Recevez chaque jour toute l'actualité du numérique

x

La Cnil simplifie la création des entrepôts de données de santé

A la suite d'une consultation publique lancée en mars 2021, la Cnil vient de publier son référentiel sur la création des entrepôts de données de santé. Ce guide de mise en conformité permet aux établissements de constituer une base de données dans le cadre d'une mission de service public sans autorisation préalable de l'autorité. 
Twitter Facebook Linkedin Flipboard Email
×

La Cnil simplifie la création des entrepôts de données de santé
La Cnil simplifie la création des entrepôts de données de santé © Cnil

La Commission nationale de l'informatique et des libertés (Cnil) a annoncé le 17 novembre 2021 l'adoption d'un nouveau référentiel pour simplifier la création d'un entrepôt de données de santé (EDS). Un EDS est une base de données destinée à être utilisée à des fins de recherche, d'études ou d'évaluations dans le domaine de la santé. Il peut également permettre à piloter la stratégie d'un établissement médical.

Exercice d'une mission de service public
Ce référentiel, une sorte de guide de mise en conformité, s'adresse aux organismes publics ou privés souhaitant constituer un entrepôt de données de santé dans le cadre de l'exercice d'une mission de service public. En revanche, les entrepôts mis en oeuvre par des entreprises privées à des fins de recherche mais sans exécution d'une mission de service public ne pourront pas s'en prévaloir. 

Ce guide permet d'échapper à la procédure de demande d'autorisation préalable à la Cnil. Ainsi, après vérification de la conformité de son projet d'entrepôt par rapport au référentiel, l'organisme peut déclarer sa conformité. En pratique, il devra documenter sa conformité au Règlement général sur la protection des données (RGPD) dans son registre des activités de traitement. 

En revanche, les traitements qui ne s'y conforment pas devront justifier de leur écart au référentiel afin d'obtenir une autorisation, précise l'autorité protectrice de la vie privée. 

La collecte des données est limitée
Dans les détails, la Cnil rappelle que le responsable de traitement ne peut collecter et traiter que les données qui figurent dans le dossier médical et administratif et celles issues de projets de recherche, études et évaluations dans le domaine de la santé précédemment réalisés et dont la durée de conservation n'a pas expiré. A noter qu'aucune donnée ne peut être collectée uniquement afin d'alimenter l'entrepôt. La collecte doit être scientifiquement justifiée par la prise en charge sanitaire ou médico-sociale ou par la réalisation d'un projet de recherche, d'étude ou d'évaluation spécifique et prévue par un protocole. 

La Commission rappelle également l'importance d'informer les personnes dont les données personnelles sont collectées et compilées dans l'entrepôt. Ainsi, elles doivent être informées par l'établissement ou le centre que les données collectées lors de leur prise en charge sont versées au sein de l’entrepôt. Elles doivent également pouvoir exercer leur droit d'accès, de rectification, d'effacement, de limitation de traitement et d'opposition. 

De nombreux établissements médicaux disposent de leur entrepôt de données. C'est le cas de l'hôpital Foch dont l'EDS intègre les données administratives et médicales de près de 50 000 patients. Il compte cinq millions de documents, parmi lesquels des comptes rendus de consultation et d'hospitalisation, des données de biologie ou des documents d'imagerie médicale.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.