Référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de création d'entrepôts de données dans le domaine de la santé

La CNIL a adopté par délibération n° 2021-118 du 7 octobre 2021 (JORF 24 octobre 2021) un nouveau référentiel visant à « simplifier les procédures » et proposer un cadre « adapté aux pratiques » lors de la création d'un entrepôt de données de santé (EDS).

Le régime applicable aux EDS

Ce référentiel s'adresse aux responsables de traitements qui souhaitent, dans le cadre de leurs missions d'intérêt public, réunir des données en vue de leur réutilisation, pour des finalités spécifiques.

Cette base légale concerne donc en premier lieu les traitements mis en œuvre par les autorités publiques. Elle peut néanmoins autoriser la mise en œuvre de traitements par des organismes privés, dès lors qu’ils poursuivent une mission d’intérêt public ou sont dotés de prérogative de puissance publique.

A cet égard, le traitement des données doit être strictement justifié :

• ‍soit, scientifiquement par la prise en charge sanitaire ou médico-social, via la production d'indicateurs et le pilotage stratégique de l'activité, l’amélioration de la qualité de l'information médicale ou l'optimisation du codage dans le cadre du PMSI, le fonctionnement d'outils d'aide au diagnostic médical ou la prise en charge et la réalisation d'études de faisabilité (pré-screening),‍
• soit, par la réalisation d'un projet de recherche, d'étude ou d'évaluation spécifique et prévue par un protocole.

Dans ce dernier cas, le traitement devra faire l'objet des formalités adéquates :

• par le recours à une méthodologie de référence et une déclaration attestant de cette conformité, ou
• par l’obtention d’« autorisation recherche » sur le fondement de l'article 66 III de la loi « informatique et libertés ».

En tout état de cause, seules des données à caractère personnel adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement peuvent être collectées et traitées.

A ce titre, le responsable de traitement ne peut collecter et traiter que :

• des données qui figurent dans le dossier médical et administratif ou dossier unique informatisé de la personne concernée et dont la collecte est justifiée par sa prise en charge, et/ou
• des données issues de projets de recherches, études et évaluations dans le domaine de la santé précédemment réalisés et dont leur durée de conservation n'a pas expiré.

La création d'un EDS en pratique

Jusqu’alors, la création de ce type d'EDS était nécessairement soumise à une demande d’autorisation « santé » (hors recherche), sauf si les personnes concernées avaient donné un consentement explicite pour la constitution de l’EDS.

La conformité des traitements avec ce référentiel permettra désormais aux acteurs concernés de ne plus soumettre les EDS à la procédure de demande d’autorisation préalable.

Il est à noter qu’une analyse d’impact sur la protection des données (AIPD) restera à réaliser dans tous les cas.

Cette mesure devra être complétée par la mise en place d’une gouvernance pour vérifier le respect des finalités poursuivies et de diverses mesures techniques et organisationnelles, et ce afin de préserver la sécurité des données à caractère personnel.