Thèse de médecine et CNIL : quelles démarches pour utiliser des données de santé ?

Utiliser des données de santé pour une thèse de médecine est fréquent : dossiers patients, prescriptions, biologie, imagerie, comptes rendus, questionnaires, extractions hospitalières. C’est aussi une source d’inquiétude légitime. Beaucoup d’étudiants se demandent s’ils doivent “faire une déclaration CNIL”, demander un CPP, informer les patients, ou simplement inscrire leur étude dans un registre.

La réponse courte : ne décidez pas seul. Les démarches dépendent du type d’étude, des données utilisées, des personnes qui y accèdent, du caractère interne ou multicentrique du projet, et de la qualification réglementaire. L’objectif de cet article est de vous donner une grille de lecture pratique pour préparer la discussion avec votre directeur, votre DPO, votre université ou votre structure de recherche.

Si vous êtes au début du projet, commencez aussi par formaliser votre protocole de thèse de médecine : c’est le document qui permettra de qualifier correctement votre étude.

Pourquoi la CNIL intervient dans une thèse de médecine ?

La CNIL n’intervient pas parce qu’il s’agit d’une thèse. Elle intervient parce que la thèse peut impliquer un traitement de données personnelles, parfois des données de santé.

Les données de santé sont des données personnelles sensibles. Elles sont protégées par le RGPD, la loi Informatique et Libertés et le code de la santé publique. En pratique, cela signifie que l’on ne peut pas utiliser librement des informations issues du soin, même pour un travail universitaire utile.

Pour une thèse, les questions à poser sont simples :

1. Est-ce que j’utilise des données personnelles ?
2. Est-ce que ces données concernent la santé ?
3. Est-ce que les patients ou participants peuvent être identifiés directement ou indirectement ?
4. Est-ce que les données restent dans l’équipe de soins ou sont partagées à l’extérieur ?
5. Est-ce que mon projet implique directement des personnes ou réutilise des données existantes ?

La difficulté vient du fait qu’une thèse peut se situer dans plusieurs cadres différents.

Première question : utilisez-vous vraiment des données de santé ?

Une donnée de santé n’est pas seulement un diagnostic. Dans une thèse, peuvent notamment être des données de santé :

• un antécédent médical ;
• un résultat biologique ;
• une prescription ;
• un compte rendu d’imagerie ;
• une donnée de consultation ;
• un score clinique ;
• un motif d’hospitalisation ;
• une réponse à un questionnaire portant sur l’état de santé ;
• une information permettant de déduire une pathologie.

Même si vous remplacez le nom du patient par un numéro, la base peut rester une base de données personnelles si une ré-identification est possible. C’est souvent le cas dans une thèse hospitalière, car il existe une table de correspondance, un numéro de dossier, une date de passage, ou une combinaison d’informations rares.

Les situations fréquentes en thèse de médecine

Étude interne sur données de soins déjà recueillies

C’est le cas classique : vous analysez des dossiers de patients pris en charge dans votre service, à partir de données recueillies pendant le soin.

La CNIL indique que, pour des recherches internes menées à partir de données recueillies dans le cadre du suivi médical individuel, par les personnels assurant ce suivi et pour leur usage exclusif, la recherche doit être inscrite au registre des traitements de l’université de rattachement du doctorant. Les personnes concernées doivent être informées du traitement de leurs données.

En pratique, cela ne veut pas dire “aucune démarche”. Cela veut dire : protocole, information, registre, validation locale.

Étude multicentrique ou accès hors équipe de soins

Si la recherche est multicentrique, ou si les données sont rendues accessibles à des personnes en dehors de l’équipe de soins, la situation devient plus encadrée.

La page CNIL dédiée aux formalités pour une thèse de médecine indique qu’une demande d’autorisation de recherche médicale auprès de la CNIL peut être nécessaire, sauf si le projet entre dans une méthodologie de référence permettant une déclaration simplifiée de conformité.

Exemples à discuter localement :

• un interne récupère des données dans trois hôpitaux différents ;
• une base est transmise à un statisticien externe ;
• un autre service accède aux données nominatives ou pseudonymisées ;
• le projet est porté par un promoteur institutionnel.

Recherche impliquant la personne humaine

Si votre projet implique directement des personnes, par exemple avec une intervention, un questionnaire prospectif, une procédure spécifique à la recherche, ou une modification de la prise en charge, il faut discuter la qualification de recherche impliquant la personne humaine.

La CNIL rappelle que pour les recherches impliquant la personne humaine, un avis de Comité de Protection des Personnes peut être requis. Ne tranchez pas seul ce point : il doit être validé avec les interlocuteurs compétents de votre établissement.

Questionnaire ou recueil prospectif

Un questionnaire peut sembler simple, mais il peut recueillir des données sensibles : pathologie, symptômes, traitements, santé mentale, pratiques addictives, qualité de vie, handicap, sexualité.

