Instructions dans la recherche clinique Sabine Helfen chef de projet URC-CRC Avicenne
I. La CNIL II. III. IV. Instructions dans la recherche clinique Méthodologies de référence Déclaration Normale V. Demande d autorisation VI. VII. VIII. IX. Autres autorisations uniques Transfert des données à l étranger Contenu de l information donnée aux patients Contrôles et sanctions X. Cas pratiques 2
I CNIL : Commission Nationale de l Informatique et des Libertés 1. L organisme 2. Missions 3. Définitions des données à caractère personnel et de l anonymisation 3
1. CNIL : Histoire de sa création Dans les années 70, le gouvernement souhaitait identifier chaque citoyen par un numéro et utiliser cet identifiant pour tous les fichiers administratifs 4
1. CNIL : Histoire de sa création La loi 78-17 du 6 janvier 1978 «informatique et libertés» Elle réglemente l exploitation des fichiers et des traitements informatisés contenant des données personnelles Conformément à la loi «informatique et libertés» du 6 janvier 1978, vous disposez d un droit d accès et de rectification aux données personnelles vous concernant. Par notre intermédiaire, vous pouvez recevoir des propositions d autres sociétés. Si vous ne le souhaitez pas, il vous suffit de nous écrire en nous indiquant vos noms et prénom et adresse. 5
1. CNIL : Histoire de sa création La loi 78-17 du 6 janvier 1978 qui régit la CNIL a été modifiée en août 2004. Cette loi renforce les pouvoirs de la CNIL et simplifie les formalités de déclaration. http://www.cnil.fr/en-savoir-plus/textes-fondateurs/loi78-17/ 6
1. L organisme de la CNIL Autorité indépendante : 17 membres Election du président parmi ses membres Elle ne reçoit d instruction d aucune autorité Les ministres, autorités publiques, dirigeants d entreprises, publiques ou privées, ne peuvent s opposer à l action de la CNIL 7
1. L organisme de la CNIL Autorité administrative : Le budget de la CNIL est imputé sur le budget de l État Les agents de la CNIL sont des agents contractuels de l État Les décisions de la CNIL peuvent faire l objet de recours devant la juridiction administrative 8
2. CNIL : Missions Protéger la vie privée et les libertés individuelles ou publiques Veiller au respect de la loi "Informatique et Libertés" 9
2. CNIL : Missions Comment : Informer la population Contrôler les organismes demandeurs Garantir le droit d'accès aux fichiers Recenser les fichiers Réglementer le traitement des données 10
2. CNIL : Missions Comment : Elle enregistre, émet des avis, conseille, examine, contrôle, sanctionne dans tous les domaines, en particulier dans le domaine de la Recherche Clinique 11
3. CNIL : Définition des données à caractère personnel et de l anonymisation Aucun fichier ou traitement de données susceptible de contenir des informations personnelles ne peut être créé sans autorisation ou déclaration 12
3. CNIL : Définition des données à caractère personnel Donnée à caractère personnel : Toute information relative à une personne physique identifiée ou qui peut être identifiée directement ou indirectement ou par référence à un numéro d identification ou à plusieurs éléments qui lui sont propres Reco = 1ère lettre du nom + 1ère lettre du prénom 2 lettres nom tolérées 13
3. CNIL : Définition de l anonymisation Anonymisation = aucun moyen de revenir au patient o Pas d initiale o Pas de numéro d enregistrement o Pas de date de naissance Un fichier anonyme existe rarement en RC! 14
3. CNIL : Définition des données à caractères personnel Traitement de données = Ensemble d opérations portant sur de telles données, quelle que soit la procédure utilisée : collecte consultation transmission enregistrement utilisation diffusion / mise à disposition organisation extraction rapprochement / interconnexion conservation adaptation / modification verrouillage effacement / destruction 15
