Au Congrès des notaires, 12 propositions adoptées en faveur d’un urbanisme durable

Le 2 septembre 2024, SOS Médecins a annoncé avoir reçu le feu vert de la Cnil pour constituer son propre entrepôt de données de santé (EDS). Baptisé Contact, il est l’un des premiers EDS de médecine de ville, la tendance étant plus développée dans les établissements de santé. Mais, qu’il s’agisse de la ville ou de l’hôpital, ces bases de données doivent respecter le cadre juridique, avec les spécificités liées au traitement des données de santé … données sensibles obligent.

Boostés par le big data et le virage du numérique en santé, de nombreux entrepôts de données de santé (EDS) ont vu le jour en France, ces dernières années. De manière générale, ils sont créés pour collecter et disposer de données massives. Ils peuvent notamment être réutilisés dans le cadre d’études, de recherches et d’évaluations dans le domaine de la santé. « Généralement, ces bases de données sont constituées pour une durée d’au moins 10 ans, précise la Cnil sur son site. L’objectif est d’obtenir un volume de données important. Elles peuvent être alimentées par de multiples sources (professionnels de santé, patients, pharmacies, établissements de santé, etc.). »

Outils de recherche et de pilotage

S’ils se développent très majoritairement dans les établissements de santé ou chez les industriels, les EDS sont beaucoup plus rares en médecine de ville. « Entre l’ingénierie, le financement, la dimension juridique… ce type de projet peut paraître assez lourd, admet Eric Falco, directeur du projet d’EDS Contact porté par les 64 associations de la fédération SOS Médecins France. Il nous a fallu deux ans de travail jusqu’à l’obtention de l’autorisation de la Cnil. L’enjeu pour nous est de combler un trou dans la raquette des données de santé en collectant pour la première fois des données liées aux soins non programmés en médecine de ville. Cela va nous permettre d’améliorer nos pratiques, et de mener, dès cette année, des projets de recherche notamment sur l’accès aux soins. »

Un cadre réglementaire complexe et rigoureux

Dès cet automne, SOS Médecins va donc consolider les données des millions de patients traités chaque année par ses 1 300 médecins (données relatives à la prise d’appel, à la consultation, à la prescription, au suivi du patient, etc.) « Des données collectées à la finalité de leur utilisation, en passant par leur hébergement, la gouvernance … nous avons dû répondre à de nombreuses exigences juridiques, techniques, organisationnelles », précise le directeur de projet.

Car qui dit donnée de santé, dit donnée sensible. « Les données de santé font l’objet d’une protection renforcée par les règles relatives à la protection des données personnelles, le RGPD au niveau européen, complété par la loi « Informatiques et Libertés » au niveau national, mais aussi par des règles sectorielles, par exemple prévues par le Code de la santé publique ou le Code de la sécurité sociale, etc. », rappelle Marine Lachever, juriste au sein du service santé de la Cnil. 

Si les textes posent le principe d’interdiction du traitement de ces données, ils prévoient une liste d'exceptions. « Dans certains cas, des formalités préalables doivent également être réalisées auprès de la CNIL (déclaration de conformité à un référentiel ou demande d’autorisation) », indique la juriste.

La voie du recueil consentement

Concrètement, dans le cas de la constitution d’un entrepôt de données de santé, trois options sont possibles pour le responsable de traitement, soit la personne morale ou physique qui détermine les finalités et les moyens de traitement de la donnée.

La première repose sur le recueil du consentement explicite des personnes concernées par la collecte, l’enregistrement, le traitement et la conservation des données de santé au sein de l’entrepôt de santé. 

« Le recueil du consentement explicite est l’une des exceptions qui permet de traiter des données de santé, souligne Marine Lachever. Dans ce cas de figure, la loi prévoit qu’aucune formalité préalable n’est demandée à l’organisme. Ce qui ne l’exonère pas de respecter l’ensemble des principes relatifs à la protection des données. »

Et la juriste de préciser : « En fonction de la nature de l’entrepôt, cette option n'est pas toujours envisageable, dans la mesure où l’on traite des données massives et parfois anciennes, ce qui peut poser des difficultés pour informer et recueillir le consentement des personnes concernées. »

