Instructions dans la recherche clinique
Transcription
Instructions dans la recherche clinique
Instructions dans la recherche clinique CNIL I. 1. 2. 3. 4. Histoire de sa création Organisation et composition Missions Définition des données à caractère personnel et de l’anonymisation Instructions dans la recherche clinique II. 1. 2. 3. 4. Rappels de la classification des études Instruction dans les soins courants et les études non interventionnelles Instruction dans les RBM Transfert des données à l’étranger Contenu de l’information donnée aux patients III. 1. 2. Droit à l’information Droit d’opposition Contrôles et sanctions IV. 1. 2. V. 03/12/2010 Les contrôles de la CNIL Les sanctions et exemples Cas pratique DU_ chef de projet 2 I CNIL : Commission Nationale de l’Informatique et des Libertés Réponse 1 du quiz 1. Histoire de sa création 2. Organisation et composition 3. Missions 4. Définitions des données à caractère personnel et de l’anonymisation 03/12/2010 DU_ chef de projet 3 1. CNIL : Histoire de sa création Dans les années 70, le gouvernement souhaitait identifier chaque citoyen par un numéro et utiliser cet identifiant pour tous les fichiers administratifs 03/12/2010 DU_ chef de projet 4 1. CNIL : Histoire de sa création Ce projet a fait craindre un fichage général de la population et a déclenché une vive émotion dans l’opinion publique. Une commission a alors été instituée et a été chargée de faire des propositions pour que le développement des fichiers informatiques se réalise dans le respect de la vie privée et des libertés individuelles. 03/12/2010 DU_ chef de projet 5 1. CNIL : Histoire de sa création Cette commission proposa, après de larges consultations et débats un projet de loi au parlement et la création d’une autorité Indépendante : LA CNIL 03/12/2010 DU_ chef de projet 6 1. CNIL : Histoire de sa création La loi 78-17 du 6 janvier 1978 « informatique et libertés » Elle réglemente l’exploitation des fichiers et des traitements informatisés contenant des données personnelles Conformément à la loi « informatique et libertés » du 6 janvier 1978, vous disposez d’un droit d’accès et de rectification aux données personnelles vous concernant. Par notre intermédiaire, vous pouvez recevoir des propositions d ’autres sociétés. Si vous ne le souhaitez pas, il vous suffit de nous écrire en nous indiquant vos noms et prénom et adresse. 03/12/2010 DU_ chef de projet 7 1. CNIL : Histoire de sa création La loi 78-17 du 6 janvier 1978 qui régit la CNIL a été modifiée en août 2004. Cette loi renforce les pouvoirs de la CNIL et simplifie les formalités de déclaration. 03/12/2010 DU_ chef de projet 8 2. CNIL : Organisation et composition collège de 17 commissaires : • • • • • • 4 parlementaires (2 députés, 2 sénateurs) 2 membres du Conseil Economique et Social 2 conseillers d’État 6 représentants des hautes juridictions ( 2 conseillers d’Etat, 2 conseillers à la Cour de Cassation, 2 conseillers à la Cour des Comptes) 5 personnalités qualifiées désignées par le Président de l’Assemblée Nationale 03/12/2010 DU_ chef de projet 9 2. CNIL : Organisation et composition Autorité indépendante : • 12 des 17 membres sont élus • Election du président parmi ses membres • Elle ne reçoit d’instruction d’aucune autorité • Les ministres, autorités publiques, dirigeants d’entreprises, publiques ou privées, ne peuvent s’opposer à l’action de la CNIL 03/12/2010 DU_ chef de projet 10 2. CNIL : Organisation et composition Autorité administrative : • Le budget de la CNIL est imputé sur le budget de l’État • Les agents de la CNIL sont des agents contractuels de l’État • Les décisions de la CNIL peuvent faire l’objet de recours devant la juridiction administrative 03/12/2010 DU_ chef de projet 11 3. CNIL : Missions • Protéger la vie privée et