Daily Archives: 16 décembre 2024

[Avent 2024 – Ecrire sa thèse] – 16/24 – Obligations réglementaires et éthiques (CNIL / RGPD, CPP…)

Posté le 16 décembre 2024
by

Sur les dernières années, la loi a pas mal évolué avec l’apparition de la loi Jardé votée en 2012 (le même Jardé qui proposait de faire n’importe quoi avec l’hydroxychloroquine en 2020…), le RGPD en mai 2018…

Vous êtes tenu de respecter le règlement général de protection des données (RGPD)

Il y a 2 grandes questions à se poser :

  • De quel type sont les données que je traite ? (données de santé ou données concernant les internes ? Recherche impliquant la personne humaine (RIPH) ou non ? etc.)
  • Est-ce qu’il existe une méthodologie de référence pour la gestion des données personnelles ?

Comment classer les données traitées ?

La CNIL a détaillé la question sur son site et conseille de commencer par déterminer le type de recherche :

  • RIPH 1 (recherche impliquant la personne humaine) : recherches interventionnelles habituellement non justifiées, pouvant comporter un risque ou une contrainte majeurs (essais cliniques sur les médicaments ou dispositifs médicaux notamment) ;
  • RIPH 2 : recherches interventionnelles avec des risques ou contraintes mineures selon l’arrêté du ministre chargé de la santé (prélèvement sanguin, IRM, questionnaire entraînant des modifications mineures des soins, etc.)
  • RIPH 3 : recherches non interventionnelles, sans risque ni contrainte, correspondant aux soins courants.
  • RNIPH (recherche n’impliquant pas la personne humaine) : recherches nécessitant une collecte de données supplémentaires (ex : évaluation des pratiques des médecins), réutilisation de données de santé (études rétrospectives sur des données existants : dossiers médicaux, entrepôt de données, système national des données de santé SNDS, etc.)

Concrètement, vous allez donc faire des RIPH 2 / 3 et RNIPH. Les revues de littérature ne sont pas considérées dans ces cadres.

Qui contacter ensuite ?

Ensuite, la bonne personne à contacter est le délégué à la protection des données (DPD ou DPO) de l’université ; à Lille, les informations sont disponibles ici. L’algorithme est le suivant :

  • Si vous ne traitez pas de données de santé :
    • comité d’éthique = dossier « comité d’éthique pour la recherche » (CER) local
    • déclaration informatique et libertés = registre « délégué à la protection des données » (DPO) local
  • Si vous traitez des données de santé RNIPH avec une MR :
    • comité d’éthique = CER local
    • déclaration informatique et libertés = registre DPO
  • Si vous traitez des données de santé RNIPH sans MR (rare) :
    • comité d’éthique = dossier Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (CESREES)
    • déclaration informatique et libertés = dossier CNIL
  • Si vous traitez des données de santé RIPH :
    • comité d’éthique = dossier comité de protection des personnes (CPP)
    • déclaration informatique et libertés = registre DPO (si une MR s’applique) ou autorisation CNIL (si pas de MR).

Ca vous semble complexe ? C’est normal… et c’est le DPO qui va vous guider.
A Lille, si vous utilisez un questionnaire sur LimeSurvey sur le site de l’université, vous devez remplir une demande à cette page qui sera consultée par le DPO.
Pour quelque chose de plus complexe, vous devrez potentiellement remplir un protocole (attention à prévoir un délai de 3 mois déjà pour l’accord).

Comité d’éthique : comment faire ?

Là encore, c’est le DPO qui va vous guider. C’est votre référent sur ces questions.

Comme dit juste au-dessus, tous les projets de recherche impliquant la personne humaine (RIPH) ne peuvent être mis en œuvre qu’après un avis favorable (avis éthique) d’un comité de protection des personnes (CPP) (article L. 1121-4 du CSP).

Le site pour faire les déclarations est SIRIPH (https://siriph.sante.gouv.fr/). Le projet sera attribué de façon aléatoire à l’un des 39 comités de protection des personnes (CPP) répartis sur les 7 inter-régions.

(Au cas où vous verriez trainer d’anciennes informations, le site a changé plusieurs fois : c’était https://ictaxercb.ansm.sante.fr/Public/index.php et https://vrb.sante.gouv.fr/vrb/ puis https://cnriph.sante.gouv.fr/…)

Déclaration informatique et libertés : comment faire ?

Ce sera l’information clé de ce billet : contactez votre DPO ! (Il existe souvent des pages sur le sujet sur le site de votre université, ou son ENT : par exemple ici à Lille).

Concrètement, une déclaration est obligatoire pour tout fichier informatique concernant des personnes (on ne peut pas faire des listes qui traînent n’importe comment sur internet… cette loi date d’avant Facebook). Le message clé c’est que les patients ne doivent pas être identifiables dans des données qui traînent n’importe où pendant 50 ans.

Vous allez probablement collecter des données de santé. Il convient de lui déclarer votre fichier, si vous appliquez une « méthodologie de référence » (MR) (liste et détail ici) :

  • Pour les RIPH, vous pouvez utiliser les méthodologies de références (MR) 001 à 003 ;
  • Pour les RNIPH, vous pouvez utiliser les MR004 à MR008

Si ce n’est pas le cas, il faut déclarer à la Commission Nationale Informatique et Libertés (CNIL). Il n’est pas utile de faire la déclaration simplifiée à la CNIL si vous l’avez faite auprès de votre DPO (vous pouvez si vous souhaitez avoir un numéro et un PDF à mettre dans votre thèse ou pour une future publication).

Droits d’auteurs : à propos des images dans la thèse

Le message le plus simple et clair est : ne mettez rien qui ne vous appartienne pas.

Vous trouvez qu’un graphique écrit par Tartampion et al., publié dans Nature en 2024 serait une super illustration didactique en introduction : vous n’avez pas le droit de l’utiliser (d’autant que votre thèse est un document public, publié sur internet, accessible « pour toujours » — jusqu’à perte définitive des infrastructures énergétiques et numériques, suite à une guerre nucléaire ou autre évènement).

Vous trouvez qu’une image au hasard sur Google Images serait parfaite pour illustrer dans votre présentation : c’est aussi interdit (mais soyons honnête, beaucoup plus toléré vu la diffusion à public réduit). Dans votre présentation, vous avez le droit d’utiliser des images libres de droit (domaine public, licence CC-0, licence WTFPL, etc.) ou des images qui donnent un droit de partage tant que vous citez l’auteur (licences Creative Commons CC BY, etc.). Vous avez aussi le droit dans la thèse, mais c’est beaucoup moins pertinent.

Pour aller plus loin, vous pouvez consulter cette présentation sur les droits des images.

Enfin, les images reconstituées par l’intelligence artificielle (MidJourney, etc.) sont aujourd’hui considérées libres de droit, mais c’est très très débattu : elles s’inspirent d’oeuvres d’auteurs qui se sont fait aspirer leur travail pour entraîner l’IA sans réel consentement. Je vous déconseille ce recours dans votre travail de thèse.

Loading spinner
Leave a Reply ?