de leur mission en faisant apparaître une limitation des accès des utilisateurs aux seules données strictement nécessaires à l’exercice de celle-ci.
• Il s’agit des personnes ou catégories de personnes (équipe qualité, sous-traitant…) amenées à accéder aux données collectées dans le traitement ou à qui elles seront transmises et les missions pour lesquelles elles sont transmises.
• Les catégories de personnes habilitées à être destinataires de données directement identifiantes doivent être mentionnées.

Les données à caractère pers​onnel ne peuvent pas être stockées ad vitam aeternam et doivent, par principe, être archivées, détruites ou anonymisées dès que la finalité pour laquelle elles ont été collectées est atteinte.

Durée de conservation et cycle de vie des données

La fin de la durée de conservation des données ne coïncide pas nécessairement avec la durée de vie des données. Le cycle​de conservation des données peut être divisé en trois étapes :

• La conservation des don​nées en « base active » lorsqu’elles sont nécessaire à la réalisation des objectifs de la recherche ;
• L’archivage intermédiaire lorsque les données ne sont plus utilisées par les chercheurs mais présentent encore un intérêt administratif pour l’organisme. Les données sont conservées sur support distinct et sont consultées de manière ponctuelle et motivée ;
• L’archivage définitif pour les données présentant un intérêt historique, scientifique ou statistique justifiant qu’elles ne fassent l’objet d’aucune destruction. Elles sont alors régies par le livre II du Code du patrimoine et plus par la loi Informatique et Libertés.

La durée de conservation des données à indiquer est la durée approximative de conservation des données en base active. Elle est variable d’une recherche à l’autre et fonction du temps nécessaire à la réalisation des objectifs de la recherche.

Une durée de conservation nécessairement limitée

Ne jamais indiquer de durée illimitée même si elle est envisagée, indiquez alors une durée au terme de laquelle une nouvelle évaluation des risques pour les personnes sera effectuée et une demande de prolongation de la durée initiale sera effectuée.

Dans les méthodologies de référence homologuées par la CNIL, celle-ci a admis que les données relatives aux patients puissent être conservées jusqu’à deux ans après la dernière publication des résultats de la recherche ou, en cas d’absence de publication, jusqu’à la signature du rapport final de la recherche. S’agissant de la MR001, elle admet que les données soient conservées jusqu’à la mise sur le marché du produit étudié.

Les données à caractère personnel des professionnels intervenant dans la recherche ne peuvent être conservées au-delà d’un délai de quinze ans après la fin de la dernière recherche à laquelle ils ont participé.

Une fois cette durée écoulée, les données doivent être confiées à un service d’archives disposant d’une compétence légale pour procéder à un passage des documents en archives définitives, après une opération de tri. Au terme de ce tri, les matériaux de la recherche conservés deviennent des archives définitives et sont versées aux services d’archives territorialement compétents (Archives nationales ou départementales), afin d’y être conservés à titre historique.

La personne doit être informée de ses droits.

Doivent être rappelés

1. Le droit de consentir ou de s’opposer au traitement selon la qualification réglementaire de la recherche et de retirer son accord à tout moment sans conséquence sur sa prise en charge.
2. Le droit de demander l’accès aux données la concernant et d’obtenir une copie de ces informations, de les rectifier si elles sont inexactes ou incomplètes (exemple : changement d’adresse).
3. Le droit d’obtenir la limitation du traitement relatif à la personne concernée, c’est-à-dire le « gel » du traitement de ses données, comme mesure conservatoire le temps que son droit d’opposition soit traité ou de vérifier l’exactitude des données traitées, par exemple.
   

Les droits soumis à des règles spécifiques en matière de recherche en santé

Le droit à portabilité : c’est-à-dire le droit pour la personne concernée de récupérer les données qu’elle a fournies sous une forme réutilisable et de solliciter le transfert à un autre responsable de traitement. Il ne concerne que les traitements automatisés reposant sur le consentement de la personne concernée ou nécessaires à l’exécution d’un contrat ou de mesures précontractuelles. Il n’est pas applicable aux recherches fondées sur les missions d’intérêt public dont est investi l’Inserm.

Le « droit à l’effacement » : ne s’applique pas et la conservation ultérieure des données à caractère personnel est licite dès lors que « l’exercice de ce droit risque de rendre impossible ou de compromettre gravement la réalisation des objectifs de la recherche » (RGPD, art. 17.3 d) (Créer des biais dans l’étude, empêcher de prendre les mesures nécessaires en cas de problème avec le traitement par exemple…) Cette disposition trouve un écho en droit national, pour les recherches qui impliquent la personne, à l’article L.1122 – 1‑1du code de la santé publique qui précise que « dans le cas où la personne se prêtant à une recherche a retiré son consentement, ce retrait n’a pas d’incidence sur les activités menées et sur l’utilisation des données obtenues sur la base du consentement éclairé exprimé avant que celui-ci n’ait été retiré ».