les libertés individuelles ou publiques • Veiller au respect de la loi "Informatique et Libertés" 03/12/2010 DU_ chef de projet 12 3. CNIL : Missions Comment : • Informer la population • Contrôler les organismes demandeurs • Garantir le droit d'accès aux fichiers • Recenser les fichiers • Réglementer le traitement des données 03/12/2010 DU_ chef de projet 13 3. CNIL : Missions Réponse 2 du quiz : Protéger les données informatisées Vérifier l’information auprès des personnes Empêcher les transferts de données Recenser les fichiers informatisés Approuver la sécurité informatique d’un site de traitement des données 03/12/2010 DU_ chef de projet 14 3. CNIL : Missions Comment : Elle enregistre, émet des avis, dans tous les domaines, conseille, en particulier dans le examine, domaine de la Recherche contrôle, Clinique sanctionne 03/12/2010 DU_ chef de projet 15 4. CNIL : Définition des données à caractère personnel et de l’anonymisation Aucun fichier ou traitement de données susceptible de contenir des informations personnelles ne peut être créé sans autorisation ou déclaration Réponse 3 = oui 03/12/2010 DU_ chef de projet 16 4. CNIL : Définition des données à caractère personnel Donnée à caractère personnel : Toute information relative à une personne physique identifiée ou qui peut être identifiée directement ou indirectement ou par référence à un numéro d’identification ou à plusieurs éléments qui lui sont propres Ex : 1ère lettre du nom + 1ère lettre du prénom Et/ou la Date de naissance 03/12/2010 DU_ chef de projet 17 4. CNIL : Définition des données à caractères personnel Traitement de données à caractère personnel : Ensemble d’opérations portant sur de telles données, quelle que soit la procédure utilisée : la consultation la collecte la communication par transmission l’enregistrement La diffusion ou toute autre forme de l’organisation mise à disposition la conservation, le rapprochement ou l’adaptation ou la modification, l’interconnexion l’extraction, le verrouillage l’utilisation, l’effacement ou la destruction Réponse 4 = FAUX 03/12/2010 DU_ chef de projet 18 4. CNIL : Définition des données sensibles Données sensibles : ethnie, opinions philosophiques, politiques, religieuse, vie sexuelle ou santé. Données biométriques : empreintes digitales, contour de la main, iris de l’œil, … Données génétiques Infractions, condamnations, mesures de sûreté N°de sécurité sociale Appréciations sur les difficultés sociales des personnes 03/12/2010 DU_ chef de projet 19 4. CNIL : Définition de l’anonymisation Anonymisation = aucun moyen de revenir au patient o o o Pas d’initiale Pas de numéro d’enregistrement Pas de date de naissance Un fichier anonyme existe rarement ! 03/12/2010 DU_ chef de projet 20 II INSTRUCTIONS A LA CNIL DANS LA RECHERCHE CLINIQUE 1. Rappels de la classification des études 2. Instructions dans les soins courants et les études non interventionnelles 1. Demande d’autorisation a. demande d’avis au CCTIRS b. demande d’autorisation à la CNIL 2. Cas particulier : la déclaration normale 3. Instructions dans les RBM 1. Méthodologie de référence MR-001 2. RBM hors méthodologie de référence 4. Transfert des données à l’étranger 03/12/2010 DU_ chef de projet 21 1. Rappels de la classification des études La recherche modifie-t-elle la prise en charge du patient? OUI NON La recherche nécessite-t-elle une procédure supplémentaire ou inhabituelle de surveillance ou de diagnostique sans risque pour le patient (prise de sang, examen non invasif,…)? NON La recherche porte uniquement sur un recueil de données La recherche vise donc à évaluer des nouvelles stratégies thérapeutiques ou implique une procédure supplémentaire pour le patient (examen invasif, biopsie,…) OUI La recherche porte-t-elle sur un médicament? OUI NON Recherche