à destination des professionnels de santé qui recueillent des ......de notre système de santé)...
TRANSCRIPT
GUIDE DE BONNES PRATIQUES
à destination
des professionnels de santé qui recueillent des données de santé
dans une base de données
La préparation et la publication du présent guide ont pu être réalisées
grâce à la généreuse contribution du cabinet d’avocats Simmons & Simmons.
INTRODUCTION
1 ] LA CRÉATION DE BASES DE DONNÉES DE SANTÉ À CARACTÈRE PERSONNEL
1- 1 ] LES NOTIONS CLÉS
1- 2 ] LE RÉGIME ISSU DE LA LOI INFORMATIQUE ET LIBERTÉS « LIL » ET DU CODE DE LA SANTÉ PUBLIQUE « CSP »
1- 2 ] A] Les principes gouvernant la collecte des données1- 2 ] B] Les obligations du responsable de traitement des données1- 2 ] C] Les droits du patient
1- 3 ] LES CAS PARTICULIERS1- 3 ] A] Les réseaux de santé ou filières de santé1- 3 ] B] Les traitements de données aux fins de recherches
médicales
2 ] L’EXPLOITATION DES BASES DE DONNÉES DE SANTÉ
2- 1 ] LE RESPECT DU SECRET MÉDICAL
2- 2 ] L’INTERDICTION DE TOUTE EXPLOITATION À DES FINS COMMERCIALES
3 ] LES DROITS DES TIERS SUR LES BASES DE DONNÉES DE SANTÉ
3- 1 ] RÉFLEXION ÉTHIQUE
3- 2 ] LES DROITS SUI GENERIS DU PRODUCTEUR DE LA BASE DE DONNÉES
3- 2 ] A] La définition et droits du producteur de la base de données 3- 2 ] B] Le droit de propriété des données de santé par l’hébergeur
CONCLUSION
3
5
5
6
6
8
12
12
12
13
14
14
15
16
16
17
17
18
19
SOMMAIRE
[ 2
La préparation et la publication du présent guide ont pu être réalisées
grâce à la généreuse contribution du cabinet d’avocats Simmons & Simmons.
INTRODUCTION
Le présent guide a pour objet de présenter les grands principes qui doivent être suivis dans le cadre de la création et de l’exploitation de bases de données contenant des données de santé.
En effet, quel que soit votre mode d’exercice (activité libérale, activité salariée au sein d’un établissement de santé ou au sein d’un laboratoire de recherche, etc.), vous pouvez être amenés à collecter des données de santé et à créer et exploiter des bases de données.
[ 3
Dans le cas particulier des maladies dites rares, la création de telles bases de données est fondamentale pour le diagnostic et la recherche car elle permet notamment de documenter l’histoire naturelle de la maladie, de mieux caractériser par exemple les mutations génétiques à l’origine de ces maladies, de mettre en évidence d’éventuelles corrélations génotype/phénotype, voire de mieux évaluer la qualité de la prise en charge.
Compte tenu du faible nombre de patients atteints par chacune de ces maladies, il est primordial que les connaissances soient partagées via les réseaux d’experts nationaux (Filières de Santé Maladies Rares, Centres de Référence Maladies Rares, Centres de Compétences Maladies Rares, etc.) et également internationaux (Réseaux Européens de Référence, consortia de recherche, plateforme RD-Connect, etc.).
La question de la protection et de la propriété des données de santé et des bases de données qui les contiennent sont des questions majeures et récurrentes pour les professionnels de santé. Ces questions doivent se poser tant au moment de la création des bases de données qu’au moment de leur exploitation.
Ce guide a pour objet d’illustrer les principes juridiques qui prévalent en matière de bases de données de santé avec des exemples issus de situations concrètes que vous rencontrez dans votre quotidien professionnel.
Eu égard aux nombreuses situations qui peuvent exister, ce guide n’a pas vocation à être exhaustif mais à présenter sommairement les grands principes juridiques qui s’appliquent et qu’il convient de garder en mémoire lorsque vous participez à la création ou envisagez l’exploitation d’une base de données de santé.
En outre, s’agissant d’une matière en évolution constante, la régle-mentation applicable évolue également que ce soit au niveau national (notamment avec la loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé) ou au niveau communautaire (avec l’adoption du Règlement européen 2016/679 du 27 avril 2016 sur la protection des données personnelles qui entrera en vigueur le 25 mai 2018).