Le point important n’est pas seulement le formulaire, mais :

• le type de données recueillies ;
• l’identité des répondants ;
• le mode d’invitation ;
• l’outil utilisé ;
• le lieu de stockage ;
• l’information donnée aux participants ;
• la possibilité d’opposition ou de retrait selon le cadre.

Pour choisir un outil adapté, vous pouvez lire l’article sur le choix de l’outil de recueil de données.

MR-004, MR-003, CPP : comment s’y retrouver ?

Les sigles créent souvent plus de confusion qu’ils n’aident. Voici une lecture pratique, à valider localement.

MR-004 : réutilisation de données et recherche n’impliquant pas la personne humaine

La MR-004 encadre certains traitements de données personnelles à des fins de recherche, étude ou évaluation dans le domaine de la santé n’impliquant pas la personne humaine.

Elle concerne notamment des projets portant sur la réutilisation de données déjà collectées, par exemple lors du soin ou de recherches antérieures. La CNIL précise que le projet doit présenter un caractère d’intérêt public et que les données collectées doivent être nécessaires et pertinentes au regard des objectifs.

Pour une thèse rétrospective sur dossiers patients, la MR-004 est souvent un cadre à discuter. Mais “souvent” ne veut pas dire “toujours”. Il faut vérifier que votre projet respecte bien son périmètre.

MR-003 : certaines recherches impliquant la personne humaine sans recueil du consentement

La MR-003 concerne certains traitements comprenant des données de santé, réalisés dans le cadre de recherches impliquant la personne humaine, notamment des recherches non interventionnelles, lorsque la personne concernée ne s’oppose pas à participer après avoir été informée.

L’information individuelle des patients est obligatoire dans ce cadre. La CNIL précise aussi que seules les données nécessaires et pertinentes doivent être collectées.

CPP : à discuter dès qu’il y a recherche impliquant la personne humaine

Le CPP n’est pas une formalité CNIL. C’est une autre dimension réglementaire, liée à la protection des personnes dans les recherches impliquant la personne humaine.

La question pratique est donc double :

• Quel est le cadre “protection des données” ?
• Quel est le cadre “recherche impliquant la personne humaine” ?

Ce sont deux discussions liées, mais distinctes.

La démarche pratique avant de lancer le recueil

1. Décrire précisément votre étude dans le protocole

Le protocole doit permettre de comprendre ce que vous allez faire. Sans protocole clair, personne ne pourra qualifier correctement la démarche.

Précisez :

• le type d’étude ;
• la population ;
• les données utilisées ;
• la source des données ;
• les personnes qui accèdent à la base ;
• le lieu de stockage ;
• la durée de conservation envisagée ;
• les modalités d’information des personnes ;
• les analyses prévues.

2. Identifier les données utilisées

Listez les données une par une. C’est un exercice utile, car il révèle souvent que certaines variables ne sont pas nécessaires.

Exemple :

Donnée	Source	Directement identifiante ?	Utilité
Age	Dossier patient	Non	Description de la population
Date de passage	Logiciel urgence	Potentiellement indirecte	Période et suivi
Diagnostic	Compte rendu	Donnée de santé	Critère d’inclusion
Numéro de dossier	DPI	Oui ou indirectement identifiant	Chaînage, à limiter

Le principe est simple : ne recueillez pas “au cas où”. Recueillez ce qui est utile au protocole.

3. Identifier qui accède aux données

Demandez-vous qui verra la base, et sous quelle forme.

Ce point change beaucoup de choses. Une base consultée uniquement par l’équipe de soins n’a pas le même niveau de risque qu’une base transmise à un autre établissement, à un prestataire, ou à un statisticien externe.

Si vous avez besoin d’aide statistique, anticipez-le dans le protocole. L’article faut-il réaliser ses statistiques soi-même ou faire appel à un expert ? peut vous aider à cadrer ce besoin.

4. Prévoir l’information des personnes

La CNIL rappelle que les personnes concernées doivent être informées du traitement de leurs données, selon des modalités adaptées au projet.

En pratique, l’information peut prendre plusieurs formes selon le cadre retenu :

• information individuelle ;
• note d’information ;
• affichage ou information générale dans certains contextes ;
• procédure de non-opposition ;
• mention dans un livret ou un document local.

Ne copiez pas une phrase trouvée sur internet sans validation. Utilisez les modèles ou procédures de votre établissement.

5. Contacter le bon interlocuteur local

Selon votre établissement, le bon interlocuteur peut être :

• le DPO ;
• la direction de la recherche clinique ;
• une cellule méthodologique ;
• un guichet recherche ;
• votre université ;
• le promoteur de l’étude ;
• le responsable de traitement.

La CNIL précise que les formalités doivent être accomplies par l’université ou l’établissement de soin de rattachement du doctorant, considéré comme responsable du traitement déclaré, et non par le doctorant en son nom propre.

6. Garder une trace de la validation

Conservez :

• la version du protocole validée ;
• les échanges avec le DPO ou la structure de recherche ;
• la note d’information utilisée ;
• la décision sur le cadre retenu ;
• la preuve d’inscription au registre ou de déclaration de conformité si applicable ;
• la date de début autorisée du recueil.

