Modalités d’information : le référentiel entrepôts donnés de santé riche d’enseignements

Le référentiel sur les entrepôts de données de santé publié récemment par la CNIL est riche d’enseignements sur les modalités d’information préalable des personnes concernées. A titre liminaire, il convient de préciser que ne seront analysées ci-dessous que les modalités d’information des patients et non l’information des professionnels de santé. 

Tout d’abord, le référentiel revient sur les modalités d’information que les responsables de traitement devront fournir aux personnes concernées : une information concise, transparente, compréhensive et facilement accessible[2] sur le traitement. Ce rappel est important car ces responsables de traitements seront amenés à traiter les données personnelles d’un public très large, comprenant des personnes fragiles et vulnérables. Ils devront donc faire preuve de pédagogie pour expliquer aux patients en quoi consiste le traitement envisagé.

De manière plus singulière, la CNIL apporte des précisions sur l’exception à l’obligation d’information individuelle prévue par le RGPD.

Dans son référentiel, la CNIL indique que le responsable de traitement qui procède à une collecte indirecte de données pourra faire valoir l’exception [3] et déroger à l’obligation d’informer individuellement les personnes concernées. Pour les entrepôts de données de santé, la CNIL envisage cette dérogation dans trois cas : 

• la collecte indirecte de données issues de dossiers des patients avant la mise en œuvre de l’entrepôt de données et n’étant plus suivis ;
• la réutilisation de données de personnes ayant participé à des recherches ;
• la réutilisation de données conservées dans l’entrepôt à des fins de recherche, d’étude ou d’évaluation. 

Dans les deux premiers cas, la CNIL considère que seule l’exception d’un effort disproportionné pourra être invoqué par le responsable de traitement. A l’inverse, pour les traitements de données à des fins ultérieures de recherche, d’étude ou d’évaluation, le responsable de traitement pourra solliciter soit l’impossibilité d’informer les patients, soit l’effort disproportionné. Cependant, la CNIL précise dans ce référentiel que l’exception à l’obligation individuelle en raison d’un effort disproportionné ne sera justifiée que dans de très rare cas sauf, par exemple, pour les personnes pour lesquelles le responsable de traitement dispose d’un dossier médical mais qui ne sont plus suivies au sein de l’établissement. De même, les conditions très restrictives établies par le CEPD sur l’impossibilité d’informer les patients limitent très fortement les cas dans lesquelles cette exception pourra être invoquée. 

Dans l’hypothèse où le responsable de traitement estime pouvoir se prévaloir de l’exception à son obligation d’information individuelle, il devra néanmoins :

• rendre les informations publiquement disponibles ;
• détailler précisément dans l’AIPD la justification de cet effort disproportionné ou de l’impossibilité de réaliser une information individuelle ainsi que les garanties mises en œuvre. 

Enfin, pour la toute première fois, la CNIL impose expressément aux responsables de traitement de réaliser, dans tous les cas, une information générale en complément d’une information individuelle des personnes concernées avant la mise en place de ce traitement. Or, une telle obligation ne figure pas dans les lignes directrices sur la transparence du CEPD. Cette obligation à la charge du responsable de traitement interroge sur les canaux de communication qui devront être utilisés et sur l’échelle territoriale adéquate. En effet, l’ensemble de ces personnes concernées par ce traitement ne s’informent pas toutes de la même façon. Aussi, pour délivrer cette information à un maximum de personnes concernées, le responsable de traitement devra réaliser une communication sur différents canaux.

Dès lors, ce référentiel ayant vocation à être un cadre de référence pour l’ensemble des entrepôts de données de santé, les responsables de traitement qui ne bénéficieront pas de ce référentiel devront eux aussi respecter les principes posés par la CNIL en matière de modalités d’information.

[1] /article/4526/qui-peut-reellement-beneficier-du-referentiel-des-entrepots-de-donnees-de-sante.html

[2] Article 12.1 du RGPD

[3] Article 14.5. b) du RGPD

Les auteurs

Forte d’une solide formation en droit des TIC, Laurence Huin a développé une expertise juridique et technique en matière de projets numériques.
Elle rejoint le Cabinet Houdart & Associés en septembre 2020 et est associée au sein du pôle Santé numérique.
Elle est ainsi régulièrement sollicitée auprès des acteurs du numérique pour les conseiller et les assister dans leurs problématiques contractuelles et pré-contentieuses (mise en conformité à la réglementation en matière de données personnelles, rédaction et négociation de contrats sur des projets, sécurisation juridique de projets, régulation des contenus et e-reputation). [email protected] | www.houdart.org 

Adriane Louyer a travaillé au sein de cabinets d’avocats et de plusieurs administrations publiques. Elle dispose de compétences en droit administratif et a développé une expertise juridique en droit des données dans le secteur public (droit des données personnelles, open data, droit d’accès aux documents administratifs). 
Elle rejoint le cabinet Houdart & Associés en 2021 au sein du pôle santé numérique, où elle conseille et assiste les établissements publics et privés du secteur sanitaire et médico-social en droit du numérique. [email protected] | www.houdart.org