3. CNIL : Définition des données sensibles Données sensibles ethnie opinions philosophiques, politiques, religieuses, vie sexuelle santé. Données biométriques empreintes digitales contour de la main iris de l œil, Données génétiques Infractions, condamnations, mesures de sûreté N de sécurité sociale Appréciations sur les difficultés sociales des personnes 16
II INSTRUCTIONS A LA CNIL DANS LA RECHERCHE CLINIQUE 1. Rappels de la classification des études 2. Quelle CNIL pour quelle étude? 17
1. Rappels de la classification des études Modification de la prise en charge du patient? NON OUI Procédure supplémentaire ou inhabituelle sans risque pour le patient (prise de sang, examen non invasif, ) nécessaire? La recherche vise donc à évaluer des nouvelles stratégies thérapeutiques ou implique une procédure supplémentaire pour le patient (examen invasif, biopsie, ) NON OUI La recherche porte uniquement sur un recueil de données Evaluation d un médicament? NON OUI Recherche Non Interventionnelle 04/11/2016 Recherche évaluant les Soins Courants Recherche Biomédicale Formation CNIL_S.Helfen 18
2. Quelle CNIL pour quelle étude? Interventionnelle Non Interventionnelle RBM Soins courants Collection biologique Observationnelle Données DM In vitro MR-001 3 DECLARATIONS SIMPLIFIEES : MR-003 MR-002 Si la méthodologie n est pas possible : 2 possibilités demande d autorisation CCTIRS+ CNIL CNIL : déclaration normale 19
III METHODOLOGIES DE REFERENCE 1. Objectifs et Formalités de déclaration 2. Pour quelles études? 3. Conditions à respecter 4. La grille d étude de risques 20
III. Les méthodologies de référence 1) Objectif et Formalités de déclaration 3 méthodologies de référence en RC : MR-001 modifiée le 21 juillet 2016 MR-002 depuis 16 juillet 2015 MR-003 depuis 21 juillet 2016 simplifier la procédure de déclaration un engagement de conformité à la dite méthodologie un seul engagement pour toutes les études de l organisme 21
III. Les méthodologies de référence Méthodologie = Cahier des charges à respecter Si toutes conditions respectées Engagement de conformité envoyé à la CNIL 1 seule déclaration pour l ensemble des études 22
III. Les méthodologies de référence Engagement à enregistrer sur le site de la CNIL : http://www.cnil.fr/ Je suis un professionnel Effectuer une démarche Déclarer mon fichier Engagement de conformité à un texte de référence Commencez 23
III. Les méthodologies de référence Choix MR 24
III. Les méthodologies de référence 25
III Les méthodologies de référence 2) Pour quelles études? Promoteur + Recueil Consentement Echelles Qualité de Vie non validées Photos ou vidéos non identifiantes Etudes comportements MR- 001 Recherches Interventionnelles Etudes des caractéristiques génétiques Essais cliniques sur médicament Recherche en génétique identifiante Pas d information individuelle Appariement des bases médicoadministratives Données identifiantes 26
III Les méthodologies de référence 2) Pour quelles études? DM de Diagnostic In Vitro Recherches Non Interventionnelles MR- 002 27
III Les méthodologies de référence 2) Pour quelles études? Sans Recueil Consentement Essais Cliniques de médicament par grappe MR- 003 Recherches NON Interventionnelles Recherche en génétique identifiante Pas d information individuelle Appariement des bases médicoadministratives Données identifiantes Soins Courants 28
III. Les méthodologies de référence 3) Les principales conditions posées à respecter : Conditions MR-001 MR-002 MR-003 Responsable de la recherche = Promoteur Personne physique ou morale Promoteur Information des personnes + professionnels de santé avant tout recueil de données Individuelle 2 mois pour corriger ou supprimer Consentement éclairé, libre et écrit des personnes concernées avant tout recueil de données OUI Pas forcément (conditions RNI) 29
