JIR Cohorte- Aspects réglementaires
France
1. Le cadre général de la réglementation française
En France, la recherche fondée sur des données de santé existantes repose sur un ensemble de textes et d’autorités visant à encadrer leur réutilisation dans un but scientifique, tout en garantissant la protection des personnes.
Les principaux textes applicables sont :
-
Le Code de la santé publique (CSP), qui définit les catégories de recherches impliquant ou non la personne humaine ;
-
Le Règlement général sur la protection des données (RGPD) et la loi Informatique et Libertés modifiée ;
-
Le référentiel CNIL MR-004, qui régit les traitements de données réalisés à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé.
Ces dispositions s’appliquent à tout projet de recherche exploitant des données de santé à caractère personnel lorsqu’aucune nouvelle intervention n’est prévue. Il s’agit de recherche n’impliquant pas la personne humaine, les RNIPH.
Les projets qui n’entrent pas dans le champ de la MR-004 doivent être soumis pour avis au CESREES et faire l’objet d’une autorisation de la CNIL. Ces situations sont exceptionnelles dans le contexte JIR et, si elles se présentent, elles sont examinées au cas par cas par la JIR afin d’accompagner le porteur dans la démarche adaptée.
Les étapes règlementaires clés pour réaliser un projet RNIPH (MR004) en France :
Steps | What to do / Key points merged | Role or support of the JIR Cohort |
|---|---|---|
Définir un responsable de traitement | Identifier l’établissement porteur du projet, responsable de traitement au sens du RGPD. Son DPO est le référent et le projet est inscrit dans le registre interne des traitements. | L’établissement du porteur est responsable de traitement. La JIR agit comme sous-traitant et fournit au DPO les informations techniques nécessaires. |
Définir le périmètre | Qualifier le projet en RNIPH (réutilisation de données existantes, sans intervention). | Aide à la qualification et au cadrage réglementaire (MR-004). |
Contrats | Définir les rôles et formaliser la responsabilité de traitement entre institutions. | Contrat-cadre JIR (Fondation RES ↔ centres), valable pour tous les projets futurs. |
Conformité CNIL | Déclaration de conformité MR-004, inscription dans le registre RGPD du centre porteur, analyse d’impact (PIA) si applicable. | Aide à la vérification de conformité, appui à la documentation (PIA, sécurité, flux internes JIR…). |
Information / droit d’opposition / Consentement | Note d’information remise au patient avec possibilité d’exercer son droit d’opposition pour chaque projet. | Un seul consentement général JIR par patient couvrant la réutilisation des données pour l’ensemble des projets. |
Protection des données | Mettre en œuvre RGPD/LIL/MR-004 : Pseudonymisation, sécurité, contrôle d’accès, conservation limitée, procédure d’exercice des droits. | Garantir un hébergement HDS, pseudonymisation, contrôle des accès, traçabilité, gestion des flux internes entre l’EDS JIR et les environnements sécurisés. |
Transparence | Enregistrement sur le registre national du Health Data Hub (HDH). | Publication complémentaire sur le Portail de transparence JIR. |
2. Les cinq piliers de la JIR Cohorte adaptés au contexte français.
La JIR Cohorte simplifie et sécurise la mise en œuvre de projets en France.
Son cadre contractuel, éthique et technique permet aux équipes de se concentrer sur la valeur scientifique du projet, tout en garantissant la protection des patients et la sécurité des données.
1.Contrat
.png)
2.Consentement
3.Protocole et validation éthique
4.Sécurité
5.Transparence
1. Contrat
La JIR repose sur un contrat-cadre unique signé entre la Fondation RES et chaque centre participant.
Ce contrat simplifie les démarches :
-
un seul contrat couvre tous les projets JIR à venir ;
-
les projets sont administrativement monocentriques mais scientifiquement multicentriques ;
-
les échanges de données s’effectuent dans un cadre conforme au RGPD et aux exigences CNIL.
L’établissement du porteur de projet agit comme responsable de traitement, la Fondation RES comme sous-traitant.
Ce modèle réduit la charge administrative et garantit une conformité homogène, tout en préservant la richesse scientifique et méthodologique des études multicentriques.
2. Consent
Les patients intégrés dans la JIR signent un consentement général, conforme au RGPD et à la loi Informatique et Libertés.
Ce consentement couvre :
-
l’intégration de leurs données dans l’Entrepôt de données de santé (EDS) ;
-
la réutilisation pseudonymisée de ces données pour des projets de recherche ultérieurs
Ainsi, les projets fondés sur les données de la JIR sont réalisés dans le cadre du consentement déjà donné par les patients, sans nécessiter de nouvelle sollicitation individuelle.
Ce dispositif permet de simplifier et d’accélérer les études, tout en garantissant le respect des droits des patients et la protection de leurs données de santé.
3. Protocole et validation éthique
Tous les projets JIR font l’objet d’une validation scientifique par le Scientific Data Access Committee (SDAC).
Cette étape garantit la qualité scientifique, la pertinence méthodologique et la conformité réglementaire du projet avant sa mise en œuvre.
Le porteur de projet peut ensuite, s’il le souhaite, soumettre le protocole à un Comité d’éthique (CE) pour obtenir un avis éthique en vue d’une publication scientifique.
Ce dispositif assure à la fois la rigueur scientifique et la souplesse administrative :
-
les projets JIR s’appuient sur des données issues de plusieurs hôpitaux, intégrées dans un cadre méthodologique commun ;
-
la JIR accompagne le porteur dans la mise en conformité réglementaire (MR-004, RGPD) et la constitution du dossier scientifique ou éthique ;
-
les documents transmis sont standardisés et alignés sur les exigences de la CNIL et, le cas échéant, des comités d’éthique français.
