Qui peut réellement bénéficier du référentiel des entrepôts de données de santé ?

La CNIL a publié le 17 novembre 2021 son référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de création d’entrepôts de données dans le domaine de la santé permettant de bénéficier de la procédure simplifiée de déclaration auprès de la CNIL. A la lecture de ce référentiel, la question qui se pose est celle du périmètre des acteurs qui pourront réellement en bénéficier. Cette question est légitime au regard des conditions très restrictives qui ne pourront pas être appliquées par tous les organismes

En effet, la première exigence, et non des moindres, implique que le responsable de l’entrepôt de données de santé fonde son traitement uniquement sur la base légale de « l’exercice d’une mission d’intérêt public[1] ». Cette base légale ne doit pas être confondue avec la condition de « finalité d’intérêt public » visés à l’article 66.1 de la Loi Informatique et Libertés (ci-après « LIL ») imposée à tous les traitements mis en œuvre dans le domaine de la santé selon les dispositions spécifiques de la LIL.

Les personnes qui peuvent se fonder sur ce référentiel sont principalement les autorités publiques chargées de l’exercice d’une mission d’intérêt public opérant dans le domaine de la santé. Mais, les personnes de droit privé peuvent également fonder leur traitement sur cette base légale à la suite d’une délégation de service public ou encore les établissements privés de santé. En outre, la CNIL indique de façon très lacunaire que ce référentiel s’applique aux entrepôts mis en œuvre par des responsables conjoints sans préciser si, pour se prévaloir du référentiel, les deux responsables conjoints ou seulement l’un d’eux devront être investis d’une mission d’intérêt public.

Ainsi, ce référentiel est limité aux seuls entrepôts pour lesquels le responsable de traitement peut fonder son traitement sur l’exercice d’une mission d’intérêt public. En imposant cette première exigence, la CNIL exclut de facto de nombreux autres entrepôts de données de santé. En raison de ces conditions restrictives d’application, ce référentiel ne pourra être invoqué par l’ensemble des responsables de traitement. 

Toutefois, ce référentiel reste un cadre de conformité sur lequel ces responsables de traitement pourront s’appuyer pour démontrer leur conformité. Plus précisément, ces derniers pourront réaliser un entrepôt de données sur l’un des deux fondements suivants.

D’une part, ils pourront déposer une demande d’autorisation auprès de la CNIL avant la constitution de l’entrepôt de données de santé[2]. Ce traitement devra présenter une finalité d’intérêt public. La demande d’autorisation devra comprendre l’ensemble des informations nécessaires à la CNIL pour analyser le traitement[3]. La CNIL dispose alors d’un délai de 2 mois prolongeable une fois[4], pour se prononcer sur la demande d’autorisation. En l’absence de réponse de la part de la CNIL à l’issue de ce délai, la demande d’autorisation sera réputée favorable. 

D’autre part, les entrepôts de données de santé dont le traitement est fondé sur le consentement des personnes concernées[5] n’ont pas à faire l’objet de formalité préalable auprès de la CNIL[6]. Cependant, le consentement devra être une manifestation de volonté « libre, spécifique, éclairée et univoque[7] » par laquelle cette personne accepte les traitements de ses données. Ce consentement devra également être présenté sous une forme compréhensible, aisément accessible et pouvant être retiré à tout moment[8]. En pratique, les conditions de validité du consentement et la possibilité pour la personne concernée de le retirer à tout moment limite l’intérêt pratique de ce fondement pour réaliser cet entrepôt de données. 

Dès lors, pour les organismes expressément exclus de l’application du référentiel, ce document reste un cadre de référence qui leur permettra de démontrer la conformité de leurs traitements. En effet, la CNIL rappelle dans ce référentiel que les principes et les mesures posés par ce référentiel « peuvent s’appliquer à l’ensemble des traitements de données de santé de même nature, indépendamment de leur encadrement juridique ». En particulier, le responsable de traitement pourra utiliser ce référentiel lors de la réalisation de son analyse d’impact afin de s’assurer que le traitement envisagé présente le moins de risque possible pour les droits et libertés des personnes concernées.

À suivre...

Les auteurs

Forte d’une solide formation en droit des TIC, Laurence Huin a développé une expertise juridique et technique en matière de projets numériques.
Elle rejoint le Cabinet Houdart & Associés en septembre 2020 et est associée au sein du pôle Santé numérique.
Elle est ainsi régulièrement sollicitée auprès des acteurs du numérique pour les conseiller et les assister dans leurs problématiques contractuelles et pré-contentieuses (mise en conformité à la réglementation en matière de données personnelles, rédaction et négociation de contrats sur des projets, sécurisation juridique de projets, régulation des contenus et e-reputation). cabinet@houdart.org | www.houdart.org 

Adriane Louyer a travaillé au sein de cabinets d’avocats et de plusieurs administrations publiques. Elle dispose de compétences en droit administratif et a développé une expertise juridique en droit des données dans le secteur public (droit des données personnelles, open data, droit d’accès aux documents administratifs).
Elle rejoint le cabinet Houdart & Associés en 2021 au sein du pôle santé numérique, où elle conseille et assiste les établissements publics et privés du secteur sanitaire et médico-social en droit du numérique. cabinet@houdart.org | www.houdart.org 

[1] Article 6.1 e) du RGPD 

[2] Article 66, III de la LIL

[3] Article 33 et 66.III de la LIL 

[4] Article 66, V. de la LIL

[5] Article 9.2. a) du RGPD

[6] Article 65 de la LIL

[7] Article 4.11 du RGPD

[8] Article 7 du RGPD