Fil d ariane > Traitements de données de santé : comment faire la distinction entre un entrepôt et une recherche et quelles conséquences ?

Traitements de données de santé : comment faire la distinction entre un entrepôt et une recherche et quelles conséquences ?

02 mars 2023

Lorsque la création d’une base de données comportant des données de santé est envisagée, le responsable de traitement doit déterminer si elle permettra la réalisation ultérieure de plusieurs traitements (« entrepôt ») ou s’il s’agit d’une recherche, d’une étude ou d’une évaluation ponctuelle. En fonction de ce choix, le régime juridique et les formalités à accomplir sont différents.

Données de santé

Entrepôt ou projet de recherche : un raisonnement en deux temps et deux régimes juridiques distincts

Lorsque le responsable de traitement envisage la constitution d’une importante base de données et la réutilisation des données contenues (« entrepôt ») dans plusieurs projets de recherche, un raisonnement en deux temps doit être opéré car chaque traitement fait l’objet d’un régime juridique distinct :

  1. la création de l’entrepôt de données en tant que tel (c’est-à-dire la collecte et la conservation des données dans une base unique pendant une plus longue durée) ;
  2. les projets de recherches, d’études ou d’évaluations réalisés à partir des données conservées dans l’entrepôt par le même responsable de traitement ou d’autres organismes.

Le régime juridique pour la constitution de l’entrepôt de données de santé

Trois hypothèses doivent être envisagées :

  • le consentement explicite des personnes concernées par la collecte, l’enregistrement et la conservation des données de santé dans un entrepôt a été recueilli. Dans ce cas, aucune formalité n’est nécessaire mais le responsable de traitement devra tout de même être en mesure de démontrer la conformité de son traitement au RGPD (registre, analyse d’impact, etc.) ;  
  • le responsable de traitement réalise un engagement de conformité au référentiel sur les entrepôts de données de santé. La conformité au référentiel ne peut être invoquée que si l’entrepôt permet au responsable de traitement d’exercer une mission d’intérêt public (base légale du traitement) et si le traitement envisagé est conforme en tous points au référentiel ;
  • si le responsable de traitement ne remplit aucune de deux conditions présentées ci-dessus, le traitement relatif à la constitution de l’entrepôt doit faire l’objet d’une demande d’autorisation « santé » (hors recherche) auprès de la CNIL.

Dans tous les cas, une analyse d’impact sur la protection des données (AIPD) devra être réalisée par le responsable de traitement. Cette analyse devra alors être transmise avec le dossier de demande d’autorisation adressé à la CNIL.

Le régime juridique pour la réutilisation des données issues de l’entrepôt à des fins de recherches, d’études ou d’évaluations à partir des données conservées dans l’entrepôt

Chaque projet de recherche, d’étude ou d’évaluation dans le domaine de la santé devra être mené en conformité avec les dispositions applicables à ces catégories de traitement et faire l’objet d’un engagement de conformité à une méthodologie de référence (procédure simplifiée) ou, à défaut de conformité avec l’un de ces référentiels, d’une demande d’autorisation recherche auprès de la CNIL.

Pour en savoir plus : Recherche médicale : quel est le cadre légal ?

À noter :

  • le recueil du consentement exprès, l’autorisation ou l’engagement de conformité au référentiel « entrepôt » ne dispensent pas de la réalisation de formalités spécifiques pour chaque réutilisation des données à des fins de recherche, d’étude ou d’évaluation ;
  • il est conseillé de mettre en place, dès la conception de l’entrepôt, des modalités facilitant la réalisation de l’information individuelle des personnes concernées, notamment telles que prévues à la MR-004 (voir également ci-dessous).

Récapitulatif : quel est le régime juridique associé à chaque traitement ?

 

[Infographie] Traitements des données de santé - quel régime juridique pour chaque traitement ?

Comment faire la distinction entre un « entrepôt de données de santé » et une « recherche » ?

L’entrepôt vise à collecter des données massives sur une période prolongée pour une réutilisation des données dans plusieurs projets de recherche. La recherche, qui prévoit une collecte de données particulières, répond à un objectif scientifique précis et est limitée dans le temps.

L’entrepôt de données

Les entrepôts de données sont créés principalement pour collecter et disposer de données massives (données relatives à la prise en charge médicale du patient, données socio-démographiques, données issues de précédentes recherches, registre de pathologies, etc.).

Ces données sont ensuite réutilisées, la plupart du temps partiellement, à des fins d’études, de recherches et d’évaluations dans le domaine de la santé.

Ces bases de données sont constituées pour une longue durée (au moins 10 ans en général) et l’objectif est d’obtenir un volume de données important. Elles peuvent être alimentées par de multiples sources (professionnels de santé, patients, pharmacie, établissements de santé, etc.).

Cette approche a été retenue par la CNIL dans certains cas, par exemple :  

Elle permet, dans un cadre protecteur et conforme à la loi Informatique et Libertés et au RGPD (notamment par le principe de minimisation des données, de l’information des personnes, etc.), la constitution d’importantes bases de données.

La recherche, étude ou évaluation dans le domaine de la santé

C’est un traitement de données qui poursuit une finalité précise et répond à une question scientifique déterminée et ponctuelle. La durée de la recherche est limitée et connue. Les données sont collectées spécifiquement pour les besoins de la recherche.

À titre d’exemple :

  • un entrepôt peut être constitué afin de recenser tous les cas de grippe dans une région, au fur et à mesure et sur plusieurs années ;
  • les données de cet entrepôt peuvent ensuite être réutilisées dans le cadre de recherches précises, par exemple afin d’estimer les facteurs de risques et le profil des patients contractant la grippe sur une période donnée.