Non Interventionnelle 03/12/2010 Recherche évaluant les Soins Courants DU_ chef de projet Recherche Biomédicale Interventionnelle 22 1. Rappels de la classification des études Non Interventionnelle Interventionnelle RBM Soins courants Collection biologique Observati onnelle Données K particuliers CNIL : MR-001 = déclaration simplifiée 03/12/2010 CCTIRS + CNIL : demande d’autorisation DU_ chef de projet 23 2. Instructions dans les soins courants et les recherches non interventionnelles Demande d’Autorisation : = Loi n°78-17 Titre 2 Chapitre V Sont soumises à la demande d’autorisation, 3 grandes catégories de traitement : o Soit en raison des données enregistrées o Soit parce qu’ils poursuivent des finalités spécifiques o soit parce qu’ils comportent des transferts de données hors de l’Union Européenne 03/12/2010 DU_ chef de projet 24 2. Instructions dans les soins courants et les recherches non interventionnelles Demande d’Autorisation : Les finalités spécifiques : o Les traitements de recherche médicale (chap IX de la loi) o Les traitements ayant pour finalité l’évaluation des pratiques de soins (chap X de la loi) 03/12/2010 DU_ chef de projet 25 2. Instructions dans les soins courants et les recherches non interventionnelles Demande d’Autorisation : 2 étapes nécessaires pour 1 autorisation : Demande d’avis au Comité Consultatif du Traitement de l’Information en matière de Recherche dans le domaine de la santé (CCTIRS) Demande d’autorisation à la CNIL 03/12/2010 DU_ chef de projet 1 mois pour répondre 2x2 mois pour répondre 26 Demande d’avis au CCTIRS : Le CCTIRS a été créé en 1994, suite à l’ajout du chapitre Vbis à la loi 94-548 Missions : - Avis sur la méthodologie de la recherche - Nécessité du recours à des données personnelles - Pertinence des données personnelles par rapport à l’objectif de la recherche Composition : - 15 médecins et scientifiques - Nommés par arrêté conjoint du ministre de la recherche et de la santé - Réunion toutes les 4 semaines 03/12/2010 DU_ chef de projet 27 Demande d’avis au CCTIRS : Formulaire à récupérer sur le site du CCTIRS : http://www.enseignementsup-recherche.gouv.fr/cid20537/cctirs.html 03/12/2010 DU_ chef de projet 28 Demande d’avis au CCTIRS : Contenu du dossier : Type de données recueillies (I) Nom, titres, expériences et fonctions de la personne responsable de la mise en œuvre du traitement automatisé (II) Catégories de personnes : . Pour la mise en œuvre du traitement automatisé des données . Pour l’accès aux données 03/12/2010 DU_ chef de projet 29 Demande d’avis au CCTIRS : Contenu du dossier : (III) La recherche fait-elle appel aux données du SNIIRAM (Système d’Info de l’Assurance Maladie) ? (à justifier dans le protocole) (IV) Protocole de recherche = questions extraites (+ proto en annexe) (V) Justifier pourquoi pas de MR001 dans votre recherche 03/12/2010 DU_ chef de projet 30 Demande d’avis au CCTIRS : Contenu du dossier : Pièces à joindre : Formulaire complété (IV) Résumé du protocole en 10 exemplaires Cahier d’observation Note d’information et flaire de consentement Avis rendus antérieurement par des instances scientifiques et des instances éthiques (CPP) 03/12/2010 DU_ chef de projet 31 Demande d’avis au CCTIRS : Dossier signé par l’organisme demandeur (ex : directeur d’hôpital) Dossier envoyé en 3 exemplaires en recommandé avec AR Le CCTIRS a 1 mois pour rendre sa décision Avis défavorable = corriger ou répondre 03/12/2010 pas de réponse = avis favorable DU_ chef de projet Avis favorable = envoyer dossier CNIL 32 Demande d’autorisation CNIL : Demande à déposer sur le site de la CNIL : http://www.cnil.fr/ 03/12/2010 DU_ chef de projet 33 Demande d’autorisation CNIL : 03/12/2010 DU_ chef de projet 34 Demande d’autorisation CNIL : Partie 1 : informations administratives