Pour tenir compte de cette évolution du cadre juridique, des révisions du présent document seront réalisées.
[ 4
[ 5
1 ] LA CRÉATION DE BASES DE DONNÉES DE SANTÉ 1 ] À CARACTÈRE PERSONNEL
1- 1 ] LES NOTIONS CLÉS
➤ La donnée de santé
À ce jour, il n’existe pas de définition légale de la « donnée de santé ». Le Réglement européen1 (qui entrera en vigueur le 25 mai 2018) définit les « données concernant la santé » comme « toutes données à caractère personnel relatives à la santé physique ou mentale d’une personne ou à la prestation de services de santé à cette personne ».
➤ Le responsable de traitement de données de santé
Sauf désignation contraire par la loi, il s’agit de la personne qui détermine les finalités et moyens du traitement des données de santé. Il peut s’agir d’une personne morale ou d’une personne physique. Ainsi, un traitement de données de santé mis en œuvre sur instructions de votre autorité de rattachement (direction de l’information médicale du CHU par exemple) relèvera de la responsabilité de cette dernière qui devra s’assurer du respect des obligations de la Loi Informatique et Libertés (Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés2).
En revanche, un praticien sera responsable du traitement de données de santé qu’il met en œuvre à titre individuel, de sa propre initiative et sans l’aval de sa hiérarchie, même s’il utilise les moyens de l’établissement de santé pour ce traitement.
Les laboratoires de recherche seront généralement considérés comme les responsables de traitement des recherches biomédicales qu’ils initient.
➤ Les données à caractère personnel
Il s’agit de toute information relative à une personne identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.
➤ Ainsi, la date de naissance et le lieu d’habitation d’une personne souffrant d’une maladie rare peuvent être des données suffisantes pour identifier précisément cette personne.
1 - http://www.europarl.europa.eu2 - http://www.cnil.fr
6 ]
1- 2 ] LE RÉGIME ISSU DE LA LOI INFORMATIQUE ET LIBERTÉS « LIL » ET DU CODE 1- 2 ] DE LA SANTÉ PUBLIQUE « CSP »
Les traitements de données de santé sont régis par la LIL, ainsi que par les dispositions du CSP, et d’une façon générale par la réglementation en vigueur (en France et en Europe) qui encadre la collecte, l’utilisation et la conservation des données de santé, et qui vise à protéger les malades de toutes atteintes à leur vie privée.
A ] Les principes gouvernant la collecte des données
➤ Le principe de finalité de la collecte
Avant de procéder à la collecte des données personnelles de santé, vous devez vous interroger sur l’utilisation qui en sera faite.La collecte des données doit en effet être justifiée par un but légitime et déterminé, qu’il convient de préciser avant toute initiation de la collecte.
La collecte de données aura lieu pour alimenter divers types de traite-ments, tels que :
➤ Bases de données : usuellement abrégées « BDD », les bases de données regroupent les informations cliniques ou biologiques recueillies chez des patients atteints d’une maladie rare. L’objectif principal d’une BDD est un objectif épidémiologique de santé publique afin de déterminer la fréquence des maladies, la répartition géographique des malades et les facteurs qui influent sur cette fréquence et répartition.
➤ Registres : il s’agit d’un recueil continu et exhaustif de données nominatives intéressant un ou plusieurs événements de santé dans une population géographiquement définie, à des fins de recherche et de santé publique, par une équipe ayant les compétences appropriées. L’objectif principal d’un registre est la surveillance de l’état de santé des malades dans le cadre d’une veille sanitaire.
[ 7
➤ Etudes de cohorte : ce sont des études menées sur des ensembles de patients partageant un certain nombre de caractéristiques communes et suivis sur plusieurs années pour évaluer l’évolution de leur état de santé. L’objectif principal d’une étude de cohorte est la recherche scientifique.
➤ Les finalités propres à chaque type de collecte de données ne peuvent être modifiées par la suite que si de nouvelles démarches sont effectuées auprès des personnes concernées et de la CNIL ou autre autorité de contrôle.
➤ Le principe de pertinence des données
Vous ne devez recueillir auprès de vos patients que les données strictement pertinentes et nécessaires, compte tenu de la finalité du traitement.
➤ Exemple : l’origine ethnique du patient ne devra pas être collectée si cela n’est pas prévu dans le protocole encadrant la recherche envisagée.