III. Les méthodologies de référence Conditions MR-001 MR-002 MR-003 Données des patients (listing après) moins Données des professionnels de santé Information individuelle Conservées 5 ans après la fin de la recherche Identité Formation Cursus professionnel RPPS Indemnités Participation autres études 30
III. Les méthodologies de référence Conditions MR-001 et MR-003 MR-002 Destinataires des données promoteur et personnes pour son compte Investigateur coordonnateur Professionnels de santé participant ARC Services AQ et règlementaire Auditeurs et inspecteurs Biostatisticien Personnel de l assurance responsabilité civile promoteur et personnes pour son compte Investigateur coordonnateur Professionnels de santé participant ARC Services AQ et règlementaire Auditeurs et inspecteurs Biostatisticien Personnel de l assurance responsabilité civile 31
III. Les méthodologies de référence Conditions MR-001 MR-002 MR-003 Grille d étude des risques Pas de saisie temporaire hors CRF Outil de saisie avec authentification Sécurité et confidentialité Sécurisation envoi CRF papier (en main propre pour MR002!) Connexion sécurisée si automates d analyse Pas de queries ni de document anonymisé par mail 32
III. Les méthodologies de référence Conditions MR-001 et MR-003 MR-002 Transfert possible des données au sein ou hors de l Union Européenne OUI données patients codées OUI données patients codées Données des professionnels si nécessaire à l enregistrement du DM 33
III. Les méthodologies de référence Conditions MR-001 et MR-003 MR-002 Durée de conservation des données patients 1ère autorisation de mise sur le marché rapport final de la recherche (1 an après la fin de la recherche) publication des résultats de la recherche Archivage papier ou informatique rapport final de la recherche (1 an après la fin de la recherche) Enregistrement aux autorités Durée de conservation des données investigateurs 5 ans après la fin de la dernière étude 34
III. Les méthodologies de référence 3) Les données possibles : Conditions données patients Identité MR-001 et MR-003 n d ordre et/ou code alphanumérique à l exclusion du nom complet et du n de sécurité sociale MR-002 code alphanumérique (2i nom+1i prénom) à l exclusion du nom complet et du n RNIPP Santé antécédents personnels ou familiaux, maladies ou évènements associés, résultats d examens, thérapies, ei Informations signalétiques âge ou date de naissance*, lieu de naissance, sexe, poids, taille * j/m/a si enfant<2ans âge ou date de naissance (mois/année), lieu de naissance, sexe, poids, taille 35
III. Les méthodologies de référence Conditions données patients MR-001 et MR-003 MR-002 Images Si non identifiantes non Dates de suivi dans la recherche Origine ethnique oui oui oui Scientifiquement justifiée dans le protocole Données génétiques Si non identifiantes Variations seulement 36
III. Les méthodologies de référence Conditions données patients MR-001 et MR-003 MR-002 Situation familiale - célibataire, vie maritale, veuf (veuve), divorcé(e) - foyer : seul, couple (avec/sans enfants, nombre d enfants et nombre d enfants vivant au foyer), vivant avec d autres personnes - nombre de personnes à charge - niveau de formation - catégorie socio-professionnelle (INSEE) NON 37
III. Les méthodologies de référence Conditions données patients MR-001 et MR-003 MR-002 Situation économique et financière - mode de protection sociale - existence d une assurance complémentaire - affiliation à un régime de sécurité sociale (à l exception du n de SS) - montant des indemnités perçues - participation à d autres recherches NON 38
III. Les méthodologies de référence Conditions données patients MR-001 et MR-003 MR-002 Vie professionnelle - profession actuelle - historique - chômage - trajets et déplacements professionnels NON Déplacements Consommation de tabac, alcool, drogues -vers le lieu de soin (mode, durée, distance) OUI NON OUI 39