sur le responsable du traitement Partie 2 : identification du responsable du traitement Partie 3 : service chargé du traitement = investigateur coordonnateur = service stat Partie 4 : avis rendu par le CCTIRS = joindre en annexe Partie 5 : finalité de la recherche = objectif 03/12/2010 DU_ chef de projet 35 Demande d’autorisation CNIL : Partie 6 : données sensibles traitées Catégorie Détail Origine Durée de conservation Destinataire Identité Santé Vie personnelle Vie professionnelle Prélèvements biologiques Origines et opinions 03/12/2010 DU_ chef de projet 36 Demande d’autorisation CNIL : Partie 6 : données sensibles traitées Catégorie Détail Origine Durée de conservation Destinataire N°sécurité sociale Infractions Difficultés sociales Décès Données de l’assurance maladie Identité des investigateurs 03/12/2010 DU_ chef de projet 37 Demande d’autorisation CNIL : Partie 7 : transfert de données à l’étranger Partie 8 : sécurité et confidentialité ! Ne pas oublier les prestataires Partie 9 : information des personnes et droit d’accès = sécurité du système informatique hébergeant les données = joindre la note d’info en annexe Coordonnées pour réceptionner les appels de patients Partie 10 : signature du responsable 03/12/2010 DU_ chef de projet 38 Demande d’autorisation CNIL : Récapitulatif des pièces à joindre : - Protocole - Avis du CCTIRS - Note d’information - Formulaire de consentement - Annexe de transfert des données hors UE si besoin 03/12/2010 DU_ chef de projet 39 Demande d’autorisation CNIL : La CNIL a 2 mois (x2) pour rendre sa décision Refus = corriger ou répondre 03/12/2010 Pas de réponse = refus DU_ chef de projet Autorisation = commencer la recherche 40 Cas particulier : la déclaration normale Organisation de la recherche dans un seul centre hospitalier Les données ne sortent pas de cet établissement déclaration allégée = déclaration normale à la CNIL UNIQUEMENT Les données à caractère personnel utilisées dans la recherche soumises aux règles de confidentialité identiques à celles du soin. 03/12/2010 DU_ chef de projet 41 Cas particulier : la déclaration normale La CNIL répond : n° d’enregistrement = commencer la recherche 03/12/2010 DU_ chef de projet 42 3. Instruction dans les recherches Biomédicales (RBM) 3.1 La Méthodologie de Référence MR-001 a. Présentation générale et objectif b. Traitements de données personnelles concernés c. Description d. Formalités de déclaration 3.2 Les RBM hors Méthodologie de Référence 03/12/2010 DU_ chef de projet 43 3. Instructions dans les Recherches Biomédicales (RBM) 3.1 La Méthodologie de Référence (MR-001) a) Présentation générale et objectif La CNIL a jugé qu’il était possible de simplifier la procédure de déclaration pour les RBM La CNIL a homologué par décision du 6 janvier 2006 une méthodologie de référence MR-001 L’objectif est de simplifier les modalités de déclaration en n’adressant à la CNIL qu’un seul engagement de conformité à la dite méthodologie 03/12/2010 DU_ chef de projet 44 3. Instructions dans les Recherches Biomédicales (RBM) 3.1 La Méthodologie de Référence (MR-001) b. Traitements de données personnelles concernés pharmacogénétiques / pharmacogénomiques non ancillaires thérapeutiques, médicamenteuses ou non pharmacogénétiques / pharmacogénomiques / génomiques / protéomiques ancillaires 03/12/2010 MR-001 Rétrospectives ou prospectives de génomique ou de protéomique RBM portant sur les médicaments, dispositifs et autres produits (articles L1121-1 et suivants du CSP et Livres I et II de la DU_ 5ième partie du CSP) chef de projet 45 3. Instructions dans les Recherches Biomédicales (RBM) 3.1 La Méthodologie de Référence (MR-001) c. Description Information et consentement éclairé, libre et écrit des personnes concernées avant tout recueil de données