Entrepôt de données de santé: publication du référentiel relatif aux traitements de données personnelles

Tic Santé - Extraits - 26 octobre 2021

Un référentiel relatif aux traitements de données à caractère personnel  »mis en œuvre à des fins de création d’entrepôts de données de santé (EDS) » a été adopté dans une délibération de la Commission nationale de l’informatique et des libertés (Cnil) datée du 7 octobre et publiée au Journal officiel le 24 octobre.

La Cnil avait ouvert début mars une consultation publique sur un projet de référentiel visant à « simplifier les procédures » et à proposer un cadre « adapté aux pratiques » lors de la création d’un EDS, rappelle-t-on.

Le référentiel publié le 24 octobre au JO précise en effet le cadre juridique issu du règlement général sur la protection des données (RGPD) et des dispositions nationales, applicable aux EDS. Il s’adresse aux responsables de traitements « qui souhaitent, dans le cadre de leurs missions d’intérêt public, réunir des données en vue de leur réutilisation ».

Les responsables de traitement qui réalisent auprès de la Commission une déclaration de conformité au référentiel sont ainsi autorisés à mettre en œuvre un EDS « lorsque le traitement est strictement conforme au référentiel ».

Tout traitement de données à caractère personnel visant à mettre en œuvre un EDS qui ne respecte pas l’ensemble des exigences définies par le référentiel « doit faire l’objet d’une demande d’autorisation spécifique ».

« Les responsables de traitement doivent mettre en œuvre toutes les mesures appropriées (techniques et organisationnelles) afin de garantir la protection des données à caractère personnel traitées, à la fois dès la conception du traitement et par défaut, comme prévu à l’article 25 du RGPD. Ils doivent, en outre, démontrer cette conformité tout au long de la vie des traitements. »

Les traitements de données de santé à caractère personnel mis en œuvre à des fins de recherche dans le domaine de la santé, à partir des données contenues dans l’entrepôt, constituent « des traitements distincts qui doivent faire l’objet des formalités nécessaires », peut-on lire dans le référentiel.

Objectifs poursuivis et gouvernance

Les finalités poursuivies sont strictement énoncées.

Il s’agit de la production d’indicateurs et le pilotage stratégique de l’activité, « sous la responsabilité du médecin responsable de l’information médicale (DIM) (par exemple: les analyses médico-économiques de parcours de soins, évaluation de la qualité et de la pertinence des prises en charge) »; l’amélioration de la qualité de l’information médicale ou l’optimisation du codage dans le cadre du programme de médicalisation des systèmes d’information (PMSI); le fonctionnement d’outils d’aide au diagnostic médical ou à la prise en charge et la réalisation d’études de faisabilité (pré-screening).

« Ne sont pas concernés par ce référentiel: les traitements de données à caractère personnel nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de services de santé et mis en œuvre par les professionnels de santé et les systèmes ou services de soins de santé, par application des dispositions du 1° de l’article 65 de la loi du 6 janvier 1978 modifiée », précise le texte.

Les données contenues dans les traitements réalisés dans le cadre de ce référentiel ne peuvent être exploitées « à des fins de promotion des produits mentionnés au II de l’article L5311-1 du code de la santé publique en direction de professionnels de santé ou d’établissements de santé, ni à des fins d’exclusion de garanties des contrats d’assurance ni de modification de cotisations ou de primes d’assurance d’un individu ou d’un groupe d’individus présentant un même risque ».

Les données peuvent également être réutilisées à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé mais ils devront, pour cela, « faire l’objet des formalités adéquates ».

S’ils sont conformes à une méthodologie de référence, ils peuvent être mis en œuvre à la condition que leur responsable adresse préalablement à la Commission une déclaration attestant de cette conformité. « À défaut, ils devront solliciter une ‘autorisation recherche' », conformément à la loi « Informatique et libertés ».

Une gouvernance spécifique à chaque entrepôt est mise en œuvre par le responsable de traitement: une première instance (comité de pilotage ou équivalent) « détermine les orientations stratégiques et scientifiques de l’entrepôt. Il est de son ressort de tenir une liste exhaustive des données de l’entrepôt et de justifier de leur nécessité ».

