Entrepôts de données dans le domaine de la santé, la check-list de la CNIL

1. De quels entrepôts parle-t-on ? 

Pour mémoire, ce référentiel ne s’applique pas à tous les entrepôts de données de santé, mais seulement à ceux qui reposent sur l’exercice d’une « mission d’intérêt public », au sens de l’article 6.1.e du RGPD. Ainsi, un établissement privé de soins, qui met en œuvre un entrepôt s’inscrivant dans le cadre de l'exécution d'une mission d'intérêt public, peut être couvert par ce référentiel. Et s’il respecte l’intégralité des critères visés dans ce document, il pourra se contenter d’adresser à la CNIL un simple engagement de conformité. En revanche, si tous les critères ne sont pas respectés, l’entrepôt devra faire l’objet d’une autorisation. « Dans cette hypothèse, précise la CNIL, il est conseillé à l’organisme qui sollicite une autorisation d’inclure dans son dossier un document au sein duquel il met en avant et justifie les écarts par rapport au référentiel. »[1] Tel sera notamment le cas d’un entrepôt constitué à des fins de recherche sans exécution d’une mission d’intérêt public, à moins que cet entrepôt, conformément aux termes de l’article 65 de la loi « Informatique et Libertés », repose sur le consentement des personnes concernées ou s’il a pour objectif la dématérialisation des dossiers médicaux. En tout état de cause, la CNIL recommande vivement à tout organisme de faire en sorte que l’entrepôt ainsi constitué réponde aux critères visés dans le référentiel.

Si les entrepôts concernés par le référentiel sont ceux qui reposent sur l’exercice d’une « mission d’intérêt public », il doivent par ailleurs répondre à l’une des finalités suivantes : (i) la production d’indicateurs et le pilotage stratégique de l’activité, sous la responsabilité du médecin responsable de l’information médicale (département de l’information médicale - DIM) (p. ex : analyses médico-économiques de parcours de soins, évaluation de la qualité et de la pertinence des prises en charge) ; (ii) l’amélioration de la qualité de l'information médicale ou l’optimisation du codage dans le cadre du programme de médicalisation des systèmes d’information (PMSI) ; (iii) le fonctionnement d’outils d’aide au diagnostic médical ou à la prise en charge ; (iv) la réalisation d’études de faisabilité (pré-screening).

A noter que les traitements de données de santé à caractère personnel mis en œuvre à des fins de recherche, d’études ou d’évaluation dans le domaine de la santé, à partir des données contenues dans l’entrepôt, constituent des traitements distincts qui doivent faire l’objet des formalités nécessaires au titre des articles 66, 72 et suivants de la loi « Informatique et Libertés »[2].

2. A quoi sert la « check-list » ?

La « check-list » a pour objectif d’aider chaque organisme, responsable du traitement, à vérifier facilement la conformité de son projet d’entrepôt. Pour ce faire, elle reprend les différentes exigences du référentiel sous forme d’affirmations auxquelles le responsable de traitement répond par « vrai » / « faux », ou, le cas échéant « non applicable ». Toute réponse négative (« faux ») à l’une des questions signifie que le traitement envisagé n’est pas conforme au référentiel et qu’il devra faire l’objet, s’il est maintenu en l’état, d’une autorisation de la CNIL, et ce préalablement à sa mise en œuvre. A vous de jouer…

[1] https://www.cnil.fr/fr/la-cnil-adopte-un-referentiel-sur-les-entrepots-de-donnees-de-sante

[2] Les données peuvent également être réutilisées à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé. Ces traitements devront faire l’objet des formalités adéquates : s’ils sont conformes à une méthodologie de référence, ils peuvent être mis en œuvre à la condition que leur responsable adresse préalablement à la Commission une déclaration attestant de cette conformité. A défaut, ils devront solliciter une « autorisation recherche » sur le fondement de l’article 66.III de la loi « Informatique et Libertés ».

L'auteur 

Alexandre FIEVEE est inscrit au Barreau de Paris depuis 2004.Il accompagne de nombreux acteurs notamment dans le secteur de l’informatique, de la santé, de l’assurance, de la banque et de l’intelligence artificielle.
Il a une grande connaissance et une forte expertise en droit des nouvelles technologies : data, RGPD, e-santé, dématérialisation et informatique. Il travaille aussi bien en conseil qu’en contentieux.
Avant de rejoindre le cabinet Derriennic Associés, Alexandre a travaillé notamment comme responsable juridique au sein de la direction juridique d’AXA France.
Il écrit de nombreux articles dans les revues spécialisées et a notamment une rubrique mensuelle dans la revue Expertises.