Pour répondre à l’enjeu de la gestion des données de santé, la CNIL publie un référentiel pour simplifier les procédures de création des entrepôts de données de santé. Présentation.
Commençons dans un premier temps par rappeler ce qu’est un entrepôt de données de santé : il s’agit de bases de données destinées à être utilisées notamment à des fins de recherches, d’études ou d’évaluations dans le domaine de la santé. A titre d’exemple on peut citer l’Entrepôt de Données de Santé (EDS) de l’AP-HP ou cla plateforme de données en cancérologie de l’Institut National du Cancer.
Afin de simplifier les démarches pour les responsables de ces bases de données sensibles, tout en fournissant un encadrement juridique et technique rigoureux, la CNIL a lancé le 8 mars 2021 une consultation publique concernant un projet de référentiel. À l’issue de cette consultation, à laquelle une quarantaine d’acteurs a participé, la CNIL a adopté un référentiel prenant en compte ces contributions.
La CNIL indique que “le référentiel permet aux organismes voulant mettre en œuvre un entrepôt de données conforme au référentiel de ne pas solliciter d’autorisation préalable auprès de la CNIL : après vérification de la conformité de son projet d’entrepôt par rapport au référentiel, l’organisme peut déclarer sa conformité. En interne, l’organisme responsable de ce traitement est tenu de documenter sa conformité au RGPD et au référentiel dans son registre des activités de traitement.”
Types d’entrepôts couverts par le référentiel
Le référentiel entrepôt ne s’applique qu’aux entrepôts de données de santé reposant sur l’exercice d’une mission d’intérêt public, au sens de l’article 6.1.e du RGPD souligne la CNIL.
“L’entrepôt doit être nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi l’organisme responsable du traitement. Un établissement privé de soins mettant en œuvre un entrepôt de données de santé nécessaire à l’exécution d’une mission d’intérêt public pourra être couvert par le référentiel. Ce n’est pas le cas des entrepôts mis en œuvre par des entreprises privées à des fins de recherche sans exécution d’une mission d’intérêt public, sur le fondement de l’article 6.1.f du RGPD, par exemple.”
Pour les entrepôts de données de santé qui n’entrent pas dans le cadre du référentiel, la CNIL recommande de la solliciter afin d’obtenir une autorisation individuelle préalablement à la mise en œuvre de leur entrepôt.
A noter que seule la constitution de l’entrepôt est couverte par l’engagement de conformité au référentiel. “La réutilisation des données de l’entrepôt dans le cadre de recherches, d’études ou d’évaluations dans le domaine de la santé doit faire l’objet des formalités à part (exemples : engagement de conformité aux méthodologies de référence ou demande d’autorisation recherche)” indique la CNIL.
Source : CNIL