Exploiter les données santé de ses patients: un partage sous conditions!

Le 15.10.2018 par Jean-Jacques Cristofari

logo les échos

Partager sur Facebook Partager sur Twitter Partager sur LinkedIn
un médecin partage des données de santé pour une étude clinique.

La gestion des données relatives aux patients est un sujet sensible et récurrent, notamment dans le domaine de la santé où ces mêmes données sont protégées par le secret médical. Elles peuvent cependant être partagées, en particulier pour réaliser des études cliniques. Mais à certaines conditions.

Le RGPD fixe de nouvelles règles en matière de santé

Depuis l’entrée en application du règlement général sur la protection des données (RGPD), en mai 2018(1), vous devez savoir que les données collectées sur vos patients doivent se limiter à ce qui est strictement nécessaire à leur prise en charge au titre des activités de prévention, de diagnostic et de soins.

La CNIL rappelle cette obligation (2) sur les données de santé, qu’elle assortit d’une limitation : « seules certaines personnes sont autorisées, au regard de leurs missions, à accéder à celles-ci ».

En pratique :

  • les données de santé ne peuvent être conservées que pour une durée limitée,
  • et les patients doivent être tenus informés sur le traitement (par logiciel de suivi ou dossier papier) qui peut en être fait pour leur prise en charge.

Protection des données à caractère personnel et RGPD : les grands principes 

L’information sur la collecte est la règle

Avant de procéder à la collecte des données personnelles de santé, vous devez vous interroger sur l’utilisation qui en sera faite. Dans les cas particuliers où un médecin ou un groupe de médecins installés en MSP envisagent d’utiliser les données médicales de leurs patients en vue d’une recherche ou d’une étude clinique, les personnes dont les données de santé sont collectées doivent être informées de l’usage qui peut en être fait.

L’information, note encore la CNIL, doit être délivrée de façon :

  • concise,
  • transparente,
  • compréhensible,
  • et aisément accessible.

L’information doit pouvoir être abordable par le « grand public », c’est-à-dire réalisée de la manière la plus intelligible possible. Son contenu pouvant varier selon que les données sont collectées directement ou indirectement auprès des personnes concernées.

Doivent également être portés à la connaissance des patients :

  • les coordonnées et l’identité du responsable du traitement (professionnel ou structure),
  • les finalités du traitement auxquelles sont destinées les données à caractère personnel, ainsi que la base juridique du traitement,
  • le cas échéant, les destinataires (dont les sous-traitants) ou les catégories de destinataires des données à caractère personnel.

Les droits des patients concernés par l’étude

Vous devrez préciser la durée de conservation des données ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée. Il vous reviendra :

  • d’assurer la confidentialité de ces données,
  • et d’éviter des accès non autorisés ou la perte de données.

La personne concernée par un traitement de données de santé doit, de son côté, pouvoir demander l’accès, la rectification, l’effacement ou la limitation des informations figurant dans ce traitement. Elle peut s’opposer à la collecte d’informations, sauf si le responsable de traitement démontre qu’il existe des motifs légitimes et impérieux qui prévalent sur les intérêts, les droits et les libertés de la personne. Vos patients possèdent ainsi le droit de retirer leur consentement à tout moment pour les traitements de leurs données.

Des données médicales anonymisées et objet d’un parcours balisé

En aucun cas, les données de santé qui nourrissent les bases de données médicales partagées, avec d’autres établissements ou réseaux, ne doivent permettre l’identification du patient. Ainsi, un processus de codification ou de « dé-identification » des données doit assurer leur partage de manière anonyme.

La collecte de données de santé et l’exploitation de bases les regroupant sont soumises à une réglementation très stricte. Cette dernière étant destinée à garantir la confidentialité de ces données et à assurer la protection de la vie privée du patient.

Il faut se rappeler que pour débuter, l'essai ou l’étude clinique doit avoir obtenu :

  • un avis favorable du Comité de protection des personnes (C.P.P.),
  • et une autorisation de l'Agence nationale de sécurité du médicament et des produits de santé (ANSM).

Le CPP rendra ainsi son avis sur les conditions de validité de la recherche.

Enfin, dans le cas où une étude sur les données relatives aux patients sont destinées à un usage non exclusif, vous devrez mener une réflexion « sur les risques qui peuvent en résulter en ce qui concerne les droits et les libertés des personnes concernées et sur le niveau de protection nécessaire au regard de ces risques », souligne le guide édité conjointement par la CNIL et l’Ordre des médecins(3). Si vous êtes promoteur de l’étude vous devrez ainsi procéder à une déclaration de conformité à la méthodologie de référence qui concerne les études cliniques et le partage des données de santé.

 

(1) cf. : RGPD et professionnels de santé libéraux : ce que vous devez savoir 

(2) cf. Traitement des données de santé : comment informer les personnes concernées.

(3) cf. Guide Pratique sur la protection des données personnelles

Partager sur Facebook Partager sur Twitter Partager sur LinkedIn

En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour une navigation optimale et bénéficier de contenus et services adaptés.

×