Protection des données dans les recherches en santé

Protection des données
dans les recherches en santé

Cadres applicables et perspectives d’évolution

 

Contexte

Les données personnelles jouent un rôle essentiel dans les recherches dans le domaine de la santé.

Les données utilisées dans le cadre des recherches en santé sont souvent collectées directement auprès de personnes. Leur analyse permet de faire évoluer nos connaissances sur le fonctionnement du corps humain, des produits de santé, des techniques de soin…

Pour les acteurs impliqués dans la conduite de ces recherches, il est impératif de respecter le cadre juridique et réglementaire qui permet l’utilisation de ces données ; le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (LIL), et les autres textes et obligations qui en découlent, sont devenus incontournables.

Ce cadre légal et réglementaire s’additionne aux nombreuses autres exigences applicables aux recherches en santé telles que :

  • Code de la santé publique,
  • Bonnes Pratiques Cliniques,
  • Règlement (UE) n°536/2014 relatif aux essais cliniques de médicaments à usage humain,
  • Règlement (UE) 2017/745 relatif aux dispositifs médicaux,
  • Règlement (UE) 2017/746 relatif aux dispositifs médicaux de diagnostic in vitro,
  • Recommandations européennes,

Naviguer entre tous ces textes peut vite devenir complexe.

 

Protection des données personnelles, un enjeu central en recherche en santé

Une donnée personnelle est toute information qui se rapporte à une personne identifiée ou identifiable.

Dans le cas des recherches en santé, les données utilisées permettent généralement d’identifier directement ou indirectement les personnes :

  • les données directement identifiantes dans le cadre d’une recherche peuvent, par exemple, être : le nom, le prénom, le NIR[1], les coordonnées…
  • les données indirectement identifiantes peuvent permettre d’identifier les personnes par croisement de ces données : date de naissance, lieu de résidence, numéro d’identification du patient dans la recherche, données pseudonymisées…

Ces informations utilisées relatent l’état de santé des individus et sont, au sens du RGPD, des données sensibles (article 9 du RGPD).

Elles requièrent un haut niveau de protection et l’accomplissement de formalités préalables à leur utilisation.

 

Cadre légal de l’utilisation des données personnelles dans le cadre de recherches en santé en France

Le RGPD et la LIL interdisent par principe le traitement des données de santé (Article 9, RGPD et Article 6, LIL).

Des exceptions existent, et la recherche en santé peut en faire partie sous certaines conditions (Article 9, 2. j), RGPD et Article 44, LIL).

En effet, la loi Informatique et Libertés prévoit qu’à l’exception des études dites « internes » – menées par les professionnels de santé à partir des données issues du suivi médical individuel des patients et pour leur usage exclusif (Articles 65 et 44, LIL) – toutes les recherches dans le domaine de la santé qui utilisent des données de santé doivent faire l’objet d’une formalité préalable auprès de la Commission nationale de l’informatique et des libertés (CNIL) (Article 66, LIL).

Ainsi, pour conduire une recherche dans le domaine de la santé, il est nécessaire soit de réaliser une déclaration de conformité à un référentiel homologué par la CNIL soit de demander une autorisation auprès de la CNIL.

La CNIL propose des référentiels dits « Méthodologies de Référence (MR) » qui fixent un cadre préétabli pour la conduite de certaines recherches, et dont il faut respecter les conditions. Les Méthodologies de Référence permettent de simplifier les formalités pour le traitement des données de santé dans le cadre des recherches.

Ces MR couvrent différents types de recherches :

  • Recherches Impliquant la Personne Humaine, Essais Cliniques de médicament, Investigations Cliniques de dispositifs médicaux, Études des Performances de DMDIV :
    • Méthodologie de Référence MR-001 : recherches dans le domaine de la santé nécessitant le recueil du consentement de la personne concernée ;
    • Méthodologie de Référence MR-002 : études non interventionnelles de performances en matière de dispositifs médicaux de diagnostic in vitro ;
    • Méthodologie de Référence MR-003 : recherches dans le domaine de la santé ne nécessitant pas le recueil du consentement de la personne concernée ;
  • Recherches N’Impliquant pas la Personne Humaine :
    • Méthodologie de Référence MR-004 : recherches, études et évaluations dans le domaine de la santé n’impliquant pas la personne humaine ;
    • Méthodologie de Référence MR-005 : recherches, études et évaluations nécessitant l’accès par les établissements de santé et des fédérations aux données du PMSI et des résumés de passage aux urgences centralisées ;
    • Méthodologie de Référence MR-006 : recherches, études et évaluations de données nécessitant l’accès aux données du PMSI centralisées ;
    • Méthodologie de Référence MR-007 : recherches, études ou évaluations nécessitant l’accès aux données de la base principale du SNDS par les organismes agissant dans le cadre de leur mission d’intérêt public ;
    • Méthodologie de Référence MR-008 : recherches, études ou évaluations nécessitant l’accès aux données de la base principale du SNDS par les organismes agissant dans le cadre de leurs intérêts légitimes.

