Entrepôt de données de santé : quelle protection des données ?

Par Anne-Charlotte Andrieux et Sara Bakli

En juin 2022, la CNIL a autorisé l’ouverture d’un entrepôt de données de santé, projet initié par un consortium entre le laboratoire pharmaceutique AstraZeneca, Docaposte et Impact Healthcare. Il s’agit du premier entrepôt de données de santé opéré par un consortium public-privé.

Cette plateforme a vocation à recevoir des données de santé, aux fins d’analyse des informations des patients, étape supplémentaire franchie dans la concrétisation d’une médecine numérique.

Ce projet s’inscrit dans la continuité du référentiel de la CNIL dédié aux entrepôts de données de santé paru en novembre 2021 et participe d’une politique française volontariste notamment marquée par la création du PariSanté Campus ayant vocation à rassembler les acteurs du numérique en santé.

L'ouverture d'un entrepôt de données de santé

Cette démarche s’inscrit également dans la tendance plus globale d’ouverture des données de santé, les initiatives étant nombreuses : du Health Data Hub^[1] (plateforme française des données de santé) à la création récente de l’espace européen des données de santé (EHDS)^[2].

Ces projets visent en commun un objectif d’accès facilité aux données de santé, la quête de l’efficience des parcours de soins des patients, ou encore, pour l’EHDS, le partage par chaque citoyen de ses données avec des professionnels de son pays ou d’autres pays européens.

Le projet est ouvert à l’utilisation de tous types d’acteurs amenés à trouver dans cet outil un système d’accès et de traitement des données des patients : hôpitaux et autres établissements de santé, pharmacies, industriels, cliniques…

La création de cet entrepôt est également censée permettre aux entreprises un accès plus fluide au système national des données de santé (SNDS), aujourd’hui difficile d’accès pour des raisons de sécurité^[3].

L’accès aux soins et l’administration des traitements, en particulier pour trois médicaments (maladie rénale, cancer du sein, Covid) sera ainsi facilité^[4]. Mais cet accès n’est pas exempt de risques au regard du droit à la protection des données personnelles, dont nous ferons aujourd’hui un tour d’horizon.

Si cette initiative a vocation à permettre la mutualisation et la valorisation des données, la CNIL rappelle à juste titre que la création d’un entrepôt de données de santé^[5] doit répondre à des critères précis afin de cantonner le risque pour la vie privée des personnes concernées.

Comment procéder pour créer un entrepôt de données de santé ?

Entrepôts de données de santé : quels enjeux pour les données de santé ?

Dans la définition retenue par le RGPD (art. 4.15 RGPD), laquelle se distingue de la définition apportée par le Code de la santé publique, la notion de données de santé s’entend plus largement de toute donnée à caractère personnel concernant la santé physique ou mentale, passée, présente ou future, d’une personne physique.

Qu'est ce qu'une donnée de santé ?

Sont dès lors considérées comme des données de santé par la CNIL :

• Les informations relatives à une personne physique collectées lors de son inscription en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services ;
• Les informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir des données génétiques et d’échantillons biologiques ;
• Les informations concernant une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée.

Cette définition permet plus largement d’inclure des données de mesure à partir desquelles il est possible de déduire une information sur l’état de santé de la personne.

La mise en place d'un référentiel dédié aux entrepôts de données de santé afin d'assurer la protection des données de santé

En tant que données sensibles au sens de l’article 9 du RGPD, les données de santé ne peuvent en principe être recueillies ou utilisées, sauf dans des cas limitativement énumérés :

• La personne concernée a donné son consentement exprès (démarche active, explicite, écrite de préférence) devant être libre, spécifique et informée ;
• Les informations sont manifestement rendues publiques par la personne concernée ;
• Les informations sont nécessaires à la sauvegarde de la vie humaine;
• Leur utilisation est justifiée par l’intérêt public et autorisée par la CNIL;
• Elles concernent les membres ou adhérents d’une association ou d’une organisation politique, religieuse, philosophique, politique ou syndicale.

C’est dans ce contexte que la CNIL a réalisé un référentiel dédié aux entrepôts de données de santé.

En l’absence d’autorisation préalable obligatoire, les organismes souhaitant mettre en œuvre un entrepôt de données de santé doivent vérifier la conformité du projet au référentiel et déclarer sa conformité auprès de la CNIL.

Ce référentiel s’adresse toutefois uniquement aux entrepôts de données de santé reposant sur l’exercice d’une mission d’intérêt public, raison pour laquelle la plateforme Agoria a été soumise à autorisation préalable de la CNIL.

Quelles formalités pour traiter des données de santé ?

Si le RGPD s’inscrit dans une tendance d’allègement des formalités préalables (logique de responsabilisation des acteurs), celles-ci sont toujours de rigueur concernant le secteur santé (déclaration de conformité, demande d’avis, demande d’autorisation santé ou recherche en santé^[6]…).  

En matière de traitement de données de santé, diverses procédures peuvent être requises pour la poursuite des activités de traitement, comme en ce qui concerne la création d’un entrepôt de données de santé ou pour des « opérations de recherche, études ou évaluations ponctuelles »^[7].

• En ce qui concerne la création d’un entrepôt de santé impliquant la réalisation ultérieure de plusieurs traitements, il faut distinguer deux hypothèses :
• Le consentement explicite des personnes concernées a été obtenu: dans ce cas, aucune formalité ne sera requise mais le responsable de traitement devra obligatoirement démontrer sa conformité aux exigences du RGPD (AIPD, documentation interne…).
• Le consentement explicite des personnes concernées n’a pas été obtenu: dans ce cas, une demande d’autorisation « santé » (hors recherche) incluant une AIPD devra être sollicitée.
• En ce qui concerne les projets de « recherche, étude ou évaluation ponctuelle », il faut également distinguer deux hypothèses :
• La démarche est conforme à une « méthodologie de référence » (MR): il devra alors fournir un engagement de conformité à la MR, vérifier la conformité du traitement et l’inscrire au registre ;
• La démarche n’est pas conforme à une « méthodologie de référence »: dans ce cas, une « demande d’autorisation recherche » devra être sollicitée.

***

[1] Le Health Data Hub est un groupement d’intérêt public crée par la Loi du 24 juillet 2019.

[2] L’espace européen des données de santé vise à encadrer l’utilisation des données de santé au sein de l’Union – pour plus d’informations, c’est ici.

[3] Soumettre une demande d’accès aux bases du SNDS peut prendre entre 12 à 18 mois.

[4] Op.cit.

[5] Les entrepôts de données sont créés principalement pour collecter et disposer de données massives (données relatives à la prise en charge médicale du patient, données socio-démographiques, données issues de précédentes recherches, etc). Ces données sont ensuite réutilisées principalement à des fins d’études, de recherches et d’évaluations dans le domaine de la santé.

[6] Les procédures sont détaillées par la CNIL, en fonction des opérations de traitement concernées, ici.

[7] L’entrepôt collecte des données massives pour une réutilisation des données en vue de plusieurs projets alors que la recherche répond à un objectif précis et est limitée dans le temps.

‍

‍