III. Les méthodologies de référence Conditions données patients MR-001 et MR-003 MR-002 Habitudes de vie et comportements - dépendance (seul, en institution, autonome, grabataire) - assistance (aide ménagère, familiale) - exercice physique (intensité, fréquence, durée) - régime et comportement alimentaire - mode de vie ((semi)-urbain, nomade, sédentaire ; habitat (maison particulière/immeuble, étage, ascenseur)) - vie sexuelle (doit être justifiée dans le protocole) - échelle de qualité de vie validée Exercices physiques Régime et comportement alimentaire Vie sexuelle 40
III. Les méthodologies de référence 4) La grille d étude des risques : Schéma des flux de données Page vierge De collecte à destruction Non transmise à la CNIL Liste Mesures de sécurité Sur données Sur système d information Sur l organisation Archivée TMF Grille de risques Violations potentielles Impacts Gravité 41
42
43
44
III. Les méthodologies de référence Cas particulier : 1 seule condition de la MR non respectée = Demande d Autorisation complète 45
IV DEMANDE D AUTORISATION 1. Demande d avis au CCTIRS 2. Demande d autorisation à la CNIL 46
Quelle CNIL pour quelle étude? Interventionnelle Non Interventionnelle RBM Soins courants Collection biologique Observationnelle Données DM In vitro MR-001 3 DECLARATIONS SIMPLIFIEES : MR-003 MR-002 Si la méthodologie n est pas possible : 2 possibilités demande d autorisation CCTIRS+ CNIL CNIL : déclaration normale 47
IV. Demande d Autorisation 2 étapes nécessaires pour 1 autorisation : Demande d avis au Comité Consultatif du Traitement de l Information en matière de Recherche dans le domaine de la santé (CCTIRS) Demande d autorisation à la CNIL 1 mois pour répondre 2x2 mois pour répondre 48
IV. Demande d Autorisation 1) Demande d avis au CCTIRS : Le CCTIRS a été créé en 1994, suite à l ajout du chapitre Vbis à la loi 94-548 Missions : - Avis sur la méthodologie de la recherche - Nécessité du recours à des données personnelles - Pertinence des données personnelles par rapport à l objectif de la recherche Composition : - 15 médecins et scientifiques - Nommés par arrêté conjoint du ministre de la recherche et de la santé - Réunion toutes les 4 semaines 49
1) Demande d avis au CCTIRS : Formulaire à récupérer sur le site du CCTIRS : http://www.enseignementsup-recherche.gouv.fr/cid20537/cctirs.html Attention aux mises à jour régulières 50
1) Demande d avis au CCTIRS : Dossier signé par l organisme demandeur (ex : directeur d hôpital) Dossier envoyé en 3 exemplaires en recommandé avec AR Le CCTIRS a 1 mois pour rendre sa décision Avis défavorable = corriger ou répondre pas de réponse = avis favorable Avis favorable = envoyer dossier CNIL 51
2) Demande d autorisation CNIL : Demande à déposer sur le site de la CNIL : http://www.cnil.fr/ Je suis un professionnel Effectuer une démarche Déclarer mon fichier Déclaration normale, Autorisations, Demande d'avis Accédez 52
2) Demande d autorisation CNIL : Partie 1 : informations administratives sur le responsable du traitement Partie 2 : identification du responsable du traitement Partie 3 : service chargé du traitement = investigateur coordonnateur = service stat Partie 4 : avis rendu par le CCTIRS Partie 5 : finalité de la recherche = joindre dossier + avis en annexe = objectif 53
2) Demande d autorisation CNIL : Partie 6 : données sensibles traitées Catégorie Détail Origine Durée de conservation Identité Destinataire Santé Vie personnelle Vie professionnelle Prélèvements biologiques Origines et opinions 54
2) Demande d autorisation CNIL : Partie 7 : transfert de données à l étranger Partie 8 : sécurité et confidentialité! Ne pas oublier les prestataires Partie 9 : information des personnes et droit d accès = sécurité du système informatique hébergeant les données = joindre la note d info en annexe Coordonnées pour réceptionner les appels de patients Partie 10 : signature du responsable 55
