Celui qui veut réutiliser les données et informer ses patients

Détenteurs de données sensibles sur leurs patients, les professionnels de santé se doivent de les gérer avec une grande prudence. Pour autant, il ne s’agit pas non plus de tomber dans l’écueil inverse, l’enfermement des données. Une question se pose alors : comment peut-on exploiter les données pour la recherche médicale tout en étant certain de respecter le RGPD ? 

LA MÉTHODOLOGIE DE RÉFÉRENCE, UN INSTRUMENT RESPONSABILISANT ET FACILITATEUR

Les données de santé utilisées dans la recherche sont généralement issues des dossiers de patients pris en charge dans un hôpital. Plus rarement, elles sont obtenues grâce à des essais cliniques auxquels des individus sont invités à participer. A noter que dans les deux cas, ces données peuvent potentiellement être réutilisées pour d’autres recherches médicales.

Avant de pouvoir utiliser des données extraites de dossiers patients, il convient au préalable de s’assurer que l’on respecte le cadre réglementaire en vigueur. Pour ce faire, il est recommandé d’utiliser la MR-004, une méthodologie de référence créée par la CNIL. Cette méthodologie encadre les traitements de données à caractère personnel à des fins d’étude, évaluation ou recherche n’impliquant pas la personne humaine. A l’instar des autres méthodologies de référence (MR), elle fixe une liste des conditions qui doivent être respectées, notamment concernant les responsabilités du traitement, les finalités du traitement, les données personnelles concernées, la durée de conservation des données, les destinataires des données, l'information des patients…

Pourquoi est-il indispensable de prendre ces précautions ? Tout simplement parce que toute recherche à partir de données de santé doit se faire dans le respect du RGPD. Les informations ont beau être pseudonymisées, elles peuvent tout de même être rapportées à des individus et sont en ce sens considérées comme des données personnelles (pour plus d’informations sur la pseudonymisation, vous pouvez consulter notre article Celui qui voulait échapper au RGPD grâce à l’anonymisation).

Répondre au référentiel MR-004 nécessite un travail conjoint du chargé de projet, du DPO et éventuellement du service informatique de l’hôpital. En effet, il est parfois difficile d’identifier le cadre contractuel de l’étude, notamment lorsque l’on fait appel à un hébergeur de données de santé (qui est alors un sous-traitant) ou que l’on lance la recherche en partenariat avec une start-up (qui est donc responsable conjoint du traitement dans la majorité des cas).

Si le projet satisfait à l’ensemble des conditions prévues par la MR-004, le chargé de projet ne doit adresser à la CNIL qu’un simple engagement de conformité à la méthodologie une seule fois au nom de l’hôpital et pour tous les projets répondant à la MR. Il s’agit d’un allégement considérable des formalités.

PRÉVENIR LES PATIENTS, UN PRÉREQUIS À LA RECHERCHE MÉDICALE

Grâce aux informations définies à travers la MR-004, on peut rédiger une notice d’information propre au projet de recherche concerné. Elle récapitule les données utilisées et leur durée de conservation, la finalité de l’étude, ses responsables de traitement…

À partir du moment où la notice a été transmise aux patients concernés, il faut attendre 3 semaines. Si après ce délai le patient ne s’est pas opposé au traitement de ses données, on peut commencer la recherche. Le patient demeurant maître de ses données, il peut toujours choisir de se retirer de l’étude à tout moment.

N’a-t-on pas besoin de demander le consentement des patients avant de commencer la recherche ? Eh non, ce n’est pas nécessaire dès lors que l’étude sert l’intérêt général et répond donc à une mission d’intérêt public.

La notice d’information doit être lisible, compréhensible, sans oublier accessible !

Nous rappelons également que l’information doit être spécifique et individuelle. Certaines organisations se contentent de publier les notices d’information en question sur leur site internet. Or peu, voire aucun patient ne pense à consulter régulièrement les sites de leurs centres de soin ! Les individus dont les données sont traitées peuvent alors découvrir la notice d’information a posteriori ou même ne jamais être au courant de l’étude. Le risque de perte de confiance est élevé.

Concrètement, il existe plusieurs manières d’informer les patients :

Premièrement, la notice d’information peut être envoyée par courrier. Cette solution est coûteuse et s’accompagne d’une perte de temps et de problèmes de traçabilité. De plus, les patients qui souhaitent s’opposer au traitement de leurs données n’ont d’autre choix que de répondre par courrier (ce qui demande un effort) ou par e-mail (ce qui n’est pas sécurisé).

Deuxièmement, la notice d’information peut être transmise par e-mail. Cette méthode présente plusieurs problèmes : elle n’est pas sécurisée et ne permet pas une bonne traçabilité, les taux d’ouverture sont généralement mauvais, et chaque réponse doit être traitée manuellement.

Vous commencez à vous demander si la solution parfaite existe ? Ne désespérez pas ! Avec Isalid, informer ses patients en toute conformité RGPD devient un jeu d’enfant (petite pub oblige, on est les seuls à vraiment le faire…). Vos patients sont invités à se connecter à notre plateforme sécurisée, sur laquelle ils retrouvent la notice d’information et peuvent s’opposer au traitement de leurs données en un clic. Une excellente traçabilité est assurée : d’une part, vous pouvez savoir si les patients contactés ont bien ouvert leur mail ou SMS d’invitation à se connecter, et, d’autre part, les réponses des patients sont sécurisées et inaltérables. Grâce à Isalid, vous créez un réel climat de confiance avec vos patients !

Avec Isalid, vous avez trouvé l’allié parfait pour informer vos patients en toute sécurité et efficacité !

Pour en savoir plus sur la Méthodologie de référence 004 : CNIL, "Méthodologie de référence MR-004", www.cnil.fr/fr/declaration/mr-004-recherches-nimpliquant-pas-la-personne-humaine-etudes-et-evaluations-dans-le