Les outils de la Cnil pour définir les durées de conservation des données personnelles 

Les délégués à la protection des données (data protection officers, DPO) citent souvent le chantier sur la durée de conservation des données, prévu par le règlement général sur la protection des données (RGPD), comme l’un des plus difficiles à mettre en oeuvre. Pour accompagner, de façon opérationnelle, les responsables de traitement sur cette question, la Commission nationale de l’informatique et des libertés (Cnil) a publié le 28 juillet 2020 un guide pratique sur la gestion des durées de conservation (pour tout secteur) assorti de trois référentiels spécifiques au domaine de la santé, parus au Journal officiel à la même date.

Deux d’entre eux intéresseront l’industrie pharmaceutique : l’un porte sur la conservation des données personnelles traitées à des fins de recherche en santé, l’autre sur les traitements de données hors recherche. Le référentiel relatif aux durées de conservation des données à caractère personnel traitées à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé liste, pour les traitements les plus fréquents (recherches interventionnelles, essais cliniques, recherches sur des données déjà collectées…), les durées pertinentes. Conçu comme une base de travail, il regroupe la réglementation en vigueur et indique les durées obligatoires qu’elle impose. 

Base active et archivage intermédiaire

Seules les deux premières phases de la vie des données sont couvertes. La première, l’utilisation courante (ou “base active”), concerne les données personnelles utilisées quotidiennement par les services chargés de la mise en oeuvre du traitement : “par

exemple, les données relatives à un patient seront accessibles aux praticiens habilités le temps de sa prise en charge”, évoque la Cnil. Dans la seconde phase, l’archivage intermédiaire, les données personnelles ne sont plus utilisées pour atteindre l’objectif fixé mais présentent encore un intérêt administratif (par exemple pour la gestion d’un éventuel contentieux, cite la Cnil) ou doivent être conservées pour répondre à une obligation légale. “Les données peuvent alors être consultées de manière ponctuelle et motivée par des personnes spécifiquement habilitées”, précise encore la Commission. La troisième et dernière étape du cycle de vie d’une donnée, l’archivage définitif, est plus rare et concerne essentiellement le secteur public soumis au Code du patrimoine.

La Cnil souligne que toutes les données ne connaissent pas la phase d’archivage intermédiaire. C’est le cas des données à caractère personnel consultées à partir du PMSI (programme de médicalisation des systèmes d’information) : leur exportation est interdite et aucune conservation ne peut se faire en dehors de la plateforme sécurisée. Le responsable de traitement doit donc effectuer une analyse au cas par cas. 

Gestion des vigilances sanitaires

Le second référentiel adopté en santé vise les traitements de données hors recherche, comme la tenue du dossier patient par les établissements de santé, le dossier pharmaceutique (DP), le dossier médical partagé (DMP) ou les vigilances sanitaires. À ce titre, selon le référentiel “vigilances sanitaires” qui couvre les événements sanitaires indésirables, les données personnelles peuvent être conservées en base active pendant la durée d’utilisation courante des données. En base intermédiaire, “les données ne peuvent en principe être conservées au-delà d’une période de 70 ans à compter de la date du retrait sur le marché du médicament, du dispositif ou du produit”. 

Le troisième et dernier référentiel porte sur les traitements de données à caractère personnel destinés à la gestion des cabinets médicaux et paramédicaux.