Publicité en cours de chargement...

Entrepôts de données dans le domaine de la santé, la check-list de la CNIL

14 nov. 2022 - 10:58,
Tribune - Alexandre FIEVEE, Derriennic Associés
DécryptageSécuritéE-santé
Il y a un an, la CNIL publiait un référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de création d’entrepôts de données dans le domaine de la santé. Le 28 septembre dernier, l’autorité française de protection des données a publié une « check-list » visant à aider les responsables du traitement à vérifier facilement leur conformité audit référentiel. 

1. De quels entrepôts parle-t-on ? 

Pour mémoire, ce référentiel ne s’applique pas à tous les entrepôts de données de santé, mais seulement à ceux qui reposent sur l’exercice d’une « mission d’intérêt public », au sens de l’article 6.1.e du RGPD. Ainsi, un établissement privé de soins, qui met en œuvre un entrepôt s’inscrivant dans le cadre de l'exécution d'une mission d'intérêt public, peut être couvert par ce référentiel. Et s’il respecte l’intégralité des critères visés dans ce document, il pourra se contenter d’adresser à la CNIL un simple engagement de conformité. En revanche, si tous les critères ne sont pas respectés, l’entrepôt devra faire l’objet d’une autorisation. « Dans cette hypothèse, précise la CNIL, il est conseillé à l’organisme qui sollicite une autorisation d’inclure dans son dossier un document au sein duquel il met en avant et justifie les écarts par rapport au référentiel. »[1] Tel sera notamment le cas d’un entrepôt constitué à des fins de recherche sans exécution d’une mission d’intérêt public, à moins que cet entrepôt, conformément aux termes de l’article 65 de la loi « Informatique et Libertés », repose sur le consentement des personnes concernées ou s’il a pour objectif la dématérialisation des dossiers médicaux. En tout état de cause, la CNIL recommande vivement à tout organisme de faire en sorte que l’entrepôt ainsi constitué réponde aux critères visés dans le référentiel.

Si les entrepôts concernés par le référentiel sont ceux qui reposent sur l’exercice d’une « mission d’intérêt public », il doivent par ailleurs répondre à l’une des finalités suivantes : (i) la production d’indicateurs et le pilotage stratégique de l’activité, sous la responsabilité du médecin responsable de l’information médicale (département de l’information médicale - DIM) (p. ex : analyses médico-économiques de parcours de soins, évaluation de la qualité et de la pertinence des prises en charge) ; (ii) l’amélioration de la qualité de l'information médicale ou l’optimisation du codage dans le cadre du programme de médicalisation des systèmes d’information (PMSI) ; (iii) le fonctionnement d’outils d’aide au diagnostic médical ou à la prise en charge ; (iv) la réalisation d’études de faisabilité (pré-screening).

A noter que les traitements de données de santé à caractère personnel mis en œuvre à des fins de recherche, d’études ou d’évaluation dans le domaine de la santé, à partir des données contenues dans l’entrepôt, constituent des traitements distincts qui doivent faire l’objet des formalités nécessaires au titre des articles 66, 72 et suivants de la loi « Informatique et Libertés »[2].

2. A quoi sert la « check-list » ?

La « check-list » a pour objectif d’aider chaque organisme, responsable du traitement, à vérifier facilement la conformité de son projet d’entrepôt. Pour ce faire, elle reprend les différentes exigences du référentiel sous forme d’affirmations auxquelles le responsable de traitement répond par « vrai » / « faux », ou, le cas échéant « non applicable ». Toute réponse négative (« faux ») à l’une des questions signifie que le traitement envisagé n’est pas conforme au référentiel et qu’il devra faire l’objet, s’il est maintenu en l’état, d’une autorisation de la CNIL, et ce préalablement à sa mise en œuvre. A vous de jouer…

[1] https://www.cnil.fr/fr/la-cnil-adopte-un-referentiel-sur-les-entrepots-de-donnees-de-sante

[2] Les données peuvent également être réutilisées à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé. Ces traitements devront faire l’objet des formalités adéquates : s’ils sont conformes à une méthodologie de référence, ils peuvent être mis en œuvre à la condition que leur responsable adresse préalablement à la Commission une déclaration attestant de cette conformité. A défaut, ils devront solliciter une « autorisation recherche » sur le fondement de l’article 66.III de la loi « Informatique et Libertés ».