➤ La durée de conservation limitée
Les données ne peuvent être conservées sur une base active que pour une durée limitée qui sera fonction de l’objectif poursuivi par le traitement des données ou des dispositions légales applicables.
➤ Exemple : la durée de conservation des données jusqu’à la date de 1ère autorisation de mise sur le marché d’un médicament ou de publication des résultats pour les données collectées dans le cadre d’une recherche clinique.
Une fois l’objectif poursuivi atteint, les données doivent être détruites ou anonymisées. Cependant, si les données doivent être conservées sous forme « identifiante » pour des raisons distinctes de l’objectif poursuivi par le traitement (notamment pour la période de prescription de toutes actions qui pourraient être basées sur ces données), le responsable du traitement peut alors procéder à un archivage des données sur un système séparé avec droits d’accès limités, selon le type d’archivage concerné – voir recommandation de la Commission Nationale de l’Informatique et des Libertés, CNIL 05-213.➭ http://www.cnil.fr/documentation/deliberations/deliberation/delib/76/
8 ]
B] Les obligations du responsable de traitement des données
➤ L’obligation d’exactitude des données de santé
Les données doivent être pertinentes, complètes, exactes et mises à jour de manière régulière afin de permettre une évolution des bases de données en même temps que la recherche.
➤ L’obligation d’information du patient
Le patient doit être informé du traitement envisagé de ses données de santé. Cette information doit porter non seulement sur l’objectif poursuivi par le traitement, mais également sur l’identité de la personne responsable du traitement, sur les catégories de personnes ayant accès aux données, sur la durée de conservation des données ainsi que sur les moyens dont dispose le patient pour exercer son droit d’accès, de rectification et d’opposition à ce traitement.
Ces informations pourront être affichées dans l’établissement de santé ou le cabinet médical concerné, ou être portées à la connaissance du patient par le biais du livret d’accueil ou sur tout formulaire de collecte qu’il pourra être amené à remplir.
➤ Exemple d’information : « Ce service hospitalier dispose d’un système informatique destiné à faciliter la gestion des dossiers des patients et à réaliser, le cas échéant, des travaux statistiques à usage du service. Les informations recueillies lors de votre consultation ou hospitalisation feront l’objet, sauf opposition justifiée de votre part, d’un enregistrement informatique. Ces informations sont réservées à l’équipe médicale qui vous suit ainsi que, pour les données administratives, au service de facturation. Conformément aux dispositions de la Loi Informatique et Libertés, vous pouvez obtenir communication des données vous concernant en vous adressant au responsable de cet établissement ou (indiquer le service concerné ou la personne désignée à cet effet). Tout médecin désigné par vous peut également prendre connaissance de l’ensemble de votre dossier médical. » (Extrait du Guide Professionnels de santé publié par la CNIL).
➤ L’obligation d’information pourra être exclue lorsque l’infor-mation de la personne se révèle impossible ou nécessite des efforts disproportionnés. Cela pourra être le cas pour des recherches rétrospectives, lorsque le patient n’est plus joignable.
[ 9
Dans le cas particulier des recherches biomédicales, ces informations devront également apparaître sur le formulaire de consentement qui est exigé en vertu de l’article L1122-1-1 du CSP.
➤ L’obligation de sécurité
Il revient au responsable du traitement des données de santé d’assurer la confidentialité de ces données et d’éviter des accès non autorisés ou la perte de données. A cet égard, des mesures de sécurité très strictes, physiques ou logiques, doivent être mises en œuvre.
En outre, dès lors que le responsable de traitement n’héberge pas lui-même ces données (et n’est donc pas en mesure de garantir que les mesures de sécurité du tiers hébergeur sont suffisantes), il ne pourra faire héberger ces bases de données qu’auprès d’un « hébergeur agréé » selon les dispositions de l’article L.1111-8 du CSP, que cet hébergeur soit un prestataire informatique ou un autre établissement de santé voire un
10 ]
cabinet médical.L’agrément est délivré par le Ministère de la Santé après examen très détaillé du dossier présenté par le candidat à l’hébergement, afin de s’assurer que ce dernier a mis en place les mesures contrac-tuelles de sécurité nécessaires pour garantir la confidentialité et la pérennité des données hébergées, et a nommé un « médecin de l’hébergeur » permettant d’assurer le respect du secret médical et de répondre aux demandes d’accès des patients à leurs données.
