Publicité en cours de chargement...

Publicité en cours de chargement...

Modalités d’information : le référentiel entrepôts donnés de santé riche d’enseignements

18 jan. 2022 - 10:37,
Tribune - Laurence Huin & Adriane Louyer
Dans un précédent volet(1), le cabinet Houdart et Associés décryptait un premier aspect portant sur le périmètre restreint du référentiel sur les entrepôts de données de santé, dans ce second Laurence Huin et Adriane Louyer analysent les modalités d’information préalable des patients.

Le référentiel sur les entrepôts de données de santé publié récemment par la CNIL est riche d’enseignements sur les modalités d’information préalable des personnes concernées. A titre liminaire, il convient de préciser que ne seront analysées ci-dessous que les modalités d’information des patients et non l’information des professionnels de santé. 

Tout d’abord, le référentiel revient sur les modalités d’information que les responsables de traitement devront fournir aux personnes concernées : une information concise, transparente, compréhensive et facilement accessible[2] sur le traitement. Ce rappel est important car ces responsables de traitements seront amenés à traiter les données personnelles d’un public très large, comprenant des personnes fragiles et vulnérables. Ils devront donc faire preuve de pédagogie pour expliquer aux patients en quoi consiste le traitement envisagé.

De manière plus singulière, la CNIL apporte des précisions sur l’exception à l’obligation d’information individuelle prévue par le RGPD.

Dans son référentiel, la CNIL indique que le responsable de traitement qui procède à une collecte indirecte de données pourra faire valoir l’exception [3] et déroger à l’obligation d’informer individuellement les personnes concernées. Pour les entrepôts de données de santé, la CNIL envisage cette dérogation dans trois cas : 

  • la collecte indirecte de données issues de dossiers des patients avant la mise en œuvre de l’entrepôt de données et n’étant plus suivis ;
  • la réutilisation de données de personnes ayant participé à des recherches ;
  • la réutilisation de données conservées dans l’entrepôt à des fins de recherche, d’étude ou d’évaluation. 

Dans les deux premiers cas, la CNIL considère que seule l’exception d’un effort disproportionné pourra être invoqué par le responsable de traitement. A l’inverse, pour les traitements de données à des fins ultérieures de recherche, d’étude ou d’évaluation, le responsable de traitement pourra solliciter soit l’impossibilité d’informer les patients, soit l’effort disproportionné. Cependant, la CNIL précise dans ce référentiel que l’exception à l’obligation individuelle en raison d’un effort disproportionné ne sera justifiée que dans de très rare cas sauf, par exemple, pour les personnes pour lesquelles le responsable de traitement dispose d’un dossier médical mais qui ne sont plus suivies au sein de l’établissement. De même, les conditions très restrictives établies par le CEPD sur l’impossibilité d’informer les patients limitent très fortement les cas dans lesquelles cette exception pourra être invoquée. 

Dans l’hypothèse où le responsable de traitement estime pouvoir se prévaloir de l’exception à son obligation d’information individuelle, il devra néanmoins :

  • rendre les informations publiquement disponibles ;
  • détailler précisément dans l’AIPD la justification de cet effort disproportionné ou de l’impossibilité de réaliser une information individuelle ainsi que les garanties mises en œuvre. 

Enfin, pour la toute première fois, la CNIL impose expressément aux responsables de traitement de réaliser, dans tous les cas, une information générale en complément d’une information individuelle des personnes concernées avant la mise en place de ce traitement. Or, une telle obligation ne figure pas dans les lignes directrices sur la transparence du CEPD. Cette obligation à la charge du responsable de traitement interroge sur les canaux de communication qui devront être utilisés et sur l’échelle territoriale adéquate. En effet, l’ensemble de ces personnes concernées par ce traitement ne s’informent pas toutes de la même façon. Aussi, pour délivrer cette information à un maximum de personnes concernées, le responsable de traitement devra réaliser une communication sur différents canaux.

Dès lors, ce référentiel ayant vocation à être un cadre de référence pour l’ensemble des entrepôts de données de santé, les responsables de traitement qui ne bénéficieront pas de ce référentiel devront eux aussi respecter les principes posés par la CNIL en matière de modalités d’information.


[1] /article/4526/qui-peut-reellement-beneficier-du-referentiel-des-entrepots-de-donnees-de-sante.html

[2] Article 12.1 du RGPD

[3] Article 14.5. b) du RGPD


Les auteurs

Forte d’une solide formation en droit des TIC, Laurence Huin a développé une expertise juridique et technique en matière de projets numériques.
Elle rejoint le Cabinet Houdart & Associés en septembre 2020 et est associée au sein du pôle Santé numérique.
Elle est ainsi régulièrement sollicitée auprès des acteurs du numérique pour les conseiller et les assister dans leurs problématiques contractuelles et pré-contentieuses (mise en conformité à la réglementation en matière de données personnelles, rédaction et négociation de contrats sur des projets, sécurisation juridique de projets, régulation des contenus et e-reputation). [email protected] | www.houdart.org 

Adriane Louyer a travaillé au sein de cabinets d’avocats et de plusieurs administrations publiques. Elle dispose de compétences en droit administratif et a développé une expertise juridique en droit des données dans le secteur public (droit des données personnelles, open data, droit d’accès aux documents administratifs). 
Elle rejoint le cabinet Houdart & Associés en 2021 au sein du pôle santé numérique, où elle conseille et assiste les établissements publics et privés du secteur sanitaire et médico-social en droit du numérique. [email protected] | www.houdart.org

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Illustration Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

30 juin 2025 - 20:50,

Communiqué

- APSSIS

L’APSSIS a le plaisir d’annoncer la publication du 8ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, ces guides se veulent à la fois accessibles, techniques et pratiques.

La cyber et les sacs de luxe

30 juin 2025 - 20:44,

Tribune

-
Cédric Cartau

C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.

Illustration En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares

En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares

24 juin 2025 - 18:00,

Tribune

-
Cédric Cartau

Temps fort traditionnel, Michel Dubois nous a habitués à des conférences techniques sur des sujets pointus, telle l’histoire du chiffrement. Nous voilà donc embarqués dans l’histoire des malwares, et on part de loin : machine de Turing, théorie de l’informatique de la fin de la Seconde Guerre mondia...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.