Nature des données recueillies - Les données recueillies seront uniquement celles nécessaires et pertinentes pour la recherche 03/12/2010 DU_ chef de projet 46 3. Instructions dans les Recherches Biomédicales (RBM) Identité n°d’ordre et/ou code alphanumérique (1ère lettre du nom et 1ère lettre du prénom) à l’exclusion du nom complet et du n°de sécurité sociale Santé antécédents personnels ou familiaux, maladies ou évènements associés, résultats d’examens, … Informations signalétiques Date d’inclusion Origine ethnique âge ou date de naissance, lieu de naissance, sexe, poids, taille doit être justifiée par la finalité de la recherche Variations génétiques 03/12/2010 DU_ chef de projet 47 3. Instructions dans les Recherches Biomédicales (RBM) - célibataire, vie maritale, veuf (veuve), divorcé(e) - foyer : seul, couple (avec/sans enfants, nombre d’enfants et nombre d’enfants vivant au foyer), vivant Situation avec d’autres personnes familiale - nombre de personnes à charge - niveau de formation - catégorie socio-professionnelle (INSEE) - mode de protection sociale - existence d’une assurance complémentaire Situation - affiliation à un régime de sécurité sociale (à l’exception économique du n°de SS) et financière - montant des indemnités perçues - participation à d’autres recherches 03/12/2010 DU_ chef de projet 48 3. Instructions dans les Recherches Biomédicales (RBM) Vie professionnelle - profession actuelle - historique - chômage - trajets et déplacements professionnels Déplacements vers le lieu de soin (mode, durée, distance) Consommation de tabac, alcool, drogues dépendance (seul, en institution, autonome, grabataire) - assistance (aide ménagère, familiale) - exercice physique (intensité, fréquence, durée) - régime et comportement alimentaire - mode de vie ((semi)-urbain, nomade, sédentaire ; habitat:maison particulière/immeuble, étage, ascenseur)) - vie sexuelle (doit être justifiée dans le protocole) DU_ chef de projet 49 - échelle de qualité de vie validée - Habitudes de vie et comportements 03/12/2010 3. Instructions dans les Recherches Biomédicales (RBM) 3.1 La Méthodologie de Référence (MR-001) c. Description Traitement informatisé des données Saisie des données (CRF « papiers », CRF électronique) sous la responsabilité du promoteur (en interne ou en externe : prestataire de saisie, investigateurs, laboratoires, …) - Contrôle de validité et de cohérence - Analyse statistique - 03/12/2010 DU_ chef de projet 50 3. Instructions dans les Recherches Biomédicales (RBM) 3.1 La Méthodologie de Référence (MR-001) c. Description 03/12/2010 Sécurité du traitement - La mise en œuvre d’un traitement automatisé s’effectue selon des modalités garantissant la confidentialité et l’intégrité des données (mesures de sécurité physiques et sécurisation des accès à la base de données, journalisation des connexions, …) DU_ chef de projet 51 3. Instructions dans les Recherches Biomédicales (RBM) 3.1 La Méthodologie de Référence (MR-001) c. Description 03/12/2010 Transfert des données à l’étranger - Transmission des données au sein ou hors de l’Union Européenne possible DU_ chef de projet 52 3. Instructions dans les Recherches Biomédicales (RBM) 3.1 La Méthodologie de Référence (MR-001) c. Description Durée de conservation des données - Conservation jusqu’à : - 1ère autorisation de mise sur le marché - rapport final de la recherche (1 an après la fin de la recherche) - publication des résultats de la recherche - Durée de conservation raisonnable en fonction de l’objectif du fichier 03/12/2010 DU_ chef de projet 53 3. Instructions dans les Recherches Biomédicales (RBM) 3.1 La Méthodologie de Référence (MR-001) c. Description Catégories de personnes mettant en œuvre le traitement et catégories de personnes ayant accès au traitement Catégories