L’agrément est délivré pour une durée de trois ans, renouvelable sur présentation d’une demande de renouvellement par l’hébergeur. La liste des hébergeurs agréés et des services pour lesquels l’agrément a été octroyé figure sur le site :➭ http://esante.gouv.fr/services/referentiels/securite/hebergeurs-agrees
➤ Si un Centre de Référence Maladies Rares (CRMR) rattaché à un hôpital fait héberger sa base de données au sein d’un autre hôpital ou auprès d’un prestataire, il conviendra que ledit hôpital ou prestataire hébergeur de données ait obtenu au préalable un agrément pour cet hébergement. L’établissement auquel le CRMR est rattaché devra alors signer un contrat d’hébergement avec cet hébergeur agréé qui déterminera les prestations de ce dernier et le partage de responsabilité. L’agrément obtenu par l’hébergeur laisse présumer que ce dernier offre les mesures de sécurité suffisantes pour héberger des données de santé.
Ce système d’agrément sera prochainement remplacé par un système de certification de l’hébergeur, qui sera délivrée par un organisme certificateur accrédité par l’instance nationale ou européenne compétente selon les conditions devant être précisées par décret3.
➤ L’obligation d’anonymisation des données
En aucun cas les données de santé qui nourrissent les bases de données partagées avec d’autres établissements ou réseaux, ne doivent permettre l’identification du patient. Ainsi, un processus de codification ou « dé-identification » des données doit assurer le partage de ces données de manière anonyme. Selon les cas, la « dé-identification » ne sera que « temporaire » (le médecin à l’origine de la donnée pourra retracer l’identification du patient) ou définitive (les données sont alors dites « agrégées » et sont communiquées sous forme de statistiques).
3 - Ordonnance n°2017-27 du 12 janvier 2017 modifiant l’article L.1111-8 du CSP
[ 11
➤ L’obligation de déclaration ou demande d’autorisation à la CNIL, ➤ ou nomination d’un Correspondant Informatique et Libertés (CIL)
Le système de déclaration ou demande d’autorisation auprès de la CNIL pour les recherches en santé a récemment été remanié en profondeur. A ce jour, les démarches suivantes doivent être accomplies (mais des recommandations pratiques sont attendues dans les prochains mois afin de préciser leur cadre) :
➤ Les études effectuées à partir de données recueillies dans le cadre du suivi médical ou individuel du patient et qui sont réalisées par les personnels assurant ce suivi pour leur usage exclusif doivent faire l’objet d’une déclaration normale auprès de la CNIL (délais de quelques jours/semaines pour l’obtention du récépissé). Cette déclaration n’a pas lieu d’être si le responsable du traitement des données dispose d’un CIL.
➭ https://www.declaration.cnil.fr/declarations/declaration/accueil.action
➤ Les autres types d’études impliquant, ou non, la personne humaine, qu’elles soient interventionnelles ou non-interven-tionnelles, doivent faire l’objet d’une demande d’autorisation auprès de la CNIL (2 mois de délai pouvant être renouvelé une fois), qui se prononcera après l’avis émis par le Comité de Protection des Personnes (« CCP »), pour une recherche impliquant la personne humaine, et par le Comité d’Expertise pour les Recherches, les Études et les Évaluations dans le domaine de la Santé (« CEREES ») pour les recherches n’impliquant pas la personne humaine (ce Comité n’ayant pas encore été créé à ce jour, pour les recherches portant sur les données, et non sur la personne humaine, la CNIL applique toujours le système existant précédemment selon le Chapitre X de la Loi Informatique et Libertés et statue directement sur les demandes d’autorisation qui lui sont adressées).
12 ]
➭ https://www.declaration.cnil.fr/declarations/declaration/accueil.action
➤ Les études interventionnelles ou non-interventionnelles peuvent bénéficier de la procédure simplifiée de la Méthodologie de Référence MR001 (essais cliniques) ou MR003 (études non interventionnelles, essais cliniques par grappe, évaluation de soin courant), à l’exclusion des recherches portant sur les données génétiques qui ont pour objet ou pour effet d’identifier ou ré-identifier les personnes.
C ] Les droits du patient
➤ Le droit d’accès et de rectification
Ce droit s’exerce généralement par le biais d’une demande écrite adressée par le patient au responsable du traitement des données ou à la personne indiquée sur la notice d’information transmise au préalable au patient. L’exercice de ce droit d’accès et de rectification ne doit pas permettre au patient d’avoir accès à des données concernant d’autres personnes (autres patients inclus dans la recherche, par exemple). Il ne doit pas non plus avoir accès à des informations le concernant mais qui ne seraient pas encore consolidées (ex : diagnostic prévisionnel, à défaut de diagnostic confirmé).
