MR 004 : les 10 questions les plus fréquentes des acteurs de la santé

Dans un contexte où la donnée de santé est à la fois un outil scientifique essentiel et un enjeu de protection des droits fondamentaux, les établissements de santé, laboratoires et chercheurs s’interrogent régulièrement sur les règles à respecter pour réutiliser des données sans contact direct avec les patients.

La méthodologie de référence mr 004, établie par la CNIL, encadre précisément ce type de traitements. Elle fait partie des nouvelles méthodologies de référence destinées à encadrer les recherches en santé, qu’il s’agisse de santé avec recueil ou santé sans recueil de données directement auprès des personnes concernées, tout en garantissant un haut niveau de protection.

Cette méthodologie permet sous conditions, de mener des recherches, études ou évaluations dans le domaine de la santé sans autorisation préalable, à condition de :

• Reposer sur des données déjà collectées (ex. : dossiers de soins, PMSI, entrepôts) ;
• N’impliquer aucune intervention sur la personne humaine ;
• Poursuivre une finalité d’intérêt public ;
• Et respecter le principe de minimisation des données.

En clair : la MR-004 facilite la mise en œuvre de recherches en santé tout en assurant un haut niveau de protection des données personnelles.

Dans cet article, nous répondons aux questions les plus fréquentes posées par nos clients sur l’application concrète de ce cadre réglementaire.

Au sommaire :

• Mon projet de recherche est-il concerné par la MR-004 ?
• Une autorisation CNIL est-elle nécessaire ?
• Quelles données de santé sont autorisées par la MR-004 ?
• Comment informer les personnes concernées ?
• Quelles obligations dois-je respecter en tant que responsable de traitement ?
• Puis-je transférer des données hors de l’UE ?
• Combien de temps puis-je conserver les données ?
• Qui peut accéder aux données des études ?
• Dois-je désigner un DPO (délégué à la protection des données) dans le cadre de la MR-004 ?
• Comment Dipeeo peut m’aider dans tout ça ?

1. Mon projet de recherche est-il concerné par la MR 004 ?

Oui, si votre projet :

• Utilise des données de santé déjà collectées (ex. : dossier médical, PMSI, entrepôts) ;
• Ne nécessite aucune intervention sur la personne humaine (pas de test, d’entretien, ni d’acte médical) ;
• A pour but une recherche, étude ou évaluation d’intérêt public dans le domaine de la santé ;
• N’entre pas dans la catégorie juridique des « recherches impliquant la personne humaine » (RIPH 1 ou 2 selon le Code de la santé publique).

Quelques exemples concrets : une étude rétrospective sur l’efficacité d’un parcours de soins, une évaluation statistique à partir d’un entrepôt de données hospitalières, l’exploitation du programme de médicalisation des systèmes d’information (PMSI), ou encore une analyse menée par des industriels de santé dans le cadre des recherches visant à évaluer l’impact d’un panneau de gestion sur les pratiques de soins, l’organisation hospitalière ou les résultats cliniques. Ces projets illustrent en particulier les études menées en santé sans recueil direct de données auprès des patients.

2. Une autorisation CNIL est-elle nécessaire ?

Non, si votre projet est strictement conforme à la méthodologie de référence MR-004, vous n’avez pas besoin d’obtenir une autorisation préalable de la CNIL. À la place, vous devez effectuer une déclaration de conformité via les portails suivants :

• Pour les traitements réalisés en France : 🔗 https://registre.cnil.fr
• Pour les projets utilisant des données du SNDS ou de ses systèmes fils : 🔗 https://espaceprojets.health-data-hub.fr

La déclaration en ligne constitue un engagement de conformité formel du responsable de traitement vis-à-vis de la CNIL. Il atteste que le projet respecte l’ensemble des exigences de la MR-004, en particulier en matière de sécurité, de minimisation des données et d’information des personnes concernées.

Si votre projet ne respecte pas tous les critères de la MR 004 (ex. : données interdites, impossibilité d’informer les personnes concernées, objectifs hors périmètre), vous devez alors déposer une demande d’autorisation classique auprès de la CNIL.

🗃️ En complément, chaque projet déclaré conforme à la MR-004 doit être enregistré dans un répertoire public tenu par la Plateforme des Données de Santé (PDS) / Health Data Hub, accessible ici :

🔗 https://www.health-data-hub.fr

3. Quelles données de santé sont autorisées par la MR 004 ?

La MR 004 autorise uniquement des données strictement nécessaires à la finalité de la recherche, dans le respect du principe de minimisation prévu par le RGPD. Les données doivent être pseudonymisées, c’est-à-dire qu’elles ne doivent pas permettre l’identification directe des personnes concernées.