de personnes mettant en œuvre le traitement - l’investigateur coordonnateur (=responsable de la recherche) - le promoteur - les personnes assurant la coordination et le suivi des études - les personnes assurant le traitement des données (saisie et analyse statistique) 03/12/2010 DU_ chef de projet 54 3. Instructions dans les Recherches Biomédicales (RBM) 3.1 La Méthodologie de Référence (MR-001) c. Description Catégories de personnes mettant en œuvre le traitement et catégories de personnes ayant accès au traitement Catégories de personnes ayant accès au traitement - les personnes responsables de l’Assurance Qualité - les personnes chargées des affaires réglementaires et de l’enregistrement des médicaments, dispositifs,… auprès des autorités compétentes - les auditeurs et les inspecteurs 03/12/2010 DU_ chef de projet 55 3. Instructions dans les Recherches Biomédicales (RBM) 3.1 La Méthodologie de Référence (MR-001) d. Formalités de déclaration 03/12/2010 - Si l’organisme déclarant satisfait à l’ensemble des conditions de la méthodologie de référence, il complète un engagement de conformité qui est adressé à la CNIL - Une seule déclaration est faite pour l’ensemble des études réalisées par l’organisme DU_ chef de projet 56 3. Instructions dans les Recherches Biomédicales (RBM) 3.1 La Méthodologie de Référence (MR-001) Pour accéder au document sur le site de la CNIL : https://www.formulaires.modernisation.gouv.fr/gf/cerfa_13810.do 03/12/2010 DU_ chef de projet 57 3. Instructions dans les Recherches Biomédicales (RBM) 3.1 La Méthodologie de Référence (MR-001) 03/12/2010 DU_ chef de projet 58 3. Instructions dans les Recherches Biomédicales (RBM) 3.2 Les RBM hors Méthodologie de Référence = Demande d’Autorisation complète Réponse 6 du quiz : Demande d’avis au CCTIRS Demande d’autorisation à la CNIL Déclaration simplifiée MR001 03/12/2010 DU_ chef de projet 59 II INSTRUCTIONS A LA CNIL DANS LA RECHERCHE CLINIQUE Réponse 5 du quiz : Recherche biomédicale déclaration normale Etude en soins courants demande d’autorisation Recherche non interventionnelle monocentrique déclaration simplifiée 03/12/2010 DU_ chef de projet 60 4. Transfert des données à l’étranger = partie 7 de la DA = partie 7 de la MR001 Transfert de données vers un pays étranger possible Le responsable s’assure que la législation de l’état « receveur » garantit un niveau de protection des données équivalent à la France 03/12/2010 DU_ chef de projet Réponse 7 du quiz 61 4. Transfert des données à l’étranger Transfert de données vers un pays membre de l’UE Pas d’autorisation particulière car protection adéquate (= directive 95/46 CE) 03/12/2010 La CNIL (et les volontaires) doit être informée de ce transfert DU_ chef de projet 62 4. Transfert des données à l’étranger Transfert de données vers un pays hors de l’UE Autorisation obligatoire de la CNIL Annexes de sécurité à compléter Pays hors UE assurant un niveau de protection adéquat : USA (avec Safe Harbor) Suisse Argentine Guernesey Canada Ile de Man 03/12/2010 DU_ chef de projet 63 III Contenu de l’information donnée aux patients 1. 2. 03/12/2010 Droit à l’information Droit d’opposition DU_ chef de projet 64 1. Droit à l’information Contenu obligatoire : l ’identité du responsable, la nature des données transmises et le caractère obligatoire des réponses fournies, l ’objectif de la collecte d’informations, les personnes physiques ou morales destinataires des données le transfert prévu à d’autres personnes (fichier loué ou vendu) 03/12/2010 DU_ chef de projet 65 1. Droit à l’information Contenu obligatoire : « Dans le cadre de la recherche biomédicale à laquelle [nom du promoteur] vous propose de participer, un traitement de vos données personnelles va être mis en œuvre pour permettre d’analyser les résultats de la recherche au regard de l’objectif de cette dernière qui vous a été présenté. 