Fil d ariane > Traitements de données de santé : comment faire la distinction entre un entrepôt et une recherche et quelles conséquences ?

Traitements de données de santé : comment faire la distinction entre un entrepôt et une recherche et quelles conséquences ?

28 novembre 2019

Lorsque la création d’une base de données comportant des données de santé est envisagée, le responsable de traitement doit déterminer si elle permettra la réalisation ultérieure de plusieurs traitements (« entrepôt ») ou s’il s’agit d’une recherche, étude ou évaluation ponctuelle. En fonction de ce choix, le régime juridique et les formalités à accomplir sont différents.

Données de santé

Entrepôt ou projet de recherche : un raisonnement en deux temps et deux régimes juridiques distincts

Lorsque le responsable de traitement envisage la constitution d’une importante base de données et la réutilisation des données contenues (« entrepôt ») dans plusieurs projets de recherche, un raisonnement en deux temps doit être opéré car chaque traitement fait l’objet d’un régime juridique distinct :

  1. la création de l’entrepôt de données en tant que tel (c’est-à-dire la collecte et la conservation des données dans une base unique pendant une longue durée) ;
  2. les projets de recherches, études ou évaluations réalisés à partir des données conservées dans l’entrepôt par le même responsable de traitement ou d’autres organismes.

Le régime juridique pour la constitution de l’entrepôt de données de santé

Deux hypothèses doivent être envisagées :

  • Le consentement explicite des personnes concernées par la collecte, l’enregistrement et la conservation des données de santé dans un entrepôt a été recueilli ; Dans ce cas, aucune formalité n’est nécessaire mais le responsable de traitement devra tout de même être en mesure de démontrer la conformité de son traitement au RGPD (registre, analyse d’impact, etc.) ;  
  • Si le consentement explicite des personnes concernées n’est pas recueilli, le traitement relatif à la constitution de l’entrepôt doit faire l’objet d’une demande d’autorisation « santé » (hors recherche) et la finalité poursuivie doit revêtir un caractère d’intérêt public.

Pour en savoir plus : Déclarer un fichier à la CNIL.

Dans tous les cas, une analyse d’impact sur la protection des données (AIPD) devra être réalisée par le responsable de traitement. Cette analyse devra alors être transmise avec le dossier de demande d’autorisation adressé à la CNIL.

Le régime juridique pour la réutilisation des données issues de l’entrepôt à des fins de recherches, études ou évaluations à partir des données conservées dans l’entrepôt

Chaque projet de recherche devra être mené en conformité avec les dispositions relatives aux recherches et faire l’objet d’un engagement de conformité à une méthodologie de référence (procédure simplifiée) ou, à défaut de conformité avec l’un de ces référentiels, d’une demande d’autorisation recherche.

Pour en savoir plus : Recherche médicale : quel est le cadre légal ?

À noter :

  • le recueil du consentement exprès ne dispense pas de la réalisation des formalités en matière de recherches, pour lesquels un régime de formalités particulier est prévu par la loi ;
  • les modalités d’aménagement de l’information individuelle des personnes telles que prévues à la MR-004 peuvent être envisagées dès la constitution de l’entrepôt (voir également ci-dessous).

Récapitulatif : quel est le régime juridique associé à chaque traitement ?

Traitement des données de santé - quel régime juridique ?

Comment faire la distinction entre « entrepôt de données de santé » et une « recherche » ?

La distinction est, la plupart du temps, facile à déterminer. L’entrepôt collecte des données massives pour une réutilisation des données en vue de plusieurs projets de recherche alors que la recherche répond à un objectif précis et est limitée dans le temps.

L’entrepôt de données

Les entrepôts de données sont créés principalement pour collecter et disposer de données massives (données relatives à la prise en charge médicale du patient, données socio-démographiques, données issues de précédentes recherches etc.).

Ces données sont ensuite réutilisées, principalement à des fins d’études,  de recherches et d’évaluations dans le domaine de la santé.

Ces bases de données sont constituées pour une longue durée (plus de 10 ans en général) et l’objectif est d’obtenir un volume de données important. Elles peuvent être alimentées par de multiples sources (professionnels de santé, patients, pharmacie, établissements de santé, etc.).

Cette approche a été retenue par la CNIL dans certains cas, par exemple :  

Elle permet, dans un cadre protecteur et conforme à la loi « Informatique et Libertés » et au RGPD (notamment par le principe de minimisation des données, de l’information des personnes, etc.), la constitution d’importantes bases de données.

La recherche, étude ou évaluation dans le domaine de la santé

C’est un traitement de données qui poursuit une finalité précise et répond à une question spécifique et ponctuelle. La durée de la recherche est limitée et connue. Les données sont collectées spécifiquement pour les besoins de la recherche.

À noter :

  • les cohortes prévoyant un suivi longitudinal, dans une durée limitée, portant sur une thématique précise et ayant des destinataires limités sont des recherches et relèvent des dispositions spécifiques qui leurs sont applicables ;
  • la réutilisation des données issues d’une « recherche » est possible ponctuellement, à condition que le nouveau responsable de traitement respecte les dispositions « recherche », en particulier l’information des personnes, et les formalités correspondantes (voir ci-dessus).

