Fiche thématique
6 min de lecture
9 décembre 2022
La CNIL définit les entrepôts de données de santé comme « des bases de données destinées à être utilisées notamment à des fins de recherches, d’études ou d’évaluation dans le domaine de la santé ». Les acteurs publics et privés désirant mettre en œuvre un tel entrepôt dans le cadre de l’exercice d’une mission d’intérêt public devront déposer une déclaration de conformité au référentiel adopté par la CNIL.

Sommaire

Un référentiel de conformité pour les entrepôts de données de santé

La CNIL a adopté un référentiel précisant le cadre juridique, issu du RGPD et des dispositions nationales, applicable aux traitements de données mis en œuvre à des fins de création d’entrepôts de données de santé ( CNIL, délib., 7 oct. 2021, n° 2021-118 : JO, 24 oct.).

A qui s’adresse le référentiel ?

Le référentiel s’adresse aux responsables de traitements qui souhaitent constituer un entrepôt de données de santé dans le cadre de l’exercice d’une mission d’intérêt public. Les entrepôts respectant ce référentiel pourront permettre la réutilisation des données réunies à des fins :

  • de recherche, d’étude ou d’évaluation de santé ;
  • de production d’indicateurs et de pilotage stratégique de l’activité d’un établissement ou centre où s’exercent des activités de prévention, de diagnostic et de soins.

Les responsables de traitement qui réalisent auprès de la Commission une déclaration de conformité au référentiel sont autorisés à mettre en œuvre un entrepôt de données de santé lorsque le traitement est strictement conforme au référentiel.

Entrepôts concernés par le référentiel

Le référentiel ne s’applique qu’aux entrepôts de données de santé dont la constitution se fonde sur l’exercice d’une mission d’intérêt public, au sens de l’article 6, § 1, e) du RGPD. Ainsi, l’entrepôt doit être nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.

Entrepôts exclus du référentiel

Ne sont pas concernés par ce référentiel :

  • les entrepôts mis en œuvre par une société privée sur le fondement de son intérêt légitime ;
  • les traitements de données à caractère personnel mis en œuvre uniquement aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de services de santé et mis en œuvre par les professionnels de santé et les systèmes ou services de soins de santé ;
  • les traitements de données à caractère personnel mis en œuvre lorsque la personne a donné son consentement explicite à cette fin ;
  • les entrepôts appariés avec la base principale du système national des données de santé.

Obligations du responsable de traitement

Les responsables de traitement doivent mettre en œuvre toutes les mesures appropriées (techniques et organisationnelles) afin de garantir la protection des données à caractère personnel traitées. Ils doivent, en outre, démontrer cette conformité tout au long de la vie des traitements. Les entrepôts mis en œuvre dans le cadre du référentiel doivent également être inscrits dans le registre des activités de traitement.

Les principes posés dans ce référentiel constituent également une aide à la réalisation de l’analyse d’impact à la protection des données que les responsables de traitement concernés doivent mener.

Afin de vérifier le respect des finalités poursuivies, le responsable de traitement met en œuvre une gouvernance pour chaque entrepôt qu’il constitue. Les instances constituées à cette fin peuvent être mutualisées si le responsable de traitement met en œuvre plusieurs entrepôts.

Données collectées et traitées

Seules des données à caractère personnel adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement peuvent être collectées et traitées. A ce titre, le responsable de traitement ne peut collecter et traiter que :

  • des données qui figurent dans le dossier médical et administratif ou dossier unique informatisé de la personne concernée et dont la collecte est justifiée par sa prise en charge, et/ou ;
  • des données issues de projets de recherches, études et évaluations dans le domaine de la santé précédemment réalisés et dont leur durée de conservation n’a pas expiré.

Ces données incluent des données relatives aux patients et aux professionnels de santé.

Aucune donnée ne peut être collectée uniquement afin d’alimenter l’entrepôt.

Par ailleurs, les données directement identifiants, qui ne peuvent être réunies dans l’entrepôt que pour des finalités bien définies, ne peuvent être utilisées que si les finalités du traitement le justifient. A titre d’exemple, le jour de naissance ne pourra être utilisé que s’il est nécessaire à la réalisation d’une recherche impliquant des personnes âgées de moins de deux ans.

La pertinence des données comprises dans l’entrepôt doit être réévaluée régulièrement par la gouvernance de l’entrepôt. Les données n’apparaissant plus nécessaires doivent être supprimées.

Information des personnes

Les personnes doivent être informées par le ou les responsables de traitement que les données collectées lors de leur prise en charge sont versées au sein de l’entrepôt.

En revanche, le responsable de traitement peut faire valoir une exception à l’obligation d’information individuelle pour la constitution de l’entrepôt, s’il justifie dans son registre d’activité de traitement que la fourniture des informations exigerait des efforts disproportionnés. Il peut par exemple invoquer :

  • le nombre de personnes concernées ;
  • l’ancienneté des données ;
  • le coût et le temps de la délivrance des informations.

En cas de recours à l’exception à l’obligation d’information individuelle, le responsable de traitement rend les informations publiquement disponibles.

Si l’entrepôt intègre des données issues de recherches, les personnes concernées doivent également être informées individuellement de la réutilisation des données issues de la recherche afin de constituer un entrepôt. Dans cette hypothèse, le recours à l’exception à l’information individuelle est également possible.

