Article précédent

Le 2 septembre 2024, SOS Médecins a annoncé avoir reçu
le feu vert de la Cnil pour constituer son propre entrepôt de données de santé
(EDS). Baptisé Contact, il est l’un des premiers EDS de médecine de
ville, la tendance étant plus développée dans les établissements de santé. Mais,
qu’il s’agisse de la ville ou de l’hôpital, ces bases de données doivent respecter
le cadre juridique, avec les spécificités liées au traitement des données de
santé … données sensibles obligent.
Boostés par le big data et le virage du numérique
en santé, de nombreux entrepôts de données de santé (EDS) ont vu le jour en
France, ces dernières années. De manière générale, ils sont créés pour collecter et
disposer de données massives. Ils peuvent notamment être réutilisés dans le
cadre d’études, de recherches et d’évaluations
dans le domaine de la santé. « Généralement, ces bases de données sont
constituées pour une durée d’au moins 10 ans, précise la Cnil sur son site.
L’objectif est d’obtenir un volume de données important. Elles peuvent être
alimentées par de multiples sources (professionnels de santé, patients,
pharmacies, établissements de santé, etc.). »
S’ils se développent très majoritairement dans les
établissements de santé ou chez les industriels, les EDS sont beaucoup plus
rares en médecine de ville. « Entre l’ingénierie, le financement, la
dimension juridique… ce type de projet peut paraître assez lourd, admet Eric
Falco, directeur du projet d’EDS Contact porté par les 64 associations de la
fédération SOS Médecins France. Il nous a fallu deux ans de travail jusqu’à
l’obtention de l’autorisation de la Cnil. L’enjeu pour nous est de combler un
trou dans la raquette des données de santé en collectant pour la première fois
des données liées aux soins non programmés en médecine de ville. Cela va nous
permettre d’améliorer nos pratiques, et de mener, dès cette année, des projets de recherche notamment sur l’accès
aux soins. »
Dès cet automne, SOS Médecins va donc consolider les
données des millions de patients traités chaque année par ses 1 300 médecins
(données relatives à la prise d’appel, à la consultation, à la prescription, au
suivi du patient, etc.) « Des données collectées à la finalité de leur
utilisation, en passant par leur hébergement, la gouvernance … nous avons dû
répondre à de nombreuses exigences juridiques, techniques, organisationnelles »,
précise le directeur de projet.
Car qui dit donnée de santé, dit donnée sensible.
« Les données de santé font l’objet d’une protection renforcée par les règles
relatives à la protection des données personnelles, le RGPD au niveau européen,
complété par la loi « Informatiques et Libertés » au niveau national,
mais aussi par des règles sectorielles, par exemple prévues par le Code de la
santé publique ou le Code de la sécurité sociale, etc. », rappelle Marine
Lachever, juriste au sein du service santé de la Cnil.
Si les textes posent le principe d’interdiction du
traitement de ces données, ils prévoient une liste d'exceptions. « Dans
certains cas, des formalités préalables doivent également être réalisées auprès
de la CNIL (déclaration de conformité à un référentiel ou demande
d’autorisation) », indique la juriste.
Concrètement, dans le cas de la constitution d’un
entrepôt de données de santé, trois options sont possibles pour le responsable
de traitement, soit la personne morale ou physique qui détermine les finalités
et les moyens de traitement de la donnée.
La première repose sur le recueil du consentement
explicite des personnes concernées par la collecte, l’enregistrement, le
traitement et la conservation des données de santé au sein de l’entrepôt de
santé.
« Le recueil du consentement explicite est l’une
des exceptions qui permet de traiter des données de santé, souligne Marine
Lachever. Dans ce cas de figure, la loi prévoit qu’aucune formalité
préalable n’est demandée à l’organisme. Ce qui ne l’exonère pas de
respecter l’ensemble des principes relatifs à la protection des données. »
Et la juriste de préciser : « En fonction de la
nature de l’entrepôt, cette option n'est pas toujours envisageable, dans la
mesure où l’on traite des données massives et parfois anciennes, ce qui peut
poser des difficultés pour informer et recueillir le consentement des personnes
concernées. »
Autre possibilité, l’engagement de conformité au référentiel relatif aux traitements de données à
caractère personnel mis en œuvre à des fins de création d'entrepôts de données
dans le domaine de la santé, adopté en octobre 2021 (CNIL, délib., 7 oct. 2021, n°
2021-118 : JO, 24 octobre). « Dans le cadre des formalités préalables,
l’idée n’est pas de passer systématiquement par une instruction et une
autorisation de la CNIL, indique Marine Lachever. Ce référentiel a pour objectif
de faciliter les démarches et de responsabiliser les acteurs. Si le projet
d’EDS est conforme en tout point à ce qu’il prévoit, les acteurs peuvent
effectuer une déclaration de conformité sur le site de la CNIL. ». Là
encore, en cas de contrôle, le responsable de traitement doit pouvoir démontrer,
notamment grâce à la documentation qu’il établit en interne, qu’il respecte en
tout point les exigences du référentiel : finalités, gouvernance (comité de
pilotage, comité éthique et scientifique), nature des données pouvant être
incluses dans un EDS, gestion du droit d’accès aux données, durée de
conservation des données, information des patients et des professionnels de
santé, sécurité (pseudonymisation des données, gestion des incidents de
sécurité, sous-traitance, encadrement des transferts de données, analyse
d’impact sur la protection des données, etc.).
