La CNIL adopte un référentiel sur les entrepôts de données de santé

26 octobre 2021

La création d’un entrepôt de données de santé nécessite le respect de certaines formalités. La CNIL a adopté un nouveau référentiel pour simplifier les procédures en proposant un cadre adapté aux pratiques.

Les entrepôts de données de santé sont des bases de données destinées à être utilisées notamment à des fins de recherches, d’études ou d’évaluations dans le domaine de la santé. Ces traitements peuvent être soumis à l’autorisation de la CNIL.

Afin de simplifier les démarches pour les responsables de ces bases de données sensibles, tout en fournissant un encadrement juridique et technique rigoureux, la CNIL a lancé le 8 mars 2021 une consultation publique concernant un projet de référentiel.

À l’issue de cette consultation, à laquelle une quarantaine d’acteurs a participé, la CNIL a adopté un référentiel prenant en compte ces contributions.

À quoi sert ce référentiel ?

Le référentiel permet aux organismes voulant mettre en œuvre un entrepôt de données conforme au référentiel de ne pas solliciter d’autorisation préalable auprès de la CNIL : après vérification de la conformité de son projet d’entrepôt par rapport au référentiel, l’organisme peut déclarer sa conformité.

En interne, l’organisme responsable de ce traitement est tenu de documenter sa conformité au RGPD et au référentiel dans son registre des activités de traitement.

Quels types d’entrepôts sont couverts par le référentiel ?

Le référentiel entrepôt ne s’applique qu’aux entrepôts de données de santé reposant sur l’exercice d’une mission d’intérêt public, au sens de l’article 6.1.e du RGPD. L’entrepôt doit être nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi l’organisme responsable du traitement. Un établissement privé de soins mettant en œuvre un entrepôt de données de santé nécessaire à l'exécution d'une mission d'intérêt public pourra être couvert par le référentiel. Ce n’est pas le cas des entrepôts mis en œuvre par des entreprises privées à des fins de recherche sans exécution d’une mission d’intérêt public, sur le fondement de l’article 6.1.f du RGPD, par exemple.

Par ailleurs, certains entrepôts, tels que ceux reposant sur le recueil du consentement des personnes concernées ou ceux qui ont exclusivement pour objectif de dématérialiser les dossiers médicaux ne sont pas soumis à autorisation (article 65 de la loi Informatique et Libertés). Il est toutefois recommandé aux responsables de traitement d’appliquer les exigences du référentiel « entrepôt », à titre de bonne pratique.

Concernant les entrepôts de données de santé qui ne répondent pas aux critères du référentiel, les organismes doivent solliciter la CNIL afin d’obtenir une autorisation individuelle préalablement à la mise en œuvre de leur entrepôt.

Quel est le périmètre du référentiel entrepôt ?

Seule la constitution de l’entrepôt est couverte par l’engagement de conformité au référentiel. La réutilisation des données de l’entrepôt dans le cadre de recherches, d’études ou d’évaluations dans le domaine de la santé doit faire l’objet des formalités à part (exemples : engagement de conformité aux méthodologies de référence ou demande d’autorisation recherche).

Que faire si l’entrepôt envisagé n’est pas conforme au référentiel ?

La CNIL peut autoriser des traitements qui ne sont pas conformes au référentiel (ex. : base légale, durée de conservation des données, etc.). Dans cette hypothèse, il est conseillé à l’organisme qui sollicite une autorisation d’inclure dans son dossier un document au sein duquel il met en avant et justifie les écarts par rapport au référentiel.