L'auteur 

Alexandre FIEVEE est inscrit au Barreau de Paris depuis 2004.Il accompagne de nombreux acteurs notamment dans le secteur de l’informatique, de la santé, de l’assurance, de la banque et de l’intelligence artificielle.
Il a une grande connaissance et une forte expertise en droit des nouvelles technologies : dataRGPDe-santédématérialisation et informatique. Il travaille aussi bien en conseil qu’en contentieux.
Avant de rejoindre le cabinet Derriennic Associés, Alexandre a travaillé notamment comme responsable juridique au sein de la direction juridique d’AXA France.
Il écrit de nombreux articles dans les revues spécialisées et a notamment une rubrique mensuelle dans la revue Expertises.

 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Le CHU de Montpellier mobilise 14,9 M€ pour structurer un projet d’intelligence artificielle hospitalière

Le CHU de Montpellier mobilise 14,9 M€ pour structurer un projet d’intelligence artificielle hospitalière

29 jan. 2026 - 13:01,

Actualité

- Rédaction, DSIH

Le CHU de Montpellier a fait état de la mobilisation d’un financement de 14,9 millions d’euros dans le cadre du programme France 2030 pour développer un projet d’intelligence artificielle hospitalière, baptisé Alliance Santé IA. L’initiative vise à structurer des usages d’intelligence artificielle à...

Illustration Mon espace santé veut devenir un pivot de la prévention personnalisée et de la coordination des soins

Mon espace santé veut devenir un pivot de la prévention personnalisée et de la coordination des soins

29 jan. 2026 - 12:07,

Actualité

- Rédaction, DSIH

Quatre ans après son lancement, Mon espace santé franchit une nouvelle étape. Après avoir concentré ses efforts sur l’alimentation massive et sécurisée des données de santé, le carnet de santé numérique public entend désormais se positionner comme un outil central de prévention personnalisée et de c...

Illustration D4Evolution 2026 : la transformation numérique et l’IA au service de l’efficience opérationnelle, de la qualité des soins et du bien-être des soignants

D4Evolution 2026 : la transformation numérique et l’IA au service de l’efficience opérationnelle, de la qualité des soins et du bien-être des soignants

29 jan. 2026 - 11:46,

Actualité

- Par Pauline Nicolas

La 8ème édition de l’évènement annuel de Dedalus France, qui s’est tenue à Paris le 22 janvier, était placée sous l’égide de l’efficience opérationnelle. Dès l’ouverture de cette journée, Guillem Pelissier, Directeur Général France de Dedalus, a porté un message clair : « Il faut concevoir le numéri...

Illustration La Poste Ventures, fonds d’investissement du groupe La Poste, entre au capital de Yooli, start-up de la e-santé, spécialiste de la digitalisation du parcours patients

La Poste Ventures, fonds d’investissement du groupe La Poste, entre au capital de Yooli, start-up de la e-santé, spécialiste de la digitalisation du parcours patients

29 jan. 2026 - 10:34,

Actualité

- Rédaction, DSIH

La Poste annonce l’entrée de son fonds d’investissements La Poste Ventures au capital de Yooli. La start-up toulousaine a développé un portail numérique qui facilite le parcours de soin des patients et leur gestion par les établissements de santé. Cet investissement stratégique pour La Poste Santé &...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.

A propos

Nous suivre

Contact

Abonnement

DSIH Magazine

Nos marques

Logo DSIHLogo Thema Radiologie