➤ Le droit d’opposition
Pour motif légitime uniquement, le patient a la possibilité de s’opposer au traitement et au partage des données de santé le concernant.
➤ Exemple de motif légitime : volonté du patient de garder les informations sur sa maladie confidentielles par rapport à un membre de sa famille qui ferait partie de l’équipe hospitalière.
1- 3 ] LES CAS PARTICULIERS
A ] Les réseaux ou filières de santé
La mise en place de tels réseaux s’accompagne généralement d’un partage de données au sujet d’une même pathologie voire d’un groupe de pathologies, ou d’une population déterminée, afin de permettre une meilleure coordination sur le territoire national des différents acteurs du système de santé et une meilleure prise en charge des patients.
[ 13
Dans ce cas précis, préalablement à la mise en œuvre du réseau, un consentement éclairé du patient doit être obtenu par le médecin au moment où le patient accepte de participer à cette base de données.
➤ En cas de patient mineur, il conviendra d’obtenir le consen-tement des deux parents, puis celui du patient lorsqu’il aura atteint sa majorité.
➤ En cas de patient sous tutelle, il conviendra d’obtenir le consentement du représentant légal du patient.
Une autorisation préalable de la CNIL doit être obtenue par le responsable de la base de données. Si plusieurs centres contribuent à la même base de données, il est possible d’organiser un partage de responsabilité par contrat, mais cela ne modifie pas les obligations, déterminées par la loi, du responsable de traitement.
Dans ce cadre, il est rappelé que le Plan National Maladies Rares « 2011-2016 » a permis la création de la Banque Nationale de Données Maladies Rares (« BNDMR ») destinée à regrouper les données administratives, cliniques puis biologiques et thérapeutiques à des fins de santé publique, telles que la mise en œuvre de recherches épidé-miologiques, une meilleure organisation du réseau de soins ou encore une caractérisation plus fournie de la maladie. C’est l’Assistance Publique – Hôpitaux de Paris (« AP-HP ») qui a la maîtrise d’œuvre de cette base de données et en est le « responsable de traitement ». En outre, cette base de données est ouverte à tous les centres susceptibles d’y saisir des données afin de l’enrichir et d’assurer le succès des missions qui y sont attachées (plus d’informations sur www.bndmr.fr).
B ] Les traitements de données aux fins de recherches médicales
Ce cas particulier implique une nécessaire levée du secret médical qui est cependant strictement encadrée par la loi. Il existe une procédure particulière à mettre en œuvre : demande d’avis auprès du CPP, puis demande d’autorisation auprès de la CNIL.
➤ Pour les recherches impliquant la personne humaine répondant aux critères des Méthodologies de Référence MR001 ou MR003 publiées par la CNIL, une déclaration simplifiée, valant engagement de conformité, est nécessaire. Cela couvre les catégories usuelles qui ne font pas apparaître l’identité des personnes concernées.
➤ ➭ http://www.cnil.fr/
14 ]
➤ Pour l’utilisation des données de santé à des fins de recherche et dans un contexte quasi toujours international pour les maladies rares, au-delà du cadre national juridique de la constitution et de l’exploitation d’une BDD de santé (rappelé dans ce guide), nous recommandons la lecture et l’alignement sur la charte internationale définie par RD-Connect4.
2 ] L'EXPLOITATION DES BASES DE DONNÉES DE SANTÉ
2- 1 ] LE RESPECT DU SECRET MÉDICAL
Le secret médical se définit comme un secret qui revêt un caractère général et absolu pour les médecins et dont même le patient ne peut les affranchir. Le fait que le destinataire de l’information soit un autre médecin ne légitime pas en soi la rupture du secret.
Le CSP aménage cependant le « secret médical partagé » qui permet, sauf opposition de la personne concernée, à deux ou plusieurs professionnels de santé d’échanger des informations relatives à cette personne, afin d’assurer la continuité des soins ou de déterminer la meilleure prise en charge sanitaire possible.