Comment procéder en cas de doute ?                                       

Certains projets seront parfois plus difficiles à qualifier (par exemple une base de données sur une pathologie précise). Dans cette hypothèse, le responsable de traitement devra se poser principalement les questions suivantes, en lien avec son délégué à la protection des données s’il a été désigné :

  • La base de données va-t-elle servir à la réalisation de plusieurs traitements présentant des finalités distinctes ?
  • La base de données est-elle constituée pour une durée longue (par exemple : plus de 10 ans) ?
  • Y-a-t-il un objectif de recherche suffisamment précis pour qualifier le traitement en tant que « recherche » ?

Le service santé de la CNIL peut également vous aider, notamment lors des permanences santé.

Comment informer les personnes et quels sont leurs droits ?

S’agissant de l’entrepôt

Les personnes concernées par la conservation de leurs données dans un entrepôt doivent disposer d’une information individuelle complète, claire et lisible spécifiquement relative à la constitution de l’entrepôt.

Consulter la fiche « Traitement de données de santé : comment informer les personnes concernées ? »

Elles doivent pouvoir exercer de manière effective leurs droits notamment les droits d’accès, de rectification et d’opposition et le cas échéant, portabilité.

Consulter la fiche « Respecter les droits des personnes »

S’agissant des traitements à des fins de recherches

Conformément à la loi, les personnes doivent être informées individuellement de chaque projet de recherche mené sur la base de l’entrepôt.

Les responsables de traitement doivent mettre en œuvre dès la constitution de l’entrepôt des mesures permettant de garantir la protection des droits des personnes, conformément au RGPD (« protection des données dès la conception et protection des données par défaut ») et sont encouragés à mettre en place des dispositifs innovants permettant l’information des personnes et l’exercice de leurs droits.

A titre d’exemple, en matière d’information des personnes, la méthodologie de référence MR-004 prévoit la possibilité d’un aménagement de l’information des personnes en permettant le renvoi à un dispositif d’information (par exemple : site Internet), dès lors que les personnes en ont été préalablement individuellement informées :

Un organisme peut-il créer un entrepôt comportant des données du Système national des données de santé (SNDS) ?

Avant la loi 24 juillet 2019 relative à l'organisation et à la transformation du système de santé, seuls les organismes disposant d’un accès permanent aux données du SNDS et chargés d’une mission de service public, conformément au Code de la santé publique, étaient autorisés à constituer des entrepôts contenant des données du SNDS.

Cette nouvelle loi permettra à la CNIL, notamment lorsque les textes réglementaires d’application auront été publiés, d’autoriser des entrepôts de données comportant des données du SNDS, pour tout traitement présentant un caractère d’intérêt public.

La CNIL sera particulièrement vigilante au strict respect des principes liés à la protection des données – à savoir les principes de minimisation, des durées de conservation et des destinataires des données – tout comme aux aspects de sécurité des données.

 
Texte reference

Les textes de référence

> Article 65 et suivants de la loi « Informatique et Libertés »
> Article 1461-1 et suivants du code de la santé publique
> Délibération de la CNIL n° 2016-333 du 10 novembre 2016
> Délibération n° 2018-155 du 3 mai 2018 (MR-004)
> Article L. 1461-3 III du code de la santé publique
> Délibération n° 2019-008 du 31 janvier 2019
> Loi 24 juillet 2019 relative à l'organisation et à la transformation du système de santé
> Délibération de la CNIL n° 2017-013 du 19 janvier 2017 autorisant l’Assistance publique – Hôpitaux de Paris à mettre en œuvre un traitement automatisé de données à caractère personnel
> Délibération n°2018-295 du 19 juillet 2018 autorisant le Centre Hospitalier Universitaire de Nantes à mettre en œuvre un traitement automatisé de données à caractère personnel
> Délibération n° 2017-285 du 26 octobre 2017 autorisant la société OpenHealth Company à mettre en œuvre un traitement automatisé de données à caractère personnel
> Délibération n° 2018-289 du 12 juillet 2018 autorisant la société IQVIA Opérations France à mettre en œuvre un traitement automatisé de données à caractère personnel
Texte reference

Pour approfondir

> Recherche médicale : quel est le cadre légal ?

Les mots clés associés à cet article

Ceci peut également vous intéresser ...

Privacy Research Day : retrouvez l'évènement en vidéo
La CNIL publie la rediffusion du Privacy Research Day, la première conférence internationale et interdisciplinaire de la commission, qui a eu lieu le 28 juin à Paris et en ...
30 juin 2022
Privacy Research Day - FR
Privacy Research Day : découvrez le programme de la première conférence académique de la CNIL
30 mai 2022
Prix Inria-CNIL 2022
Prix CNIL-Inria 2021 : des chercheurs européens récompensés pour leurs travaux sur la protection ...
24 mai 2022