La CNIL a adopté, le 7 octobre 2021 [1], un référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de création d’entrepôts de données dans le domaine de la santé. En complément, la CNIL propose aujourd’hui une check-list de conformité à ce référentiel.
Alors que le référentiel concerne les personnes publiques, la CNIL précise que cette check-list peut être utilisée par tout acteur souhaitant constituer un entrepôt de données dans le domaine de la santé. A cet effet, elle spécifie expressément que le référentiel est un outil pédagogique posant un cadre de bonnes pratiques auxquelles les responsables de traitement peuvent se référer. La check-list peut donc être utilisée comme un outil en dehors du cadre juridique du référentiel.
La check-list a notamment pour objectif d’aider les responsables de traitement à vérifier facilement leur conformité au référentiel.
Pour ce faire, la check-list reprend les différentes exigences du référentiel, auxquelles le responsable de traitement doit répondre par « vrai » ou « faux ».
Toute réponse négative (« faux ») à l’une des questions signifie que le traitement envisagé n’est pas conforme au référentiel.
En outre, tout traitement qui ne respecte pas l’ensemble des exigences définies par le référentiel doit faire l’objet d’une autorisation spécifique par la CNIL afin d’être mis en œuvre. L’autorisation ne pourra être délivrée que si le traitement est suffisamment protecteur des données des personnes concernées, conformément aux dispositions de l’article 66 III de la loi « informatique et libertés », et si des mesures supplémentaires sont mises en œuvre afin de compenser les points de non-conformité au référentiel (p. ex. : collecte de données directement nominatives ou transferts de données hors de l’Union européenne ou à destination d’un pays ne disposant pas d’un niveau de protection adéquat).
[1] Délibération n° 2021-118 du 7 octobre 2021 portant adoption d’un référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de création d’entrepôts de données dans le domaine de la santé