Cette traçabilité vous protège au moment de la rédaction, de la soutenance, et éventuellement de la publication.

Ce qu’il faut écrire dans le protocole

Ajoutez une section “Aspects réglementaires et protection des données”.

Elle peut contenir :

• nature des données utilisées ;
• source des données ;
• justification des données recueillies ;
• statut des données : identifiantes, pseudonymisées, anonymisées ;
• personnes ayant accès aux données ;
• lieu de stockage ;
• modalités de sécurité ;
• durée de conservation ;
• modalités d’information des personnes ;
• cadre envisagé : registre, MR-004, MR-003, demande d’autorisation, autre ;
• interlocuteur local ayant validé la démarche.

Formulation prudente possible :

Les démarches relatives à la protection des données seront validées avec le DPO et la structure de recherche de l’établissement avant le début du recueil.

Les erreurs fréquentes

“C’est juste une thèse, donc pas besoin”

Une thèse peut traiter des données sensibles. Le caractère universitaire du travail ne supprime pas les obligations liées aux données personnelles.

Confondre anonymisé et pseudonymisé

Une base codée n’est pas forcément anonyme. Si une ré-identification est possible, même indirectement, il faut la traiter comme une base de données personnelles.

Utiliser un outil grand public pour des données de santé

Google Forms, Google Sheets ou d’autres outils similaires peuvent être pratiques, mais ils ne sont pas un choix par défaut pour des données de santé. L’outil doit être validé au regard du type de données, du stockage, de la sécurité et du cadre local.

Recueillir trop de données

Plus vous recueillez de variables, plus le risque augmente. La CNIL insiste sur la collecte des données nécessaires et pertinentes au regard des objectifs.

Faire les démarches après le recueil

La qualification et les démarches doivent être faites avant le traitement des données, pas quand le manuscrit est presque terminé.

Décider seul que l’étude ne relève pas d’un CPP

La qualification d’une recherche impliquant la personne humaine peut être subtile. Faites valider cette décision localement.

Checklist avant recueil

Question	Si oui	Action pratique
J’utilise des données issues du soin ?	Probablement données de santé	Décrire la source et le cadre dans le protocole
Les patients sont identifiables directement ou indirectement ?	Données personnelles	Prévoir protection, accès limité, information
Les données sortent de l’équipe de soins ?	Risque réglementaire accru	Contacter DPO ou structure recherche
L’étude est multicentrique ?	Cadre plus complexe	Identifier promoteur/responsable de traitement
Je recueille des données prospectives ?	Qualification à discuter	Vérifier RIPH/CPP et MR applicable
J’utilise un questionnaire en ligne ?	Risque outil + information	Faire valider outil, hébergement et note d’information
Je ne sais pas si MR-003 ou MR-004 s’applique ?	Incertitude normale	Ne pas commencer le recueil avant validation

Questions fréquentes

Faut-il déclarer sa thèse de médecine à la CNIL ?

Pas toujours directement par le doctorant. Selon la CNIL, les formalités doivent être accomplies par l’université ou l’établissement de rattachement, et non par le doctorant en son nom propre.

Une étude rétrospective sur dossiers patients relève-t-elle de la MR-004 ?

Souvent, la MR-004 est le cadre à discuter pour une recherche n’impliquant pas la personne humaine et réutilisant des données déjà collectées. Il faut toutefois vérifier localement que le projet respecte bien son périmètre.

Quelle différence entre MR-003 et MR-004 ?

La MR-003 concerne certaines recherches impliquant la personne humaine, notamment non interventionnelles, sans recueil du consentement mais avec information et non-opposition. La MR-004 vise des recherches n’impliquant pas la personne humaine, notamment la réutilisation de données.

Peut-on utiliser Google Forms ou Google Sheets pour des données de santé ?

Il faut éviter d’utiliser des outils grand public pour recueillir ou stocker des données de santé identifiantes ou pseudonymisées. Le choix de l’outil doit être validé avec les interlocuteurs locaux compétents.

Faut-il informer les patients pour une thèse rétrospective ?

Dans la plupart des situations, une information des personnes concernées est à prévoir, selon des modalités adaptées au projet et au cadre retenu. Elle doit être discutée avec le DPO ou la structure de recherche.

À retenir

Pour une thèse de médecine utilisant des données de santé, le bon réflexe n’est pas de chercher seul “le bon formulaire CNIL”. Le bon réflexe est de décrire précisément le projet, puis de faire valider le cadre.

Avant le recueil, vous devez pouvoir répondre à ces questions :

• quelles données sont utilisées ;
• pourquoi elles sont nécessaires ;
• qui y accède ;
• où elles sont stockées ;
• comment les personnes sont informées ;
• quel cadre a été retenu ;
• qui l’a validé.

Vous pouvez poursuivre avec l’article sur la rédaction d’un protocole de thèse de médecine ou avec le guide sur le choix de l’outil de recueil.