Accueil > Parcours de soins > Entrepôts de données de santé : le nouveau référentiel de la Cnil Entrepôts de données de santé : le nouveau référentiel de la Cnil Un référentiel relatif aux traitements de données à caractère personnel ''mis en œuvre à des fins de création d'entrepôts de données de santé (EDS)'' a été adopté dans une délibération de la Commission nationale de l'informatique et des libertés (Cnil) datée du 7 octobre et publiée au Journal officiel le 24 octobre. Les principaux points à retenir. Par Romain Bonfillon. Publié le 28 octobre 2021 à 11h13 - Mis à jour le 08 mars 2022 à 17h28 Ressources Objectif du référentiel Le référentiel précise pour les entrepôts de données de santé le cadre juridique, issu du règlement général sur la protection des données (RGPD) et des dispositions nationales. Seuls les responsables de traitement qui réalisent auprès de la Cnil une déclaration de conformité répondant strictement aux exigences de ce référentiel sont autorisés à mettre en œuvre un entrepôt de données de santé (comme cela a été fait par le CHU de Lille, dès 2019). À qui s’adresse ce référentiel ? Aux responsables de traitements qui souhaitent, dans le cadre de leurs missions d’intérêt public, réunir des données en vue de leur réutilisation, pour les finalités suivantes : production d’indicateurs et pilotage stratégique de l’activité ; analyses médico-économiques de parcours de soins, évaluation de la qualité et de la pertinence des prises en charge ; amélioration de la qualité de l’information médicale ou optimisation du codage dans le cadre du programme de médicalisation des systèmes d’information (PMSI) ; fonctionnement d’outils d’aide au diagnostic médical ou à la prise en charge ; réalisation d’études de faisabilité (pré-screening). Essentiel : Le cloud souverain À noter que le référentiel ne s’applique qu’aux entrepôts de données de santé dont la constitution se fonde sur l’exercice d’une mission d’intérêt public, au sens de l’article 6-1-e du RGPD. Quelles données peuvent être conservées ? Le responsable de traitement ne peut collecter et traiter que : des données qui figurent dans le dossier médical et administratif ou dossier unique informatisé de la personne concernée, si leur collecte est justifiée par sa prise en charge ; des données issues de projets de recherches, études et évaluations dans le domaine de la santé précédemment réalisés et dont la durée de conservation n’a pas expiré. Certaines données directement identifiantes et administratives relatives aux patients (nom et prénoms ; sexe, genre, civilité ; jour, mois, date et lieu de naissance ; etc.) doivent être conservées dans un espace distinct des autres données. Des données, mais pour quoi faire ? À l’instar du RGPD, le présent référentiel considère que la finalité de l’utilisation de la donnée fonde son droit à être collectée et conservée. Ainsi, les données ne peuvent pas être collectées et/ou conservées : à des fins de promotions de produits de santé ou à des fins d’exclusion de garanties des contrats d’assurance (ni de modification de cotisations ou de primes d’assurance) uniquement afin d’alimenter l’entrepôt. La collecte doit être scientifiquement justifiée par la prise en charge sanitaire ou médico-sociale ou par la réalisation d’un projet de recherche, d’étude ou d’évaluation spécifique et prévue par un protocole. Les données directement identifiantes ne peuvent être réunies dans l’entrepôt que pour avertir une personne d’un risque sanitaire auquel elle est exposée ou pour recontacter les patients : pour leur proposer de participer à des études ou pour les informer régulièrement des projets de recherche réutilisant les données de l’entrepôt les concernant ; à la suite de découvertes de caractéristiques génétiques pouvant être responsables d’une affection justifiant des mesures de prévention ou de soins à leur bénéfice ou au bénéfice de leur famille ; à la suite de découvertes annexes liées à l’identification de facteurs de risques et/ou d’identification syndromiques à même de modifier leur prise en charge. S’agissant encore de ces “données directement identifiantes” (mentionnées au point 5.3.1.1 du référentiel), elles ne peuvent être utilisées que si les finalités du traitement le justifient. A titre d’exemple, le jour de naissance ne pourra être utilisé que s’il est nécessaire à la réalisation d’une recherche impliquant des personnes âgées de moins de deux ans. La pertinence des données comprises dans l’entrepôt doit être ré-évaluée régulièrement par la gouvernance de l’entrepôt, notamment au regard de l’utilisation qui en est faite pour les divers projets menés. Les données n’apparaissant plus nécessaires doivent être supprimées. Accès et durée de conservation des données L’accès et l’usage des données directement identifiantes doit être restreint aux finalités mentionnées plus haut et aux seules personnes chargées de la réalisation des opérations nécessaires à l’accomplissement de ces