2) Demande d autorisation CNIL : La CNIL a 2 mois (x2) pour rendre sa décision Refus = corriger ou répondre Pas de réponse = refus Autorisation = commencer la recherche 56
V DECLARATION NORMALE 1. Pour quelles études? 2. La procédure de déclaration 57
Quelle CNIL pour quelle étude? Interventionnelle Non Interventionnelle RBM Soins courants Collection biologique Observationnelle Données DM In vitro MR-001 3 DECLARATIONS SIMPLIFIEES : MR-003 MR-002 Si la méthodologie n est pas possible : 2 possibilités demande d autorisation CCTIRS+ CNIL CNIL : déclaration normale 58
V. La déclaration normale Organisation de la recherche dans un seul centre hospitalier Les données ne sortent pas de cet établissement déclaration allégée = déclaration normale à la CNIL UNIQUEMENT Les données à caractère personnel utilisées dans la recherche soumises aux règles de confidentialité identiques à celles du soin. 59
V. La déclaration normale Demande à déposer sur le site de la CNIL : http://www.cnil.fr/ Je suis un professionnel Effectuer une démarche Déclarer mon fichier Déclaration normale, Autorisations, Demande d'avis Accédez 60
V. La déclaration normale La CNIL répond immédiatement : n d enregistrement = commencer la recherche 61
VI AUTRES AUTORISATIONS UNIQUES AU 043 Dépistage organisé des cancers du sein et colorectal AU-037 Traitements des données de santé par messagerie sécurisée AU 013 Traitements de pharmacovigilance AU 041 Autorisations temporaires d utilisation (ATU) et recommandations temporaires d utilisation (RTU) 62
VII Transfert des données à l étranger Transfert de données vers un pays étranger possible Le responsable s assure que la législation de l état «receveur» garantit un niveau de protection des données équivalent à la France 63
Transfert des données à l étranger Transfert de données vers un pays membre de l UE Pas d autorisation particulière car protection adéquate (= directive 95/46 CE) La CNIL (et les volontaires) doit être informée de ce transfert 64
Transfert des données à l étranger Transfert de données vers un pays hors de l UE Autorisation obligatoire de la CNIL Annexes de sécurité à compléter Vérifier le niveau de protection reconnu sur la carte : 65
66
VIII Contenu de l information à donner aux patients 1. Droit à l information 2. Droit d accès 3. Droit d opposition 67
1. Droit à l information Contenu obligatoire : Identité du responsable, Nature des données recueillies Objectif du projet (= finalité du ttt de données), Destinataires des données Droits d accès et de rectification Droit d opposition Modalités et personne à qui s adresser pour ces droits Caractère facultatif de participation Inscription fichier volontaire 68
1. Droit à l information Contenu obligatoire à ne pas modifier : 2 paragraphes standards dans la note d information : «Dans le cadre de la recherche biomédicale à laquelle [nom du promoteur] vous propose de participer, un traitement de vos données personnelles va être mis en œuvre pour permettre d analyser les résultats de la recherche au regard de l objectif de cette dernière qui vous a été présenté. «A cette fin, les données médicales vous concernant et les données relatives à vos habitudes de vie, ainsi que, dans la mesure où ces données sont nécessaires à la recherche, vos origines ethniques ou des données relatives à votre vie sexuelle, seront transmises au Promoteur de la Recherche ou aux personnes ou sociétés agissant pour son compte, en France ou à l étranger. Ces données seront identifiées par un numéro de code et/ou vos initiales ou les trois premières lettres de votre nom [à préciser selon les cas]. Ces données pourront également, dans des conditions assurant leur confidentialité, être transmises aux autorités de santé françaises ou étrangères, à d autres entités de [nom du promoteur]» 69