La liste des données autorisées est limitative et définie précisément dans le texte officiel de la méthodologie. Elle se divise en deux grandes catégories : les données des patients et celles des professionnels de santé intervenant dans la recherche.

Données des patients autorisées à des fins de recherche :

1. Données d’identification indirecte : Sexe, année ou mois/année de naissance, tranche d’âge, Situation familiale (ex. : nombre d’enfants à charge).

2. Données administratives : Code patient pseudonyme (avec table de correspondance sécurisée), date d’entrée/sortie dans un établissement de soins, code postal (sous conditions), type de couverture sociale

3. Données relatives à la santé : Pathologies, antécédents médicaux, diagnostics (ex. : codes CIM-10), actes médicaux (ex. : CCAM), médications et traitements, résultats d’examens (biologiques, imagerie), interventions chirurgicales, données de suivi médical ou de consultation, données de prise en charge (hospitalisation, urgences, etc.)

4. Données comportementales et sociales en lien avec la santé : Habitudes de vie (tabac, alcool, activité physique…), niveau d’étude, situation professionnelle, CSP

5. Données issues de systèmes de santé : Données du PMSI, SNDS, SNIIRAM, entrepôts hospitaliers, sous réserve des règles spécifiques applicables.

Données explicitement interdites (non autorisées dans la MR 004) :

• NIR (numéro de Sécurité sociale)
• Données de géolocalisation précises
• Données biométriques
• Données génétiques non codées
• Opinions religieuses, politiques, philosophiques
  Données relatives à des infractions ou condamnations pénales

Données des professionnels de santé autorisées :

Nom, prénom, coordonnées professionnelles, numéro RPPS / ADELI, spécialité, rôle dans l’étude, centre de rattachement, données nécessaires à la gestion des conventions ou remboursements.

Un même sous-traitant ne peut jamais traiter à la fois les données directement identifiantes des personnes concernées et les données de santé.

4. Comment informer les personnes concernées ?

Information des personnes dont les données sont utilisées (patients)

L’information des personnes concernées est une obligation incontournable dans le cadre de la méthodologie de référence MR 004. Elle garantit la transparence du traitement et permet aux individus d’exercer leurs droits, conformément aux articles 13 et 14 du RGPD.

Cette information doit être fournie avant ou au moment du traitement, et peut prendre deux formes, selon le contexte de collecte des données :

Information individuelle : recommandée lorsque cela est possible, elle peut se faire :

• Par courrier ou email
• Par une fiche projet remise au patient,
• Via une mention dédiée sur un site internet.

Information générale

Applicable notamment lorsque les données ont été initialement recueillies dans le cadre de la prise en charge médicale. Elle peut être assurée par :

• L’affichage dans les locaux de l’établissement de santé,
• Une note dans le livret d’accueil ou le dossier médical,
• Un document institutionnel sur les recherches menées par l’établissement.

L’information délivrée doit contenir les éléments suivants : La finalité du traitement de données (ex. : étude rétrospective, évaluation médicale), l’identité du responsable de traitement et les coordonnées du DPO, la base légale du traitement (intérêt public), les catégories de données traitées et les destinataires des données, les durées de conservation, les droits des personnes (accès, rectification, opposition, limitation, etc.), le cas échéant, les transferts de données hors de l’UE.

Bon à savoir : l’impossibilité d’informer exclut la MR-004. Si vous ne pouvez pas informer les personnes concernées, même de façon générale, vous ne pouvez pas utiliser la méthodologie MR-004.

Information des professionnels de santé impliqués

Les professionnels de santé participant à la recherche doivent également être informés du traitement de leurs données (nom, rôle, centre d’étude, etc.). Cette information figure généralement :

• Dans les conventions de participation,
• Ou dans les documents contractuels remis par le promoteur ou le centre de recherche.

5. Quelles obligations dois-je respecter en tant que responsable de traitement ?

Le responsable de traitement, qu’il s’agisse d’un établissement de santé, d’un organisme de recherche ou d’un promoteur, doit mettre en œuvre un ensemble d’actions concrètes pour garantir la conformité du projet à la MR 004 et au RGPD. Ces obligations visent à assurer la traçabilité, la sécurité et la transparence du traitement des données personnelles.