finalités. Peuvent être destinataires de données pseudonymisées strictement nécessaires à la réalisation des objectifs de leurs projets de recherche, d’étude ou d’évaluation validés par la gouvernance de l’entrepôt, les équipes de recherche internes ou externes au responsable de traitement, habilitées à cet effet. Lorsque les données font l’objet d’un processus d’anonymisation au sein d’un espace projet de l’entrepôt, les données anonymes en résultant peuvent être publiées ou transmises à tout destinataire. La durée de conservation des données de l’entrepôt de données de santé doit répondre aux exigences prévues à l’article 5.1.e du RGPD, c’est-à-dire que cette durée ne doit pas excéder celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques ou statistiques dans l’intérêt public, ou à des fins de recherche scientifique ou historique. Ceci étant, les données à caractère personnel et sensible (comptes rendus médicaux, données génétiques, habitudes de vie, etc.) peuvent être conservées 20 ans maximum à compter de leur collecte dans le cadre des soins ou des recherches. Les données directement identifiantes et administratives doivent être supprimées lorsque le délai de conservation des données à caractère personnel et sensible a expiré. Au-delà de ces durées, toute donnée doit être anonymisée ou détruite. Informer les patients, une obligation Les personnes doivent être informées par le ou les responsables de traitement que les données collectées lors de leur prise en charge sont versées au sein de l’entrepôt. La réutilisation des données ainsi que les modalités d’exercice des droits d’accès et d’opposition doivent être particulièrement mis en avant dans la note d’information. Ces mentions d’information doivent intégrer la politique de protection des données à caractère personnel du responsable de traitement et être présentées lors de la déclaration de conformité à la Cnil dans une section dédiée. Il est possible de déposer un recours pour déroger à l’obligation d’information individuelle. Cette exception peut être invoquée au regard du nombre de personnes concernées, de l’ancienneté des données, du coût et du temps de délivrance des informations. Le responsable de traitement doit alors rendre publiques les informations relatives à la constitution de l’entrepôt, sur son site web et/ou sur les réseaux sociaux, dans les médias régionaux, auprès des associations de patients et/ou en diffusant un communiqué de presse. En complément de l’information individuelle, le responsable de traitement diffuse une information générale, via une campagne d’information publique avant la mise en place de l’entrepôt. Ceci afin de garantir qu’une période de temps raisonnable (un mois environ) s’écoule entre la notification des patients et le commencement du traitement de leurs données, afin que ceux-ci puissent faire valoir leur droit d’opposition. La sécurité avant tout Alors qu’au premier semestre 2021, 295 signalements ont été traités par le CERT Santé, la cybersécurité est plus que jamais un sujet de préoccupation pour la Cnil. De manière générale, le responsable de traitement, ainsi que les sous-traitants auxquels il fait appel, doivent prendre toutes les précautions utiles au regard pour : préserver la sécurité des données à caractère personnel, notamment au moment de leur collecte, durant leur transmission et leur conservation, empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès (comme cela a été récemment le cas à l’AP-HP). Les mesures techniques et organisationnelles que le responsable de traitement doit adopter sont détaillées au point 10.2. du référentiel. En cas de recours à un prestataire, le contrat de sous-traitance doit spécifier la répartition des responsabilités relatives aux mesures de sécurité et à la gestion des violations de données entre les différents acteurs. Ce sous-traitant doit être un hébergeur de données de santé agréé ou certifié selon les dispositions du CSP (cf. notre étude de cas sur la collaboration entre Pulsy et Adista) La mise en place et le fonctionnement d’un entrepôt ne peut entrainer le transfert de données à caractère personnel, directement ou indirectement identifiantes hors de l’Union européenne ou à destination d’un pays ne disposant pas d’un niveau de protection adéquat. L’analyse d’impact Le responsable de traitement doit réaliser et documenter une analyse d’impact sur la protection des données. Cette étude, précise la Cnil, doit être menée lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. A cette fin, le responsable de traitement pourra se reporter aux outils méthodologiques proposés par la Cnil. Romain Bonfillon CNILDonnées de santéDonnées privéeshébergeursRèglementaireRGPD Besoin d’informations complémentaires ? Contactez le service d’études à la demande de mind À lire La CNIL propose une auto-évaluation de maturité en gestion de la protection des données La Cnil renforce l'accompagnement de quatre lauréats de son appel à projets données personnelles