➤ L’article L.1110-4 du CSP modifié par la loi de modernisation de notre système de santé du 26 janvier 2016 élargit la notion de partage en ajoutant la disposition suivante :
4 - http://rd-connect.eu et http://www.nature.com
[ 15
« Le partage, entre des professionnels ne faisant pas partie de la même équipe de soins, d’informations nécessaires à la prise en charge d’une personne requiert son consentement préalable, recueilli par tout moyen, y compris de façon dématérialisée dans des conditions définies par décret pris après avis de la Commission Nationale de l’Informatique et des Libertés ».
En outre, lorsque la personne est prise en charge par une équipe de soins dans un établissement de santé, les informations la concernant sont réputées confiées par le malade à l’ensemble de l’équipe soignante.
➤ L’accès aux données de santé est aujourd’hui réservé aux pro-fessionnels de santé et est strictement interdit pour des tiers non professionnels de santé5. Cependant, il ressort de la Section VI de l’article L.1110-4 du CSP que « les conditions et les modalités de mise en œuvre du présent article pour ce qui concerne l’échange et le partage d’informations entre professionnels de santé et non- professionnels de santé du champ social et médico-social sont définies par décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés », et de l’article L.1110-12 du CSP que « l’équipe de soins est un ensemble de professionnels qui participent directement au profit d’un même patient à la réalisation d’un acte diagnostique, thérapeutique, de compensation du handicap, de soulagement de la douleur ou de prévention de perte d’autonomie, ou aux actions nécessaires à la coordination de plusieurs de ces actes ».
➤ Ces dispositions permettent donc désormais aux professionnels du secteur médico-social et social de bénéficier, sous certaines conditions, du « secret partagé ».
2- 2 ] L’INTERDICTION DE TOUTE EXPLOITATION À DES FINS COMMERCIALES
Le CSP interdit l’utilisation à des fins commerciales des données issues de la prescription médicale ainsi que des informations communiquées par les professionnels de santé aux organismes d’assurance maladie.
La CNIL indique également que les données de santé, même rendues anonymes, ne peuvent être utilisées à des fins de promotion ou de prospection commerciale dès lors qu’elles sont associées à l’identification du professionnel de santé.
5 - Il n’existe pas de définition de « professionnel de santé » dans le Code de la Santé Publique. Cependant, l’ensemble des professions de santé sont régies par ce code. Il s’agit ainsi des professions médicales (médecins généralistes ou spécialistes, sages-femmes, etc.), professions pharmaceutiques (pharmacien, préparateur) et auxiliaires médicaux (infirmiers, kinésithérapeutes, etc).
16 ]
3 ] LES DROITS DES TIERS SUR LES BASES DE DONNÉES DE SANTÉ
3- 1 ] RÉFLEXION ÉTHIQUE
De manière générale, le droit français ne détermine pas si le patient a un droit de propriété sur ses propres données de santé.
En effet, face au risque que l’information personnelle de santé fasse l’objet de transactions commerciales, certains auteurs ont souhaité s’orienter vers le droit de la propriété, en préconisant une appropriation de l’information personnelle. A contrario, d’autres auteurs ont considéré que le maintien d’un tel raisonnement était particulièrement dangereux, le droit de propriété ne pouvant s’appliquer à des données aussi sensibles que les données de santé sans que cela ne porte atteinte à la dignité de la personne concernée.Le patient dispose toutefois d’une certaine maitrise sur l’utilisation de ses données de santé personnelles à travers l’attribution de différents droits qui lui sont accordés par la loi (droit à l’information préalable, droit d’accès, de rectification et d’opposition, droit de suppression, exigence du consentement).
[ 17
3- 2 ] LES DROITS SUI GENERIS DU PRODUCTEUR DE LA BASE DE DONNÉES
A ] La définition et droits du producteur de la base de données de santé
A ] (articles L.341-1 et suivants du Code de la Propriété Intellectuelle, CPI)
Le producteur est la personne qui prend l’initiative et le risque écono-mique de produire une « base de données » au sens juridique du terme. De manière générale, les bases de données bénéficient de la protection relative aux droits d’auteurs, ainsi que d’une protection sui generis (protection spécifique du producteur).
Le droit d’auteur va ici protéger plus particulièrement l’architecture et l’agencement de la base de données. Pour en bénéficier, il faut apporter la preuve que cette architecture est originale, indépendamment des données qui sont collectées.
Le droit sui generis apporte quant à lui une protection spécifique au profit des producteurs de bases de données. L’objectif de cette protection est d’éviter toute appropriation et/ou utilisation frauduleuse de la base de données qui, en elle-même, résulte d’investissements majeurs de la part du producteur. Ce droit s’exerce d’ailleurs indépendamment des droits d’auteurs ou d’autres droits qui pourraient s’exercer sur la base.
