Bases de données de santé à des fins de recherche ultérieure
L’Assistance publique-Hôpitaux de Paris peut créer une base de données de santé à des fins de recherche ultérieure. La réutilisation de données cliniques dans le cadre de recherches médicales, non-interventionnelles, est à n’en pas douter un atout stratégique.
L’AP-HP a été autorisée, le 19 janvier 2017, par la Cnil (Délib. 2017-013 ), à créer un « Entrepôt de données de santé (EDS) », dans le cadre d’un système d’information commun à l’ensemble des 39 établissements de l’AP-HP. Martin Hirsh, directeur de l’AP-HP, a commenté la nouvelle, annoncée sur Twitter (2), comme suit : « Un grand pas pour les innovations en santé de demain. Quand la taille commence à être un atout… pas seulement un poids ! ».
Bases de données de santé à des fins de recherche ultérieure
L’AP-HP fait en effet partie des premiers établissements ou structures souhaitant créer ce type de base de données à obtenir l’aval de la Cnil. Le Commissariat à l’énergie atomique et aux énergies alternatives (CEA) avait déjà été autorisé par la Cnil (Délib. 2016-333), le 10 novembre 2016, à créer « une base de données nationale d’imagerie comprenant des données collectées dans le cadre de recherches menées dans le domaine de la santé sur les maladies neurodégénératives dont la maladie d’Alzheimer ».
Ces deux projets posent la question de la réutilisation, dans l’intérêt public, de données de santé, à des fins de recherche ultérieure. Longtemps mis de côté en raison, entre autres, de la lourdeur des procédures, ces projets ambitieux ont vu le jour dans un contexte de « big data », où la donnée a de la valeur, et plus encore une base de données.
L’une des difficultés de la mise en place de ce type de base de données réside, notamment, dans le respect des droits des personnes concernées. En effet, qu’il s’agisse de données de santé à des fins de recherche ultérieure ou de données cliniques, celles-ci ont été collectées pour une finalité déterminée initialement. La personne concernée a reçu une information relative à cette finalité et a, le cas échéant, donné son consentement à la collecte de ses données et à leur utilisation sur la base de cette information. Toute utilisation ultérieure de ces données nécessite une information des personnes concernées, voire le recueil de leur consentement. Cela semble facilement réalisable, pour la collecte des données nouvelles ayant vocation à intégrer la base, beaucoup moins, pour des données collectées dans les dernières années. La nécessité de recontacter, a posteriori, les personnes concernées, constitue un frein important à la création d’une telle base de données.
A cet égard, l’AP-HP a fait le choix, validé par le Cnil, d’annoncer, sur son site web, la constitution de l’Entrepôt de données de santé et de préciser que tout patient ayant été pris en charge a la possibilité de s’opposer à l’utilisation de ses données dans le cadre de recherches. Le CEA a choisi le même procédé.
Une autre difficulté réside dans la finalité assez large de la base de données, qui pourra être utilisée pour des recherches ou des études, qui n’ont pas encore été mises en place, ni même conçues. La finalité exprimée par le CEA et l’AP-HP respectivement est la constitution d’une base de données de santé à des fins de recherche ultérieure, dans le domaine de la santé, en particulier pour le CEA, sur les maladies neurodégénératives. Cela permet d’englober largement les utilisations possibles de la base de données ainsi créée.
Fondement juridique de la base de données de santé à des fins de recherche ultérieure
La Cnil, pour une base de données d’origine cliniques ou de données provenant de recherches, se fonde sur l’article 8, IV de la loi Informatique et libertés relatif aux traitements « justifiés par l’intérêt public », justifiant la nécessité d’une autorisation de la Cnil, conformément à l’article 25 de la loi Informatique et libertés.
S’agissant de l’Entrepôt de données de santé de l’AP-HP, la Cnil, conformément à l’article 6 de la loi Informatique et libertés sur les traitements ultérieurs, a rappelé que les traitements de données de santé à des fins de recherche ultérieure ou encore d’études dans le domaine de la santé, sont des traitements distincts, qui doivent faire l’objet de formalités propres, au titre du chapitre IX de la loi Informatique et Libertés.
Les normes de sécurité doivent, en outre, être mises en œuvre par les responsables de traitement. Le CEA a ainsi notamment mis en place une politique d’habilitation, selon différents profils fonctionnels (utilisateur, contributeur, administrateur), ainsi qu’un contrôle d’accès et un système de traçabilité. L’AP-HP s’est également dotée d’une politique d’authentification, d’habilitation et de sauvegarde et d’un contrôle des accès. Dans les deux cas, la base de données est hébergée en interne. Une externalisation de cet hébergement aurait nécessité le recours à un hébergeur agréé (CSP, art. L1111-8).
Marguerite Brac de La Perrière
Aude Latrive
Lexing Santé numérique
1) Délibération Cnil 2017-013 du 19-1-2017 autorisant l’Assistance publique – Hôpitaux de Paris à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité un entrepôt de données de santé, dénommé « EDS ».
2) https://twitter.com/martinhirsch.
3) Délibération Cnil 2016-333 du 10-11-2016 autorisant le Commissariat à l’énergie atomique et aux énergies alternatives à mettre en œuvre un traitement automatisé de données à caractère personnel dénommé Centre d’étude et de recherche national dédié au traitement des images cérébrales « CATI ».