03/12/2010 DU_ chef de projet 66 1. Droit à l’information Contenu obligatoire : « … A cette fin, les données médicales vous concernant et les données relatives à vos habitudes de vie, ainsi que, dans la mesure où ces données sont nécessaires à la recherche, vos origines ethniques ou des données relatives à votre vie sexuelle, seront transmises au Promoteur de la Recherche ou aux personnes ou sociétés agissant pour son compte, en France ou à l’étranger. Ces données seront identifiées par un numéro de code et/ou vos initiales ou les trois premières lettres de votre nom [à préciser selon les cas]. Ces données pourront également, dans des conditions assurant leur confidentialité, être transmises aux autorités de santé françaises ou étrangères, à d’autres entités de [nom du promoteur]… » 03/12/2010 DU_ chef de projet 67 1. Droit à l’information Contenu obligatoire : Formule de consentement en cas de recueil et de traitement de données génétiques : « J’accepte que les données enregistrées à l’occasion de cette recherche comportant des données génétiques puissent faire l’objet d’un traitement informatisé par le promoteur ou pour son compte. J’ai bien noté que le droit d’accès prévu par la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (article 39) s’exerce à tout moment auprès du médecin qui me suit dans le cadre de la recherche et qui connaît mon identité. Je pourrai exercer mon droit de rectification et d’opposition auprès de ce même médecin qui contactera le promoteur de la recherche. » 03/12/2010 DU_ chef de projet 68 2. Droit d’opposition Les patients peuvent refuser : de répondre à une collecte d ’information refuser que leurs données personnelles soient revendues 03/12/2010 DU_ chef de projet 69 2. Droit d’opposition Les patients peuvent à tout moment demander à avoir accès à leurs données pour : Rectifier Actualiser Compléter Effacer Des coordonnées précises doivent être mentionnées 03/12/2010 DU_ chef de projet 70 1. Droit d’opposition Contenu obligatoire : « … Conformément aux dispositions de la loi relative à l’informatique aux fichiers et aux libertés, vous disposez d’un droit d’accès et de rectification. Vous disposez également d’un droit d’opposition à la transmission des données couvertes par le secret médical susceptibles d’être utilisées dans le cadre de cette recherche et d’être traitées. Vous pouvez également accéder directement ou par l’intermédiaire d’un médecin de votre choix à l’ensemble de vos données médicales en application des dispositions de l’article L1111-7 du Code de la Santé Publique. Ces droits s’exerçent auprès du médecin qui vous suit dans le cadre de la recherche et qui connaît votre identité. » 03/12/2010 DU_ chef de projet 71 1. Droit d’opposition Contenu obligatoire : - Dans le cas d’inscription au fichier national : « Nous vous informons que vous serez inscrit dans le fichier national des personnes qui se prêtent à des recherches biomédicales prévu à l’article L.112116 du Code de la Santé Publique. Vous avez la possibilité de vérifier auprès du ministre chargé de la santé l’exactitude des données vous concernant présentes dans ce fichier et la destruction de ces données au terme du délai prévu par le Code de la Santé ». 