A noter que le référentiel ne s’applique qu’aux
entrepôts de données de santé reposant sur l’exercice d’une mission d’intérêt
public, laquelle constitue l’une des six bases légales prévues par le RGPD. Par
exemple, un entrepôt mis en œuvre par une entreprise privée, qui n’exerce pas
de mission d’intérêt public, ne peut être constitué dans le cadre d’une
déclaration de conformité au référentiel.
Enfin, si l’entrepôt de données de santé ne répond
à aucune des deux options, il doit faire l’objet d’une demande d’autorisation
spécifique auprès de la CNIL. « Dans tous les cas de figure, nous
conseillons de suivre le référentiel qui constitue une base solide de bonnes
pratiques en décrivant l’état de l’art en la matière », insiste Marine
Lachever. C’est la voie qu’a empruntée la fédération SOS Médecins. « Le
recueil de consentement explicite aurait nécessité une mise en place trop
lourde sur le terrain, rapporte Éric Falco. Le référentiel EDS ayant été
pensé pour les producteurs de données et plus précisément les établissements de
santé, nous nous sommes fondés sur l'intérêt légitime de la Fédération SOS
Médecins à constituer l'EDS, avec une autorisation CNIL accordée en
considération de notre finalité d'intérêt public, avec une information des patients,
disposant d’un droit d'opposition. Nous avons travaillé à partir des exigences
du référentiel pour constituer notre EDS, en justifiant les quelques écarts
résiduels. » A SOS Médecins, les 64 associations produisent le soin et donc
les données, et c’est la fédération, responsable de traitement de l’EDS, qui
consolide les données.
« Obtenir l’autorisation de la CNIL confirme que
les interprétations que nous avions faites étaient les bonnes, poursuit le directeur du
projet Contact. Finalement, le travail fourni est le même que pour un
engagement de conformité. Le seul document qui diffère, c’est une check-list,
fournie et préconisée par la CNIL, sur laquelle nous détaillons et justifions
les écarts par rapport au référentiel. »
Les dossiers de demande d’autorisation auprès de
la CNIL doivent systématiquement être présentés avec une analyse d’impact de
protection des données ainsi qu’une check-list complétée, qui permet de guider
les acteurs dans l’appréciation de leur conformité au référentiel. « A
partir de là, nous instruisons les non-conformités et échangeons avec les
responsables de traitement sur les points, tant juridiques que techniques, qui
diffèrent du référentiel », explique la juriste précisant qu’un travail de
mise à jour du référentiel est en cours.
« Il y a parfois confusion entre entrepôt de
données de santé et projet de recherche, d’étude ou d’évaluation ponctuelle, expose Marine Lachever,
juriste au sein du service Santé de la CNIL. Il faut veiller à bien les
distinguer, car selon la qualification retenue, les régimes juridiques
applicables sont différents. »
La réutilisation des données des fins de
recherches, d’études ou d’évaluations à partir des données conservées dans
l’entrepôt fait l’objet de formalités préalables distinctes. Après avoir obtenu
un avis préalable d’un comité éthique, le responsable de traitement peut
effectuer une déclaration de conformité à une méthodologie de référence (référentiel
dédié aux recherches, études ou évaluations dans le domaine de la santé) ou, à
défaut de conformité en tout point à cette méthodologie de référence, une autorisation
préalable de la Cnil.
A ce jour, près de 80 EDS ont été autorisés par la
CNIL. L’administration travaille actuellement sur une cartographie recensant
les entrepôts de données de santé et leurs réseaux.
Camille Grelle
Pi+
THÉMATIQUES ASSOCIÉES
Infos locales, analyses et enquêtes : restez informé(e) sans limite.
Recevez gratuitement un concentré d’actualité chaque semaine.
0 Commentaire
Laisser un commentaire
Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *