L’information émane de la direction des directions à la recherche Clinique et à l’innovation de plusieurs Centre Hospitaliers Universitaires français. Depuis quelques jours, vraisemblablement une quinzaine[1], les Comités de Protection des Personnes (CPP) rejettent les demandes d’avis au motif que les formulaires d’information ne seraient pas en conformité avec le Règlement Général relatif à la Protection des Données.
Pour mémoire, le Code de la Santé Publique impose au promoteur d’une recherche impliquant la personne humaine d’élaborer un formulaire d’information revenant sur sept points précis. Outre un descriptif de l’objectif et du cadre de la recherche, ce document doit notamment revenir sur « la nécessité d’un traitement des données personnelles conformément aux dispositions de l’article 58 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ». Le dossier de saisine du CPP comporte évidemment ce document et c’est sur cette base que les comités français semblent aujourd’hui se fonder pour rejeter les demandes d’avis qui leur sont transmises.
Sur ce point, les CPP se conforment à la nouvelle rédaction de cet article 58 qui prévoit une information individuelle – le terme est ici pour rappeler qu’une information via le livret d’accueil est vaine – « conformément aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ». Le jeu de piste commence et parvenir à son terme ne sera pas une mince affaire pour les chercheurs.
Le RGPD permet le traitement de données de santé « à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ». Nos chercheurs français devraient à l’évidence faire reposer leurs travaux sur cette « base légale ». Or, dans ce cas, l’article 89 du texte européen autorise les législateurs nationaux à déroger à certains articles du RGPD. Je vous épargne l’énumération de ces dispositions pour arriver toute de suite au résultat : il n’est pas possible pour le législateur français de déroger, en ce domaine, aux obligations posées par les articles 13 et 14 du RGPD relatif aux informations à fournir aux personnes concernées par les données utilisées dans le cadre de la recherche. Relisez l’article 58 de la loi française avec ce résultat en tête et vous vous demanderez certainement pourquoi le Parlement français n’est pas allé au plus court, en visant ces deux articles.
Bien, ceci étant, une autre difficulté pourrait rapidement apparaître, du fait d’un conflit entre les dispositions nationales et européennes. Rappelons le cadre : les CPP demandent la conformité du formulaire d’information au RGPD. Faut-il alors intégrer dans le formulaire les précisions franco-françaises figurant dans la loi Informatique et Libertés, telle que modifiée le 20 juin 2018 ? Au titre de ces spécificités, l’obligation de rappeler à la personne concernée qu’elle peut « des directives relatives au sort de ses données à caractère personnel après sa mort ». Vous conviendrez que cette mention dans un formulaire n’est pas neutre. Malheureusement, la réponse est nettement plus complexe et aléatoire. Avec votre permission, je vais prendre l’été pour y réfléchir.
[1] Le 20 juin 2018, était publié au Journal Officiel la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles.
Pierre Desmarais
Avocat
IS027001LI / ISO27005RM
Article publié précédemment sur le site de mind Health