1. Droit à l information Contenu obligatoire à ne pas modifier : + Formule de consentement en cas de recueil et de traitement de données génétiques : «J accepte que les données enregistrées à l occasion de cette recherche comportant des données génétiques puissent faire l objet d un traitement informatisé par le promoteur ou pour son compte. J ai bien noté que le droit d accès prévu par la loi du 6 janvier 1978 relative à l informatique, aux fichiers et aux libertés (article 39) s exerce à tout moment auprès du médecin qui me suit dans le cadre de la recherche et qui connaît mon identité. Je pourrai exercer mon droit de rectification et d opposition auprès de ce même médecin qui contactera le promoteur de la recherche.» 70
2. Droit d accès Les patients peuvent à tout moment demander à avoir accès à leurs données pour : Rectifier Compléter Actualiser AUPRES DE : Investigateur intervenant et détenteur des données 71
3. Droit d opposition Les patients peuvent refuser : De répondre à une collecte d information Le traitement de leurs données La transmission de leurs données AUPRES DE : Responsable du traitement des données Établissement Investigateur 72
IX Contrôles et sanctions 1. Les contrôles de la CNIL a) avant un contrôle b) pendant un contrôle c) après un contrôle 2. Les sanctions 3. Des exemples 73
1. Les contrôles de la CNIL La CNIL a le pouvoir d effectuer des contrôles auprès de l ensemble des responsables de traitement (art. 11-2 -f et 44 de la loi du 6 janvier 1978 modifiée le 6 août 2004, et par les art. 61 à 69 du décret du 20 octobre 2005 modifié par le décret du 25 mars 2007) 74
1. Les contrôles de la CNIL 1.1 Avant un contrôle Décision prise par le Président de la CNIL, sur proposition du service des contrôles - information du Procureur de la République Le responsable du traitement de données peut ne pas être informé avant le contrôle 75
1. Les contrôles de la CNIL 1.2 Pendant un contrôle Accès à un maximum d informations (formulaires, dossiers papiers, contrats, bases de données, programmes informatiques, données, ) pour apprécier les conditions dans lesquelles sont mis en œuvre des traitements informatiques Procès Verbal de fin de mission 76
1. Les contrôles de la CNIL 1.3 Après un contrôle 2 cas Pas d observation particulière courrier du Président de la CNIL qui peut contenir des recommandations éventuelles Manquement relevé sérieux transmission du dossier à la formation contentieuse de la CNIL 77
2. Les sanctions possibles POUVOIRS de la CNIL : art. 45 de la loi art. 226-16 à 226-24 Code Pénal Administratives Réponse 8 Financières Pénales 78
2. Les sanctions possibles Un avertissement Une mise en demeure (de 10 jours à 3 mois) Une sanction pécuniaire : 150.000 max, jusqu à 300.000 si récidive Une injonction de cesser le traitement Un retrait de l autorisation accordée Une interruption de la mise en œuvre du traitement et le verrouillage des données pour 3 mois Recours possible : 1 mois pour répondre aux remarques 79
2. Les sanctions possibles Manquement observé Art. code pénal Sanction pécuniaire Sanction pénale Mise en œuvre d un traitement de données avant autorisation Art. 226-16 300.000 5 ans de prison Refus ou entrave au bon exercice des droits des personnes Art. 131-13 Décret n 2005-1309 du 20 octobre 2005 1500 3000 si récidive Communication d informations à des personnes nonautorisées Non-respect de l obligation de sécurité Art. 226-22 300.000 5 ans de prison Art. 226-17 300.000 5 ans de prison 80
3. Des exemples Toutes les sanctions en accès libres sur le site de la CNIL date Qui Sanction Pourquoi 05/11/2015 Optical Center 50 000 euros Défaut de sécurité et confidentialité 03/01/2014 GOOGLE INC* 150 000 euros 18/11/2011 Hébergeur de données de santé Avertissement non public Défaut d'information, non définition d'une durée de conservation, défaut de base légale pour la combinaison des données, défaut de recueil du consentement Collecte illicite, défaut de sécurité et 81 confidentialité
MERCI DE VOTRE ATTENTION 82