Traitements de données de santé : comment faire la distinction entre un entrepôt et une recherche et quelles conséquences ?
Lorsque la création d’une base de données comportant des données de santé est envisagée, le responsable de traitement doit déterminer si elle permettra la réalisation ultérieure de plusieurs traitements (« entrepôt ») ou s’il s’agit d’une recherche, étude ou évaluation ponctuelle. En fonction de ce choix, le régime juridique et les formalités à accomplir sont différents.

Entrepôt ou projet de recherche : un raisonnement en deux temps et deux régimes juridiques distincts
Lorsque le responsable de traitement envisage la constitution d’une importante base de données et la réutilisation des données contenues (« entrepôt ») dans plusieurs projets de recherche, un raisonnement en deux temps doit être opéré car chaque traitement fait l’objet d’un régime juridique distinct :
- la création de l’entrepôt de données en tant que tel (c’est-à-dire la collecte et la conservation des données dans une base unique pendant une longue durée) ;
- les projets de recherches, études ou évaluations réalisés à partir des données conservées dans l’entrepôt par le même responsable de traitement ou d’autres organismes.
Le régime juridique pour la constitution de l’entrepôt de données de santé
Deux hypothèses doivent être envisagées :
- Le consentement explicite des personnes concernées par la collecte, l’enregistrement et la conservation des données de santé dans un entrepôt a été recueilli ; Dans ce cas, aucune formalité n’est nécessaire mais le responsable de traitement devra tout de même être en mesure de démontrer la conformité de son traitement au RGPD (registre, analyse d’impact, etc.) ;
- Si le consentement explicite des personnes concernées n’est pas recueilli, le traitement relatif à la constitution de l’entrepôt doit faire l’objet d’une demande d’autorisation « santé » (hors recherche) et la finalité poursuivie doit revêtir un caractère d’intérêt public.
Pour en savoir plus : Déclarer un fichier à la CNIL.
Dans tous les cas, une analyse d’impact sur la protection des données (AIPD) devra être réalisée par le responsable de traitement. Cette analyse devra alors être transmise avec le dossier de demande d’autorisation adressé à la CNIL.
Le régime juridique pour la réutilisation des données issues de l’entrepôt à des fins de recherches, études ou évaluations à partir des données conservées dans l’entrepôt
Chaque projet de recherche devra être mené en conformité avec les dispositions relatives aux recherches et faire l’objet d’un engagement de conformité à une méthodologie de référence (procédure simplifiée) ou, à défaut de conformité avec l’un de ces référentiels, d’une demande d’autorisation recherche.
Pour en savoir plus : Recherche médicale : quel est le cadre légal ?
À noter :
- le recueil du consentement exprès ne dispense pas de la réalisation des formalités en matière de recherches, pour lesquels un régime de formalités particulier est prévu par la loi ;
- les modalités d’aménagement de l’information individuelle des personnes telles que prévues à la MR-004 peuvent être envisagées dès la constitution de l’entrepôt (voir également ci-dessous).