➤ La qualité de « responsable de traitement » répond à la question du traitement des données de santé et aux responsabilités que cela entraine. La qualité de « producteur de la base de données » répond à la question de la propriété de la base et donne à ce dernier des droits pour éviter l’appropriation par des tiers de son investissement dans la base. Bien que le « responsable de traitement » et le « producteur de la base » puissent être la même personne, ces deux appellations ne recouvrent pas la même notion juridique.
Pour bénéficier de la protection de ce droit sui generis, le producteur de la base doit établir la réalité d’un investissement substantiel, apprécié de manière quantitative et/ou qualitative, soit dans l’obtention, soit dans la constitution, soit dans la vérification, soit dans la présentation du contenu de la base. Ces investissements peuvent être financiers, matériels ou humains (par exemple : mise à disposition de prestations informatiques, mise à jour permanente de la base de données, mobilisa-tion de personnels dédiés, etc.).
18 ]
Ainsi, en application de l’article L.342-1 du CPI, le producteur de la base de données de santé a le droit d’interdire l’extraction de la totalité ou d’une partie substantielle du contenu de la base de données ou sa réutilisation par mise à disposition du public. Le droit d’exploitation qui appartient au producteur peut être transmis ou cédé ou faire l’objet d’une licence. Il prend effet à compter de l’achèvement de la fabrication de la base de données et expire 15 ans après le 1er janvier de l’année civile qui suit celle de cet achèvement (renouvellement possible).
➤ Une association de patients qui financerait intégralement un CRMR pour son activité de collecte et de traitement de données de santé pourrait bénéficier de la qualité de « producteur de la base de données » et détenir à ce titre la propriété de la base de données ainsi créée. Elle pourra de ce fait interdire l’extraction du contenu de la base ou sa réutilisation par mise à disposition du public.
➤ Les différents contributeurs à l’alimentation d’une base de données de santé pourront difficilement prétendre à un droit sur la base de données elle-même, à moins d’établir qu’ils ont la qualité de producteur de la base.
B ] Le droit de propriété des données de santé par l’hébergeur
L’article L.1111-8 du CSP dispose que les hébergeurs tiennent à la disposition de ceux qui les leur ont confiées les données de santé à caractère personnel. Ils ne peuvent les utiliser à d’autres fins. Ils ne peuvent les transmettre à d’autres personnes que les professionnels de santé ou établissements de santé désignés dans le contrat conclu avec l’hébergeur.
L’hébergeur a une obligation de restitution des données qui lui ont été confiées (sans en garder de copie), au professionnel de santé, à l’établissement de santé ou à la personne ayant contracté avec lui.
➤ Si plusieurs CRMR confient l’hébergement de leurs bases de données de santé à un prestataire, ce dernier, qui intervient alors comme simple hébergeur des bases de données, ne peut revendiquer un quelconque droit de propriété sur ces données. Les CRMR seront en droit d’en demander la restitution à l’issue de la prestation d’hébergement, pour quelle que raison que ce soit.
[ 19
CONCLUSION
Comme vous l’aurez compris à travers ce guide, la collecte de données de santé et l’exploitation de bases regroupant ces données sont soumises à une réglementation stricte destinée principalement à garantir la confidentialité de ces données et ainsi assurer la protection de la vie privée du patient.
Les pouvoirs publics sont cependant tout à fait conscients de la valeur que représentent ces bases dans la recherche et le progrès en matière de santé, lesquels ne peuvent s’effectuer sans un partage des données et un échange entre spécialistes au niveau national et international, a fortiori dès lors que ces données traitent de maladies dites rares.
La réglementation est amenée à évoluer pour permettre une plus grande souplesse dans l’accès aux données et la création de bases de données, tout en assurant un niveau de sécurité élevé des données. C’est pourquoi, nous vous invitons à rester attentifs à la mise en œuvre des textes qui viennent d’être adoptés, que ce soit la loi de modernisation de notre système de santé ou le Règlement européen sur la protection des données personnelles.
20 ]
Fondation maladies raresPlateforme Maladies Rares96 rue Didot . 75014 ParisTél. + 33 (0)1 58 14 22 81Fax + 33(0)1 58 14 22 88
© F
on
dati
on
mala
die
s ra
res
- M
ars
20
17