Actions à effectuer 

1. Documenter pour chaque étude (cette documentation doit être disponible en cas de contrôle) : 
   • Le fait que l’effacement des données serait susceptible rendre impossible ou de compromettre gravement la réalisation des objectifs de la recherche ; 
   • Les mesures prises pour ne conserver que les données strictement nécessaires (pseudonymisation voire l’anonymisation des données chaque fois que c’est possible) dans des conditions (organisationnelles et techniques) de nature à en garantir la confidentialité.
2. Informer les personnes concernées qu’elles ont la possibilité de se retirer de l’étude à tout moment sans avoir à se justifier et qu’aucune donnée ne sera plus collectées les concernant, mais que les données recueillies préalablement seront conservées dans des conditions de nature à garantir leur confidentialité afin de garantir le respect d’une disposition du droit de l’UE ou du droit français…

Des modalités d’exercice simples et des voies de recours précisées

• Fournir des indications claires et des étapes simples. Les personnes doivent être clairement informées des modalités pratiques d’exercice des droits, et les démarches à effectuer ne doivent pas décourager les personnes concernées ou occasionner de frais.
• Les coordonnées du délégué à la protection des données désigné par le responsable de traitement doivent être indiquées dans la note d’information. Il doit pouvoir être contacté pour toute question relative au traitement de ses données ainsi qu’à l’exercice de ses droits par toute personne participant à une recherche.
• L’Inserm doit répondre à une personne exerçant ses droits dans un délai maximal d’un mois à compter de la réception de la demande. Dans ces conditions, il convient :
  1. D’inviter les personnes concernées à contacter en premier lieu l’investigateur les ayant pris en charge, qui connaît leur identité et pourra permettre l’exercice effectif des droits, ce qui n’est pas le cas du DPO.
  2. De diriger, ensuite, vers le DPO en cas de difficultés rencontrées par les personnes concernées pour exercer leurs droits. Privilégier, pour ce faire, une adresse générique plutôt que les noms et prénoms du DPO afin de diriger les personnes vers l’équipe du DPO susceptible de traiter la demande.
  3. D’informer, enfin, les personnes de leur droit d’introduire une réclamation auprès de la Cnil.

Les personnes concernées doivent en être informées que :

• la recherche implique un transfert de données personnelles hors de l’Union Européenne ou vers une organisation internationale ou/et
• il est envisagé de les transférer à terme pour les besoins de projets de recherche ultérieurs par exemple.

Cette obligation préexistait à l’entrée en application du RGPD. Elle a toutefois été renforcée par le RGPD.

Les personnes concernées doivent désormais être également être informées de :

• l’existence ou de l’absence d’une décision d’adéquation rendue par la Commission européenne ;
• si les transferts ont été encadrés par le recours à des « garanties appropriées », la référence aux garanties appropriées ou adaptées (ex : clauses contractuelles types adoptées par la Commission européenne, clauses contractuelles ad hoc…),
• les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition.

Il s’agit de dire si le traitement de données de santé comporte un algorithme et d’expliquer quel est le raisonnement retenu pour le fonctionnement de cet algorithme.

Les participants à la recherche doivent être clairement informés de l’intention du responsable du traitement d’effectuer un traitement ultérieur des données personnelles pour une finalité autre que pour l’étude pour laquelle les données ont été initialement collectées. Il peut s’agir de recherches ultérieures dans le cadre d’une réutilisation secondaire de données/échantillons biologiques collectés.

Aménagements de l’obligation d’information individuelle

Des aménagements de l’obligation d’information individuelle des personnes concernées ont toutefois été admis par la CNIL dans la méthodologie de référence MR004. Une nouvelle information des personnes n’est pas requise dans deux hypothèses :

1. Lorsque l’information délivrée lors de la collecte initiale des données et/ou échantillons biologiques prévoit la possibilité de réutiliser ces données et/ou échantillons biologiques ET renvoie à un dispositif spécifique d’information (tel qu’un site internet), auquel les personnes concernées pourront se reporter avant la mise en œuvre d’un nouveau traitement. Pour être en mesure de bénéficier de ces aménagements, il est donc nécessaire :
   • d’informer les personnes concernées de la recherche initiale conformément aux articles 13 et 14 du RGPD ;
   • d’informer clairement les personnes de la possibilité de réutilisation secondaire des données et/ou échantillons biologiques à des fins de recherche en indiquant l’adresse du site internet où les personnes pourront trouver l’ensembles des informations nécessaires, spécifiques à chaque étude, préalablement à sa mise en œuvre.
     
     Le site internet devra pour chaque nouvelle recherche indiquer l’ensemble des informations mentionnées à l’article 14.
2. Lorsque la personne dispose déjà des informations prévues aux articles 13 et 14 du RGPD que les données aient été collectées directement ou indirectement auprès des personnes concernées. Les conditions très strictes de l’application de cette dérogation sont abordées ci-dessous à l’occasion de l’étude des dérogations possibles à l’obligation d’information.

En plus de l’ensemble des informations mentionnées précédemment ; il convient de mentionner :

1. Les catégories de données à caractère personnel concernées ;
2. La source d’où elles proviennent (par exemple le dossier médical, le SNDS) et, si c’est le cas, si elles issues de sources accessibles au public.

1 – Lorsque la personne dispose déjà de ces informations, si :

• le responsable de traitement soit en mesure de le documenter,
• l’ensemble des informations requises par les textes ont été transmises aux personnes concernées,
• aucune modification n’a été apportée au traitement susceptible de rendre les informations qui lui ont été délivrées obsolètes (changement de responsable de traitement, changement de finalité, …)

Si ces conditions ne sont pas remplies, le responsable de traitement doit effectuer un complément d’information.

2 – lorsque la personne concernée a exprimé la volonté d’être laissée dans l’ignorance d’un diagnostic ou d’un pronostic

Cette exception concerne les traitements de données à caractère personnel dans le domaine de la santé. Ce droit lui est reconnu par l’article L. 1111 – 2 du code de la santé publique et est applicable aux recherches, études et évaluations dans le domaine de la santé, que les données aient été collectées directement auprès de la personne ou auprès d’un tiers (LIL, art. 58).

1. Lorsque la fourniture des informations « se révèle impossible ou exigerait des efforts disproportionnés. Peuvent être pris en considération le nombre de personnes concernées, l’ancienneté des données, ainsi que les garanties appropriées éventuelles adoptées. Cette disposition peut trouver à s’appliquer, par exemple, pour les méta-analyses sur données individuelles ;
2. Lorsque l’obligation d’information « est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs du traitement.