À noter :

  • les cohortes prévoyant un suivi longitudinal, dans une durée limitée, portant sur une thématique précise et ayant des destinataires limités sont des recherches et relèvent des dispositions spécifiques qui leur sont applicables ;
  • la réutilisation des données issues d’une « recherche » est possible ponctuellement, à condition que le nouveau responsable de traitement respecte les dispositions « recherche », en particulier l’information des personnes, et les formalités correspondantes (voir ci-dessus).

Comment procéder en cas de doute ?                                       

Certains projets seront parfois plus difficiles à qualifier (par exemple une base de données sur une pathologie précise). Dans cette hypothèse, le responsable de traitement devra se poser principalement les questions suivantes, en lien avec son délégué à la protection des données s’il a été désigné :

  • La base de données va-t-elle servir à la réalisation de plusieurs traitements présentant des finalités distinctes ?
  • La base de données est-elle constituée pour une durée longue (par exemple : 10 ans) ?
  • La base sera-t-elle alimentée au fil de l’eau ?
  • Y a-t-il un objectif de recherche suffisamment précis pour qualifier le traitement en tant que « recherche » ?

Le service santé de la CNIL peut également vous aider, notamment lors de la permanence téléphonique.

Comment informer les personnes et quels sont leurs droits ?

S’agissant des entrepôts

Les personnes concernées par la conservation de leurs données dans un entrepôt doivent disposer d’une information individuelle complète, claire et lisible spécifiquement relative à la constitution de l’entrepôt.

Consulter la fiche « Traitement de données de santé : comment informer les personnes concernées ? »

Elles doivent pouvoir exercer de manière effective leurs droits notamment les droits d’accès, de rectification et d’opposition et, le cas échéant, de droit à la portabilité.

Consulter la fiche « Respecter les droits des personnes »

S’agissant des recherches

Conformément à la loi, les personnes doivent être informées individuellement de chaque projet de recherche mené à partir des données contenues dans l’entrepôt.

Les responsables de traitement doivent mettre en œuvre dès la constitution de l’entrepôt des mesures permettant de garantir la protection des droits des personnes, conformément au RGPD (« protection des données dès la conception et protection des données par défaut »). Ils sont encouragés à mettre en place des dispositifs innovants permettant l’information des personnes et l’exercice de leurs droits.

À titre d’exemple, en matière d’information des personnes, la méthodologie de référence MR-004 prévoit la possibilité d’un aménagement de l’information des personnes en permettant le renvoi à un dispositif d’information (par exemple : site web), dès lors que les personnes en ont été préalablement individuellement informées.

Un organisme peut-il créer un entrepôt comportant des données du Système national des données de santé (SNDS) ?

Depuis la loi du 24 juillet 2019 relative à l'organisation et à la transformation du système de santé, la CNIL peut autoriser la constitution d’entrepôts contenant des données du SNDS (seules ou appariées avec des données issues d’autres traitements).

La CNIL a par exemple autorisé plusieurs entrepôts comportant des données du « SNDS historique » (notamment issues du Système national d'information inter-régimes de l'Assurance maladie (SNIIRAM), du Programme de Médicalisation des Systèmes d'Information (PMSI) et du Centre d'épidémiologie sur les causes médicales de décès (CépiDc)) :

La CNIL est particulièrement vigilante au strict respect des principes liés à la protection des données, notamment minimisation, information des personnes, destinataires et accédants, durées de conservations, encadrement de la réutilisation des données, sécurité des données.

À noter : une demande d’autorisation doit systématiquement être déposée auprès de la CNIL lorsque l’entrepôt comporte des données du SNDS, même lorsque le consentement des personnes concernées a été recueilli.

 
Texte reference

Pour approfondir

> Recherche médicale : quel est le cadre légal ?
> La CNIL adopte un référentiel sur les entrepôts de données de santé
> Demande d’autorisation d’une recherche en santé : les informations à fournir et les critères d’octroi
> Demande d’autorisation dans le domaine de la santé (hors recherche) : les informations à fournir et les critères d’octroi
Texte reference

Les textes de référence

> Article 65 et suivants de la loi Informatique et Libertés
> Article 1461-1 et suivants du code de la santé publique
> Délibération de la CNIL n° 2016-333 du 10 novembre 2016
> Délibération n° 2018-155 du 3 mai 2018 (MR-004)
> Article L. 1461-3 III du code de la santé publique
> Délibération n° 2019-008 du 31 janvier 2019
> Loi 24 juillet 2019 relative à l'organisation et à la transformation du système de santé
> Délibération n° 2021-118 du 7 octobre 2021 portant adoption d'un référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de création d'entrepôts de données dans le domaine de la santé - Légifrance

Les mots clés associés à cet article

Ceci peut également vous intéresser ...

Découvrez les chercheuses et chercheurs présents à la deuxième édition du Privacy Research Day
Le Privacy Research Day sera l’occasion d’assister aux présentations de chercheuses et chercheurs internationaux. Découvrez leurs biographies.
07 juin 2023
Données de santé
Fusion de la carte Vitale et de la carte d’identité : les points d’attention de la CNIL ...
30 mai 2023
Données de santé et utilisation des cookies : DOCTISSIMO sanctionné par une amende de 380 000 euros
La CNIL a prononcé une sanction de 380 000 euros à l’encontre de la société DOCTISSIMO pour avoir manqué à des obligations du RGPD, notamment celle de recueillir le ...
17 mai 2023