03/12/2010 DU_ chef de projet 72 IV Contrôles et sanctions 1. Les contrôles de la CNIL 1.1 avant un contrôle 1.2 pendant un contrôle 1.3 après un contrôle 2. Les sanctions et exemples 03/12/2010 DU_ chef de projet 73 1. Les contrôles de la CNIL La CNIL a le pouvoir d’effectuer des contrôles auprès de l’ensemble des responsables de traitement (art. 11-2°-f et 44 de la loi du 6 janvier 1978 modifiée le 6 août 2004, et par les art. 61 à 69 du décret du 20 octobre 2005 modifié par le décret du 25 mars 2007) 03/12/2010 DU_ chef de projet 74 1. Les contrôles de la CNIL 1.1 Avant un contrôle … Décision de procéder à une mission de contrôle prise par le Président de la CNIL, sur proposition du service des contrôles information du Procureur de la République Le responsable du traitement de données peut ne pas être informé avant le contrôle 03/12/2010 DU_ chef de projet 75 1. Les contrôles de la CNIL 1.2 Pendant un contrôle … Accéder à un maximum d’informations (formulaires, dossiers papiers, contrats, bases de données, programmes informatiques, données, …) pour apprécier les conditions dans lesquelles sont mis en œuvre des traitements informatiques Procès Verbal de fin de mission 03/12/2010 DU_ chef de projet 76 1. Les contrôles de la CNIL 1.3 Après un contrôle … Examen des documents (copies) pour apprécier les conditions de mise en œuvre des dispositions de la Loi informatique et libertés 2 cas : Pas d’observations particulières – courrier du Président de la CNIL qui peut contenir des recommandations éventuelles Manquements relevés sérieux et transmission du dossier à la formation contentieuse de la CNIL 03/12/2010 DU_ chef de projet 77 2. Les sanctions et exemples - La CNIL a le pouvoir de prononcer des sanctions administratives, financières (art. 45 de la loi) et même pénales (art. 226-16 à 226-24 du Code Pénal) 03/12/2010 DU_ chef de projet 78 2. Les sanctions et exemples Sanctions : Un avertissement Une mise en demeure (délai allant de 10 jours à 3 mois) Une sanction pécuniaire (d’un montant max. de 150.000 E, et en cas de récidive, jusqu’à 300.000 E) Une injonction de cesser le traitement Un retrait de l’autorisation accordée Une interruption de la mise en œuvre du traitement et le verrouillage des données pour 3 mois - Délai d’1 mois pour répondre aux remarques en ayant la possibilité de faire un recours contre la décision de la CNIL 03/12/2010 DU_ chef de projet 79 2. Les sanctions et exemples - La mise en œuvre d’un traitement de données avant l’autorisation de la CNIL : 5 ans de prison et 300.000 E d’amende (art. 226-16 du Code Pénal) - Le refus ou l’entrave au bon exercice des droits des personnes : 1500 E – 3000 E en cas de récidive (art. 131-13 du code pénal Décret n°2005-1309 du 20 octobre 2005) 03/12/2010 DU_ chef de projet 80 3. Les sanctions et exemples - La communication d’informations à des personnes non-autorisées : 5 ans de prison et 300.000 E d’amende (art. 226-22 du Code Pénal) - Le non-respect de l’obligation de sécurité : 5 ans de prison et 300.000 E d’amende (art. 226-17 du Code Pénal) 03/12/2010 DU_ chef de projet 81 IV Contrôles et sanctions Réponse 8 du quiz : Des sanctions administratives Des sanctions administratives, financières et pénales Des sanctions pénales Des sanctions administratives et financières 03/12/2010 DU_ chef de projet 82 V Cas pratique - - Intitulé de la recherche : efficacité d’un traitement contre l’obésité versus placebo Etude multicentrique Promoteur : AP-HP Inv. Coordonnateur : Pr P.Dupont (CHU Cochin) Service de Biostatistiques : Pr P.Durand (CHU Rouen) Monitoring par une structure extérieure (Necker) 1ère question : Avez-vous toutes les informations pour choisir le type de déclaration à faire ? 03/12/2010 DU_ chef de projet 83 V Cas pratique • • Données à recueillir sur e-CRF : Données cliniques (santé) ; habitudes de vie alimentaire et questionnaire de comportement alimentaire – anonymat des patients 2ème question : Quelle déclaration faites-vous ? La Méthodologie de Référence 03/12/2010 DU_ chef de projet 84 V Cas pratique 3ème question : Quel est l’organisme déclarant ? L’AP-HP 4ème question : Quelles annexes de sécurité devez-vous joindre ? celles de Cochin ? De Necker ? de Rouen ? Cochin + Rouen + sécurité du serveur e-CRF 03/12/2010 DU_ chef de projet 85