Référentiel sur le traitement de données des entrepôts de données

Le référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de création d’entrepôts dans le domaine de la santé adopté par la Commission nationale de l’informatique et des libertés (Cnil) en octobre encadre les traitements de données à caractère personnel au sein des entrepôts de santé. Seules des fins de recherche ou d’évaluation en santé, de production d’indicateurs et de pilotage stratégique de l’activité d’un établissement ou d’un centre où s’exercent des activités de prévention, de diagnostic et de soins, d’amélioration de la qualité de l’information médicale et d’aide au diagnostic médical ou à la prise en charge des patients peuvent présider à la création de tels entrepôts.

Le référentiel précise le cadre juridique, issu du règlement général sur la protection des données (RGPD) et des dispositions nationales, applicable aux entrepôts de données de santé. Il constitue une aide à la réalisation de l’analyse d’impact relative à la protection des données (AIPD) que les responsables de traitement concernés doivent mener.

Il rappelle également les usages possibles des données et la gouvernance spécifique nécessaire. Le référentiel liste les données à caractère personnel pouvant être incluses dans l’entrepôt, les destinataires des informations et la durée de conservation de ces dernières. Il détaille également les réglementations en termes d’information des patients, énumère les droits dont ils disposent et expose les mesures de sécurité à adopter dans le traitement de ces données.

Le texte du référentiel avait été soumis en mars dernier à consultation publique sous la forme d’un projet.