A. Validation scientifique par le SDAC
Chaque projet JIR repose sur un protocole structuré, évalué par le Scientific Data Access Committee (SDAC) avant toute mise en œuvre.
Le dossier de soumission est préparé en collaboration avec l’équipe JIR (voir section « Faire un projet de recherche avec la JIR »).
Cette évaluation apporte une plus-value scientifique et éthique : elle garantit un regard critique spécialisé, renforce la crédibilité du dossier et favorise une mise en œuvre harmonisée des projets au sein du réseau JIR.
La validation du SDAC constitue un avis scientifique préalable, réalisé avant toute éventuelle soumission éthique, sous réserve de la validation finale par le CE compétent, le cas échéant
B. Soumission éthique (facultative)
En France, les projets de type RNIPH ne nécessitent pas d’avis éthique obligatoire. Cependant, le porteur de projet peut, s’il le souhaite, solliciter le comité d’éthique (CE) de son choix à des fins de publication ou d’exigence institutionnelle.
Dans ce cas, la structuration préalable du protocole JIR simplifie la constitution du dossier :
-
Le protocole validé par le SDAC contient les éléments exigés par les CE : objectifs, justification scientifique, description des données, analyse méthodologique, sécurité etc…
-
les modèles de documents du CE sont adaptés aux exigences du CE concerné à l’aide de l’équipe JIR ;
-
l’équipe JIR accompagne le porteur jusqu’au dépôt final auprès du comité choisi.
Cette démarche en deux temps — validation scientifique par le SDAC, complétée le cas échéant par une évaluation éthique — constitue un gage de qualité et de cohérence : chaque projet est scientifiquement solide, conforme au cadre réglementaire français et aligné sur les principes éthiques de la recherche.
4. Sécurité
Pour chaque exigence prévue par la réglementation française en matière de protection des données, la JIR apporte une solution technique et organisationnelle déjà intégrée dans son dispositif de sécurité.
Circuit des données pour un projet de recherche :
-
Saisies par les centres directement dans l’EDS JIR.
-
Extraction pseudonymsisées par projet par l’équipe JIR
-
Traitement des données par l’équipe JIR conformément au plan d’analyse statistique (PAS)
-
Mise à disposition auprès des personnes autorisées dans des environnements sécurisés (NetExplorer ou EasyMedStat).
Cet ensemble d’espaces sécurisés constitue la “JIR Bubble”, et garantit qu’aucune donnée ne peut être exportée, transférée ou copiée en dehors de ces environnements.
Exigences Françaises | Mise en oeuvre dans le cadre de la JIR |
|---|---|
Hébergement sécurisé | Données conservées dans un environnement conforme aux exigences françaises : serveurs certifiés HDS et infrastructure sécurisée. |
Pseudonymisation | Pseudonymisation effectuée avant toute utilisation, aucune donnée nominative accessible. |
Contrôle des accès | Accès nominatif, validation préalable du SDAC, délivrance des accès par l’équipe JIR. |
Traçabilité | Audit trail complet sur toutes les plateformes de la JIR Bubble. |
Minimisation des données | Extractions validées par le SDAC, limitées aux variables nécessaires. |
Analyse d’impact (PIA) | Le centre porteur (responsable de traitement) réalise ou met à jour le PIA. La JIR fournit les éléments techniques nécessaires (sécurité, architecture, procédures) |
Environnement sécurisé (“bubble JIR”) | Les données du projet sont accessibles aux personnes autorisées uniquement dans la « bubble JIR », sans possibilité d’exporter ou de copier les données en dehors de la plateforme. |
Durées de conservation | Durées conformes à la MR-004. |
Les exigences ci-dessous sont issues du RGPD et de la MR004 :
5. Transparence
La transparence est une exigence à la fois éthique et réglementaire.
Ces exigences visent à garantir la traçabilité, la publication responsable et la visibilité publique des projets de recherche.
Contraintes légales françaises | Source / Référence officielle | Mise en œuvre par la JIR Cohorte |
|---|---|---|
Enregistrer les projets sur le registre national des recherches utilisant des données de santé. | Réglementation française – Health Data Hub (HDH) : registre officiel des projets utilisant des données de santé | L’équipe JIR accompagne le responsable de traitement dans l’enregistrement du projet sur le registre national du HDH. |
Rendre accessibles au public les projets validés et leurs résultats. | RGPD (principe de transparence) / MR-004 | Les projets et publications sont référencés sur le Portail de transparence JIR, accessible en ligne. |
Assurer la publication des résultats de manière responsable et transparente. | Déclaration d’Helsinki / RGPD / Loi Informatique et Libertés | Les résultats sont diffusés sous forme agrégée et anonymisée, sans donnée identifiable. |
Références officielles
-
Règlement (UE) 2016/679 – RGPD : cadre européen de protection des données à caractère personnel.
-
Loi n° 78-17 du 6 janvier 1978 modifiée – Loi Informatique et Libertés.
-
Méthodologie de Référence MR-004 (CNIL) : cadre applicable aux recherches, études et évaluations réutilisant des données de santé existantes.
-
CNIL – Commission nationale de l’informatique et des libertés : autorité de supervision des traitements de données de santé.
-
Health Data Hub (HDH) : registre national de transparence des projets utilisant des données de santé.