Si le projet de recherche est conforme à la Méthodologie de Référence qui lui est applicable, alors il n’est pas nécessaire de demander une autorisation préalable de la CNIL (articles 66 et 73 de la LIL). La recherche pourra être mise en œuvre dans le cadre d’une déclaration de conformité à ce référentiel, à réaliser sur le site de la CNIL.

Toutefois, si le projet de recherche n’est pas conforme à une Méthodologie de Référence, alors le projet devra faire l’objet d’une autorisation préalable par la CNIL avant d’être mis en œuvre.

Deux cas de figure sont à distinguer :

  • les Recherches Impliquant la Personne Humaine (RIPH), les Essais Cliniques de médicament, les Investigations Cliniques de dispositifs médicaux, les Études des Performances de DMDIV :
    • elles doivent faire l’objet d’un avis favorable du Comité d’Éthique,
    • si elles sont conformes à une MR (déclaration de conformité), elles peuvent être mises en œuvre, et si elles ne sont pas conformes, la CNIL se prononcera sur la demande d’autorisation du traitement de données et sur la base de l’avis du Comité d’Éthique,
  • les Recherches N’Impliquant pas la Personne Humaine (RNIPH) :
    • si elles sont conformes à une MR : elles ne nécessitent aucune demande supplémentaire, mis à part la déclaration de conformité sur le site internet de la CNIL (si celle-ci n’a pas déjà été effectuée auparavant),
    • si elles ne sont pas conformes à une MR : il est nécessaire de saisir pour avis le Comité Éthique et Scientifique pour les Recherches, les Études et les Évaluations dans le domaine de la Santé (CESREES), puis de déposer une demande d’autorisation auprès de la CNIL.

Le cadre juridique français de la protection des données dans le cadre de recherches en santé s’inscrit dans une logique européenne. Au niveau européen, le Règlement général sur la protection des données (RGPD) constitue un socle commun et obligatoire à l’ensemble des États membres de l’Union européenne.

Toutefois, le RGPD laisse aux États membres une marge de manœuvre pour le traitement des données sensibles. Les États membres peuvent mettre en place des mécanismes nationaux spécifiques (c’est le cas de la France avec les Méthodologies de Référence notamment).
Les formalités à accomplir, les bases légales mobilisables ou les exigences documentaires peuvent ainsi varier d’un État à l’autre. Ainsi, dans le cadre de recherches multicentriques, il est nécessaire d’identifier les particularités réglementaires de chaque pays concerné.

Au-delà de l’Union européenne, la diversité des régimes juridiques est encore plus marquée. Certains pays disposent de réglementations spécifiques sur les données de santé, d’autres s’appuient sur des régimes généraux de protection des données. Dans ce contexte, les recherches internationales doivent intégrer dès leur phase de conception ces exigences européennes et locales.

 

Évolution des Méthodologies de Référence

En concertation avec les acteurs du secteur, la CNIL a initié en 2024 une révision de ses Méthodologies de Référence. L’objectif est de les adapter aux évolutions technologiques (intelligence artificielle, big data), aux nouveaux usages (décentralisation des recherches, accroissement de la réutilisation de données) et aux exigences des différentes réglementations applicables.

Lors d’une consultation publique conduite du 16 mai 2024 au 12 juillet 2024[2], la CNIL a identifié les axes de travail suivants[3] :

  • la possibilité d’apparier les données (avec celles du Système national des données de santé (SNDS) ou à d’autres bases ;
  • l’aménagement des modalités d’information des personnes concernées ;
  • l’extension des destinataires des données administratives d’identification et des données de santé ;
  • l’ajout de nouvelles catégories de données (enregistrements vocaux ou vidéo, commune ou code postal, etc.) ;
  • la mise en place d’éléments de décentralisation et de dématérialisation (suivi des patients à domicile, contrôle qualité à distance, consentement électronique, téléconsultation, etc.).