 »Une seconde instance (comité scientifique et éthique ou équivalent) rend, de manière systématique, un avis préalable et motivé sur les propositions de projets nécessitant la réutilisation des données de l’entrepôt. Seuls les projets ayant été examinés par cette instance peuvent avoir recours à l’entrepôt. »

Cette deuxième instance comprend notamment « au moins une personne impliquée dans l’éthique en santé et indépendante du responsable de traitement, ainsi que plusieurs professionnels de santé et chercheurs ».

Les données pouvant être incluses dans l’EDS

Le référentiel détaille les données à caractère personnel pouvant être incluses dans l’entrepôt.

« Seules des données à caractère personnel adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement peuvent être collectées et traitées », est-il souligné dans le texte.

Cela concerne spécifiquement « des données qui figurent dans le dossier médical et administratif » qui peuvent inclure: « des données relatives aux patients »; des « données sensibles » (poids, taille, antécédents médicaux…), d’autres catégories de données à caractère personnel détaillées dans le référentiel (telles que des photographies, des informations de déplacement ou encore sur la consommation de drogues ou d’alcool), ainsi que des « données relatives aux professionnels de santé ».

Le recours à chacune de ces données pour toute réutilisation « devra être justifié dans le protocole soumis à la gouvernance de l’entrepôt » et leur pertinence « doit être réévaluée régulièrement », alors que celles « n’apparaissant plus nécessaires » doivent être supprimées.

« Les entrepôts mis en œuvre dans le champ du présent référentiel ne peuvent faire l’objet d’un appariement pérenne avec les données du système national des données de santé (SNDS) », est-il, en outre, mentionné.

Les données directement identifiantes « ne peuvent être utilisées que si les finalités du traitement le justifient ». Par exemple,  »le jour de naissance ne pourra être utilisé que s’il est nécessaire à la réalisation d’une recherche impliquant des personnes âgées de moins de 2 ans », est-il précisé.

« Dans le cas où des données directement identifiantes, des tables de correspondance, des données génétiques ou des données de suivi de localisation sont versées dans l’entrepôt, celles-ci doivent être stockées séparément des données pseudonymisées, en utilisant les procédés décrits dans les exigences de sécurité SEC-LOG-4 à SEC-LOG6. »

Ces exigences sont précisées et définies dans le référentiel.

Le responsable de traitement d’un EDS doit également  »prêter une attention particulière à la gestion des droits d’accès des personnes habilitées à accéder aux données contenues dans l’entrepôt », seules les personnes habilitées peuvent y accéder. « Lorsque les données font l’objet d’un processus d’anonymisation au sein d’un espace projet de l’entrepôt, les données anonymes en résultant peuvent être transmises à tout destinataire », est-il toutefois mentionné.

Information des personnes et durée de conservation des données

Le référentiel insiste sur l’importance de l’information des personnes concernées par l’EDS: patients et professionnels de santé, et leurs droits d’accès et d’opposition « doivent être particulièrement mis en avant dans la note d’information ».

« Les personnes concernées doivent en outre être informées de chacune des réutilisations des données la concernant à des fins de recherche, d’étude ou d’évaluation, sauf lorsque les responsables de traitement se trouvent dans l’impossibilité de réaliser l’information ou qu’elle exigerait des efforts disproportionnés. »

La durée de conservation des données de l’entrepôt de données de santé doit répondre aux exigences prévues par le RGPD. Ainsi, les données concernant les « autres catégories de données à caractère personnel » et données sensibles détaillées dans le texte peuvent être conservées « 20 ans maximum à compter de leur collecte dans le cadre des soins ou des recherches ».

Le texte définit ces données comme correspondant « aux points 5.2.1.2 et 5.2.1.3 » du référentiel, or ce dernier point n’existe pas. Sur Twitter, la Cnil a reconnu le 25 octobre une erreur de numérotation et prévient qu’un correctif sera publié prochainement.

Les données mentionnées au point 5.2.1.1 qui sont directement identifiantes et administratives relatives aux patients doivent, elles, « être supprimées » lorsque le délai de conservation des données mentionnées plus haut est atteint. « Au-delà de ces durées, toute donnée doit être anonymisée ou détruite », est-il souligné dans le texte.

 

Newsletter

Inscrivez-vous pour recevoir nos dernières actualités.

Catégories