Le 7 octobre dernier, la Commission nationale de l’informatique et des libertés (« CNIL ») a adopté un référentiel relatif aux traitements de données personnelles mis en œuvre à des fins de création d’entrepôts de données dans le domaine de la santé. Sa délibération n°2021-118 portant adoption de ce référentiel a été publiée au Journal officiel le 24 octobre dernier.
Champ d’application du référentiel
Le référentiel précise le cadre juridique applicable aux entrepôts de données de santé dont la constitution se fonde sur l’exercice d’une mission d’intérêt public, au sens de l’article 6-1-e du Règlement général sur la protection des données (« RGPD »). Il s’adresse aux responsables de traitement qui souhaitent, dans le cadre d’une mission d’intérêt public, réunir des données en vue de leur réutilisation aux fins prévues à son article 3.1, incluant le fonctionnement d’outils d’aide au diagnostic médical ou à la prise en charge et la réalisation d’études de faisabilité.
L’article 1er du référentiel comporte une liste de traitements auxquels le référentiel ne s’applique pas, laquelle inclut les entrepôts de données mis en œuvre par une société privée sur le fondement de son intérêt légitime.
Des questions ne manqueront pas de se poser quant à l’interprétation de la notion de mission d’intérêt public pour un certain nombre d’organisations, par exemple privés mais pouvant participer à une mission d’intérêt public. De même une co-responsabilité de traitement (ce qui peut être le cas pour des entrepôts) assurée par un organisme qui exerce alors une mission d’intérêt public et un organisme privé permettrait-elle de relever de ce nouveau référentiel ?
Obligations des responsables de traitement
Le référentiel détaille notamment les données pouvant être collectées et traitées, dont l’INS, leur durée de conservation ainsi que les informations devant être fournies aux personnes concernées selon que les données sont issues de dossiers médicaux ou de recherches et pour la première catégorie, selon que l’information est réalisée au moment de la constitution de l’entrepôt, auprès de patients admis ou réadmis après la constitution de l’entrepôt ou de patients admis antérieurement à la constitution et qui ne sont plus suivis.
Il traite également des mesures de sécurité devant être appliquées et contient, à ce sujet, une liste non exhaustive de mesures techniques et organisationnelles que le responsable de traitement doit adopter. De manière générale, ce dernier et les sous-traitants auxquels il fait appel doivent prendre toutes les précautions utiles au regard des risques présentés par le traitement pour préserver la sécurité des données personnelles et notamment empêcher qu’elles soient endommagées, déformées ou que des tiers non autorisés y aient accès.
Le référentiel rappelle, en outre, que le recours à des sous-traitants doit s’effectuer dans le respect de l’article 28 du RGPD.
Par ailleurs, le responsable de traitement doit réaliser et documenter une analyse d’impact sur la protection des données, conformément à l’article 35 du RGPD.
L’organisation de la gouvernance de l’entrepôt reste un point important.
Formalisme
Enfin, si le traitement de données personnelles est conforme au référentiel, le responsable de traitement pourra mettre en œuvre un entrepôt de données de santé après avoir préalablement adressé à la CNIL une déclaration attestant de cette conformité. A défaut, le traitement devra faire l’objet d’une demande d’autorisation spécifique auprès de la CNIL, conformément à l’article 66 III de la Loi informatique et libertés modifiée.
Nous aborderons ce sujet en profondeur lors de la formation « Entrepôt de données de santé / recherche : quelle articulation ? » qui sera délivrée le 9 novembre 2021. Pour plus d’informations et/ou pour vous inscrire, cliquez ICI.