Les premières MR révisées pourraient être publiées courant 2026.
Il est important de suivre de près les publications de la CNIL et de se faire accompagner pour anticiper les impacts de ces évolutions sur les projets en cours ou à venir.

 

Évolutions du cadre européen, nouvelles perspectives ?

Le cadre européen de la protection des données personnelles, bien que structuré autour du RGPD, continue d’évoluer sous l’impulsion des institutions européennes et des autorités nationales.

Parmi les développements récents, la publication en janvier 2025 d’une proposition de mise à jour des lignes directrices du CEPD (Comité européen de protection des données) sur la pseudonymisation marque une étape importante[4]. Ces lignes directrices, encore en projet, visent à clarifier les conditions techniques et juridiques permettant de considérer une donnée comme pseudonymisée. Pour rappel :

  • les données pseudonymisées demeurent personnelles, car les personnes peuvent être réidentifiées à l’aide d’informations supplémentaires (ex. : table de correspondance). Elles sont donc soumises au RGPD.
  • les données anonymisées, en revanche, ne permettent plus d’identifier une personne, même indirectement. Elles échappent au champ d’application du RGPD.

La Cour de justice de l’Union européenne (CJUE) a rendu, en septembre 2025, une décision sur la notion de données à caractère personnel dans le contexte d’un transfert de données pseudonymisées à des tiers[5].

La position de la CJUE diffère de celle du CEPD énoncée dans les lignes directrices et plus généralement du RGPD tel qu’on le connaît actuellement.

La CJUE a énoncé qu’une donnée pseudonymisée pouvait perdre son caractère personnel en fonction de la personne qui la détient. Si le destinataire des données ne dispose d’aucun moyen raisonnable pour réidentifier les personnes concernées, alors les données, peuvent être considérées comme étant non personnelles. Elle estime ainsi que le caractère personnel des données pseudonymisées doit être apprécié au moment de la collecte des données et du point de vue du responsable de traitement.

Cette divergence d’interprétation souligne la complexité du cadre réglementaire et les enjeux liés aux données personnelles.

Le 19 novembre 2025, la Commission européenne a présenté une proposition de Règlement, dite Digital Omnibus, visant à simplifier la règlementation européenne relative au numérique. Ce texte prévoit notamment des modifications du RGPD ainsi que d’autres réglementations-clés (Digital Services Act, Digital Markets Act, Data Act, Data Governance Act).

Le projet, encore en discussion, suscite de nombreux débats au sein de l’Union européenne. Son adoption pourrait entraîner des ajustements significatifs pour les acteurs de la recherche en santé.

Dans ce contexte en pleine mutation, il est crucial de suivre de près les actualités réglementaires et jurisprudentielles.

 

Ce qu’il faut retenir

La protection des données dans la recherche en santé est un sujet complexe et ne s’improvise pas. Elle nécessite une maîtrise des outils juridiques réglementaires et une coordination étroite entre les équipes scientifiques, juridiques et techniques et une veille réglementaire, juridique et jurisprudentielle continue.

Pour sécuriser les projets, il est essentiel de :

  • prendre en compte les exigences relatives à la protection des données dès la phase de conception de la recherche,
  • accomplir les formalités auprès de la CNIL et s’appuyer sur les Méthodologies de Référence quand cela est possible,
  • prendre en compte le cadre juridique local si la recherche implique des patients et professionnels de plusieurs pays,
  • former les équipes aux enjeux de la protection des données,
  • documenter les choix et les mesures mises en œuvre.

Pour vous accompagner dans la protection des données, Sunnikan propose :

  • des formations sur-mesure pour les promoteurs, investigateurs, DPO et chefs de projet ;
  • un accompagnement opérationnel dans la constitution des dossiers CNIL et l’analyse d’impact, et plus largement dans votre mise en conformité
  • une veille réglementaire spécialisée, diffusée mensuellement, pour rester informé des évolutions du cadre juridique dans le domaine des recherches en santé.

N’hésitez pas à nous contacter, nous serions ravis d’échanger avec vous et de vous accompagner selon vos besoins !

https://www.sunnikan.net/fr/contact/

Almaz Lecoq, Consultant Juriste, 3 mars 2026

_____