En tant que responsable de traitement, vous devez :

• Tenir un registre des traitements à jour, intégrant les recherches menées sous le régime de la MR-004 ;
• Réaliser une analyse d’impact relative à la protection des données (AIPD) si le traitement présente un risque élevé pour les droits et libertés des personnes concernées ;
• Mettre en place des mesures de sécurité techniques et organisationnelles, en s’appuyant notamment sur les recommandations de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) ;
• Documenter la pseudonymisation des données et garantir que les tables de correspondance sont conservées de manière sécurisée et séparée ;
• Enregistrer le projet dans le répertoire public de la Health Data Hub, accessible à l’adresse : https://www.health-data-hub.fr conformément à la procédure d’homologation des traitements de recherche en santé sans recueil.

6. Puis-je transférer des données hors de l’UE ?

Le transfert de données à caractère personnel vers un pays situé en dehors de l’Union européenne est possible, mais uniquement :

• Si le transfert est strictement nécessaire à la réalisation ou à l’exploitation de la recherche ;
• Si vous mettez en place des garanties juridiques conformes au RGPD (ex. : clauses contractuelles types, règles d’entreprise contraignantes – BCR, décisions d’adéquation) ;
• Et si ce transfert est clairement mentionné dans la note d’information remise aux personnes concernées, ainsi que dans la déclaration de conformité à la CNIL.

7. Combien de temps puis-je conserver les données ?

La méthodologie MR 004 fixe des durées de conservation précises pour les données traitées dans le cadre d’une recherche, afin de garantir un équilibre entre les besoins scientifiques et la protection des personnes concernées. Ces durées doivent être strictement respectées et justifiées dans la documentation du projet.

• Données des patients : jusqu’à 2 ans après la publication des résultats, ou, en l’absence de publication, jusqu’à la signature du rapport final de la recherche.
• Données des professionnels de santé : jusqu’à 15 ans après la fin de leur participation à la dernière recherche à laquelle ils ont contribué.

Une fois ces délais atteints, les données peuvent faire l’objet d’un archivage sécurisé, sur support papier ou informatique, dans le respect des règles légales applicables (ex. : Code de la santé publique, RGPD).

8. Qui peut accéder aux données des études ?

L’accès aux données traitées dans le cadre d’un projet MR 004 est strictement encadré. Seules les personnes dûment habilitées et ayant un rôle défini dans la recherche peuvent consulter ces données, dans le respect des règles de confidentialité et de sécurité fixées par la méthodologie.

Les données peuvent être consultées uniquement par :

• Les professionnels de santé participant à la recherche (ex. : médecins investigateurs, coordinateurs) ;
• Les collaborateurs désignés du responsable de traitement (ex. : personnel habilité du promoteur ou de l’établissement de santé) ;
• Certains sous-traitants, pour des missions spécifiques clairement définies (ex. : envoi de questionnaires, gestion logistique, remboursement de frais).

Important : un même sous-traitant ne peut jamais traiter à la fois des données directement identifiantes et des données de santé. Cette combinaison est expressément interdite par la MR-004 et expose le projet à une sortie de son périmètre réglementaire, notamment vis-à-vis du Titre VII du Code de la santé publique relatif aux traitements de données à caractère personnel à des fins de recherche.

9. Dois-je désigner un DPO (délégué à la protection des données) dans le cadre de la MR-004 ?

Oui, dans la grande majorité des cas, la désignation d’un DPO est obligatoire.

Selon l’article 37 du RGPD, la désignation d’un délégué à la protection des données (DPO) est obligatoire pour tout organisme public ou privé qui :

• Réalise un traitement de données à grande échelle de données sensibles (comme les données de santé),
• Ou dont l’activité principale consiste à suivre régulièrement et systématiquement des personnes à grande échelle.

Or, dans le cadre de la MR 004, les traitements portent exclusivement sur des données de santé, et concernent souvent un volume important de données pseudonymisées, parfois issues d’entrepôts, de bases hospitalières ou du SNDS. Cela répond pleinement aux critères de désignation obligatoire d’un DPO.

10. Comment Dipeeo peut m’aider dans tout ça ?

Chez Dipeeo, nous accompagnons les établissements et porteurs de projets dans l’ensemble du processus :

• Évaluation de l’éligibilité à la MR 004 ;
• Rédaction des documents d’information (patients et pros) ;
• Réalisation ou vérification de l’AIPD ;
• Déclaration auprès de la CNIL : DPO externe pour vous
• Structuration juridique et sécurité des traitements
• Formation de vos équipes à la conformité santé/RGPD.

Pour allez plus loin, nous avons réalisé un Guide Santé spécifiquement dédié aux acteurs de la santé.