Référentiel Cnil : s’engager à la conformité

Autre possibilité, l’engagement de conformité au référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de création d'entrepôts de données dans le domaine de la santé, adopté en octobre 2021 (CNIL, délib., 7 oct. 2021, n° 2021-118 : JO, 24 octobre). « Dans le cadre des formalités préalables, l’idée n’est pas de passer systématiquement par une instruction et une autorisation de la CNIL, indique Marine Lachever. Ce référentiel a pour objectif de faciliter les démarches et de responsabiliser les acteurs. Si le projet d’EDS est conforme en tout point à ce qu’il prévoit, les acteurs peuvent effectuer une déclaration de conformité sur le site de la CNIL. ». Là encore, en cas de contrôle, le responsable de traitement doit pouvoir démontrer, notamment grâce à la documentation qu’il établit en interne, qu’il respecte en tout point les exigences du référentiel : finalités, gouvernance (comité de pilotage, comité éthique et scientifique), nature des données pouvant être incluses dans un EDS, gestion du droit d’accès aux données, durée de conservation des données, information des patients et des professionnels de santé, sécurité (pseudonymisation des données, gestion des incidents de sécurité, sous-traitance, encadrement des transferts de données, analyse d’impact sur la protection des données, etc.).

A noter que le référentiel ne s’applique qu’aux entrepôts de données de santé reposant sur l’exercice d’une mission d’intérêt public, laquelle constitue l’une des six bases légales prévues par le RGPD. Par exemple, un entrepôt mis en œuvre par une entreprise privée, qui n’exerce pas de mission d’intérêt public, ne peut être constitué dans le cadre d’une déclaration de conformité au référentiel.

Non conforme…

Enfin, si l’entrepôt de données de santé ne répond à aucune des deux options, il doit faire l’objet d’une demande d’autorisation spécifique auprès de la CNIL. « Dans tous les cas de figure, nous conseillons de suivre le référentiel qui constitue une base solide de bonnes pratiques en décrivant l’état de l’art en la matière », insiste Marine Lachever. C’est la voie qu’a empruntée la fédération SOS Médecins. « Le recueil de consentement explicite aurait nécessité une mise en place trop lourde sur le terrain, rapporte Éric Falco. Le référentiel EDS ayant été pensé pour les producteurs de données et plus précisément les établissements de santé, nous nous sommes fondés sur l'intérêt légitime de la Fédération SOS Médecins à constituer l'EDS, avec une autorisation CNIL accordée en considération de notre finalité d'intérêt public, avec une information des patients, disposant d’un droit d'opposition. Nous avons travaillé à partir des exigences du référentiel pour constituer notre EDS, en justifiant les quelques écarts résiduels. » A SOS Médecins, les 64 associations produisent le soin et donc les données, et c’est la fédération, responsable de traitement de l’EDS, qui consolide les données. 

… mais autorisé

« Obtenir l’autorisation de la CNIL confirme que les interprétations que nous avions faites étaient les bonnes, poursuit le directeur du projet Contact. Finalement, le travail fourni est le même que pour un engagement de conformité. Le seul document qui diffère, c’est une check-list, fournie et préconisée par la CNIL, sur laquelle nous détaillons et justifions les écarts par rapport au référentiel. »

Les dossiers de demande d’autorisation auprès de la CNIL doivent systématiquement être présentés avec une analyse d’impact de protection des données ainsi qu’une check-list complétée, qui permet de guider les acteurs dans l’appréciation de leur conformité au référentiel. « A partir de là, nous instruisons les non-conformités et échangeons avec les responsables de traitement sur les points, tant juridiques que techniques, qui diffèrent du référentiel », explique la juriste précisant qu’un travail de mise à jour du référentiel est en cours.

Ne pas confondre entrepôt de données et projet de recherche

« Il y a parfois confusion entre entrepôt de données de santé et projet de recherche, d’étude ou d’évaluation ponctuelle, expose Marine Lachever, juriste au sein du service Santé de la CNIL. Il faut veiller à bien les distinguer, car selon la qualification retenue, les régimes juridiques applicables sont différents. »

La réutilisation des données des fins de recherches, d’études ou d’évaluations à partir des données conservées dans l’entrepôt fait l’objet de formalités préalables distinctes. Après avoir obtenu un avis préalable d’un comité éthique, le responsable de traitement peut effectuer une déclaration de conformité à une méthodologie de référence (référentiel dédié aux recherches, études ou évaluations dans le domaine de la santé) ou, à défaut de conformité en tout point à cette méthodologie de référence, une autorisation préalable de la Cnil.

A ce jour, près de 80 EDS ont été autorisés par la CNIL. L’administration travaille actuellement sur une cartographie recensant les entrepôts de données de santé et leurs réseaux.

Camille Grelle
Pi+