Un arrêté du 17 juillet 2017 relatif au référentiel déterminant les critères de confidentialité, d’expertise et d’indépendance pour les laboratoires de recherche et bureaux d’études a été publié au Journal officiel du 25 juillet 2017.
Il a pour objet de déterminer les critères de confidentialité, d’expertise et d’indépendance auxquels doivent se conformer les laboratoires de recherche et bureaux d’études visés au 2° du II de l’article L. 1461-3 du code de la santé publique pour la mise en uvre des traitements de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation au sens du 1° du I de l’article L. 1461-3.
Les engagements respectifs du ou des responsables du traitement de la recherche, étude ou évaluation, lequel ou lesquels n’accèdent pas aux données, et du laboratoire de recherche ou bureau d’études doivent être formalisés, avant le début des travaux, dans un contrat.
La rémunération doit dépendre uniquement de la nature et du volume des prestations définies au sein du contrat et ne pas être conditionnée par les résultats de la recherche.
Le contrat doit par ailleurs préciser les mesures et conditions de sécurité attestant de la conformité au référentiel de sécurité applicable au Système national des données de santé, s’agissant notamment :
– des procédures et conditions d’habilitation d’accès aux données pour les personnes mettant en uvre le traitement de données ;
– des accès et des échanges de données et de documents entre les différents intervenants mettant en uvre le traitement de données ou autorisés à accéder aux données, des stipulations particulières en matière de responsabilité et de sécurité en cas de recours à un prestataire.
Le contrat doit enfin décrire les droits et obligations des personnes en charge de la recherche, de l’étude, ou de l’évaluation menée et rappeler l’interdiction de traitement des données du Système national des données de santé aux fins mentionnées au V de l’article L. 1461-1 du code de la santé publique.
Les responsables des laboratoires de recherche ou des bureaux d’études et les personnes salariées ou les personnes prestataires auxquelles ils ont recours mettant en uvre le traitement ou autorisés à accéder aux données dans le cadre de la recherche, de l’étude ou de l’évaluation sont soumis au secret professionnel.
Ils signent un engagement individuel de confidentialité, conforme aux exigences du référentiel de sécurité applicable au Système national des données de santé.
Les résultats diffusés ne doivent pas permettre de réidentifier les personnes auxquelles les données se rapportent.
Les laboratoires de recherche ou les bureaux d’études doivent disposer ou se doter de compétences en matière de recherche dans les domaines de la santé, de la statistique et en matière de traitement de données à caractère personnel, intégrant une connaissance des enjeux relatifs à l’anonymisation des données. En fonction du thème de la recherche, de l’étude ou de l’évaluation, il peut être fait appel à des compétences complémentaires notamment en épidémiologie, génétique, biostatistique, environnement, économie, ou sciences humaines et sociales.
Les personnes salariées des laboratoires de recherche ou des bureaux d’études ou les prestataires auxquels ils ont recours, accédant aux jeux de données du Système national des données de santé mis à leur disposition doivent avoir suivi une formation spécifique au traitement des données du Système national des données de santé dont le contenu a été validé par le responsable du traitement du Système national des données de santé.
Le protocole d’analyse de la recherche, de l’étude ou de l’évaluation ne doit pas avoir pour but de produire un résultat spécifié à l’avance.
Le responsable du laboratoire de recherche ou du bureau d’études communique, au moment du dépôt de la demande d’accès aux données du Système national des données de santé, à l’Institut national des données de santé, une déclaration d’intérêts en rapport avec l’objet du traitement. Cette déclaration doit être conforme au modèle figurant en annexe du présent arrêté.
Le responsable du laboratoire de recherche ou du bureau d’études ainsi que ses salariés ou les prestataires auxquels il a recours, impliqués dans la mise en uvre d’une recherche, étude ou évaluation au sens du 1°, I de l’article L. 1461-3 du code de la santé publique attestent respectivement de l’absence de conflit d’intérêts avec l’objet du traitement dans la déclaration des intérêts du laboratoire de recherche ou du bureau d’études demandeur.
Les liens d’intérêts concernés sont les liens de toute nature, directs ou par personne interposée, que la personne impliquée dans le traitement a, ou qu’elle a eus, pendant les trois années précédant la date de soumission de la demande d’autorisation à la Commission nationale de l’informatique et des libertés, avec des entreprises, des établissements ou des organismes dont les activités, les techniques et les produits entrent dans le champ de l’objet du traitement dans lequel la personne est impliquée.
Cette déclaration est actualisée à l’initiative du demandeur et est communiquée par celui-ci à l’Institut national des données de santé dans les meilleurs délais.
L’existence d’un conflit d’intérêts interdit la participation à la recherche, à l’étude ou à l’évaluation de la ou des personnes mentionnées au troisième alinéa concernées par ce conflit de façon à en garantir l’intégrité et l’objectivité.
Le laboratoire de recherche ou le bureau d’études ne doit pas être en situation de dépendance économique à l’égard du responsable du traitement à l’origine de la recherche, de l’étude ou de l’évaluation.
Les laboratoires de recherche et bureaux d’études doivent présenter un engagement de conformité au présent référentiel auprès de la Commission nationale de l’informatique et des libertés.