L’information des professionnels de santé est aussi prévue par le référentiel.

Droits des personnes

Les personnes concernées (professionnels et patients) dont les données figurent dans l’entrepôt disposent des droits d’accès, de rectification et d’opposition ainsi que des droits à l’effacement et à la limitation du traitement. Elles les exercent dans les conditions prévues par le RGPD.

Transfert de données hors de l’Union européenne

La mise en place et le fonctionnement d’un entrepôt ne peuvent entraîner le transfert de données à caractère personnel, directement ou indirectement identifiantes hors de l’Union européenne ou à destination d’un pays ne disposant pas d’un niveau de protection adéquat.

Check-list de conformité

La CNIL a publié une check-list à destination des personnes souhaitant constituer un entrepôt des données de santé. Le document permet au futur responsable du traitement de données personnelles de vérifier la conformité de son projet aux diverses exigences prévues par le référentiel. Élaboré sous forme de questions, l’outil se veut être un guide pédagogique aiguillant les responsables de traitement. L’on retrouve, entre autres, des entrées dédiées aux finalités des traitements, à la gouvernance, ou encore aux données incluses dans l’entrepôt (CNIL, Check-List de conformité Référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de création d’entrepôts de données dans le domaine de la santé, 28 sept. 2022).

Entrepôts autorisés par la CNIL

La CNIL a déjà autorisé la création de plusieurs entrepôts :

  • EDS de l’AP-HP ( CNIL, délib., 19 janv. 2017, n° 2017-013 ) ;

Remarque

Remarque : les équipes de l’AP-HP ont constitué au sein de l’EDS une cohorte pour faire avancer la recherche sur le Covid-19. Cette cohorte facilitera les recherches fondées sur les données de santé des patients admis à l’AP-HP, porteurs du virus SARS-CoV-2 ou suspectés de l’être, tout en respectant les règles de confidentialité de leurs données. La cohorte aidera aussi à concevoir des études à visée diagnostique et thérapeutique sur la maladie.

  • celui de la société OpenHealth ( CNIL, délib., 26 oct. 2017, n° 2017-285 ) ;
  • LRX de la société IQVIA Opérations France ( CNIL, délib., 26 oct. 2017, n° 2017-285 ) ;

Remarque

Remarque : le fonctionnement de l’entrepôt de données de la société IQVIA a été mis en cause dans une émission télévisée diffusée le 20 mai 2021. La CNIL précise qu’à ce jour, elle n’a pas reçu de plainte relative au fonctionnement de cet entrepôt mais annonce, au regard des éléments portés à la connaissance du public, qu’elle diligentera des contrôles (Communiqué de la CNIL, 17 mai 2021).

  • INCLUDE du CHU de Lille ( CNIL, délib., 26 oct. 2017, n° 2017-285 ) ;
  • EHOP du CHU de Nantes ( CNIL, délib., 19 juill. 2018, n° 2018-295 ).
ChatGPT, révolution ou gadget technologique sans intérêt ?

Retrouvez dans cet article l'analyse de 2 spécialistes, Guillaume Jagerschmidt, avocat en droit des nouvelles technologies et Zacharie Laïk. avocat au barreau de New York, sur l’impact de l’utilisation de ChatGPT pour le métier des avocats en 2 points : pour une utilisation raisonnée de ChatGPT et faire monter les exigences et les compétences des juristes

Aller plus loin
Mémento Concurrence Consommation
Ce Mémento vous donne les armes pour vous défendre contre vos concurrents, mais aussi pour promouvoir votre activité en respectant la loi
185,00 € TTC
Mémento Concurrence Consommation
Questions fréquemment posées

Quels sont les entrepôts de santé couverts par le référentiel CNIL ?

Le référentiel CNIL concerne les entrepôts de données nécessaires à l’exercice d’une mission d’intérêt public, ou relevant de l’exercice de l’autorité publique. Les établissements de soins privés ne sont donc pas concernés si leur recherche n’est pas en lien avec une mission d’intérêt public. Les organismes disposant d’entrepôts de données de santé ne répondant pas aux critères du référentiel doivent solliciter la CNIL pour l’obtention d’une autorisation préalable.

Le non-respect du référentiel CNIL entraîne-t-il un refus systématique ?

Non. Il est parfois possible pour la CNIL d’autoriser un traitement de données qui ne serait pas conforme au référentiel – par exemple en matière de durée de conservation des données – si l’entité concernée est à même de justifier l’écart par les spécificités de l’objectif poursuivi. Pour ce faire, elle doit soumettre tout élément à même d’expliquer les différences envisagées.

Qu’est-ce que le SNDS ?

Le Système national des données de santé » (SNDS) regroupe les principales bases de données de santé publiques existantes. Il vise l’amélioration les connaissances sur la prise en charge médicale et l’élargissement du champ des recherches, des études et évaluations dans le domaine de la santé. La Caisse nationale de l'assurance maladie des travailleurs salariés (CNAMTS) est responsable du traitement et se charge de sa mise en œuvre.

Les dernières actualités dans ce thème
Le Conseil adopte l’IA Act !
Droit des affaires
Protection des données personnelles (RGPD)
Le Conseil adopte l’IA Act !
23 mai 2024