Traitements de données de santé : comment faire la distinction entre un entrepôt et une recherche et quelles conséquences ?
Lorsque la création d’une base de données comportant des données de santé est envisagée, le responsable de traitement doit déterminer si elle permettra la réalisation ultérieure de plusieurs traitements (« entrepôt ») ou s’il s’agit d’une recherche, d’une étude ou d’une évaluation ponctuelle. En fonction de ce choix, le régime juridique et les formalités à accomplir sont différents.
Entrepôt ou projet de recherche : un raisonnement en deux temps et deux régimes juridiques distincts
Lorsque le responsable de traitement envisage la constitution d’une importante base de données et la réutilisation des données contenues (« entrepôt ») dans plusieurs projets de recherche, un raisonnement en deux temps doit être opéré car chaque traitement fait l’objet d’un régime juridique distinct :
- la création de l’entrepôt de données en tant que tel (c’est-à-dire la collecte et la conservation des données dans une base unique pendant une plus longue durée) ;
- les projets de recherches, d’études ou d’évaluations réalisés à partir des données conservées dans l’entrepôt par le même responsable de traitement ou d’autres organismes.
Le régime juridique pour la constitution de l’entrepôt de données de santé
Trois hypothèses doivent être envisagées :
- le consentement explicite des personnes concernées par la collecte, l’enregistrement et la conservation des données de santé dans un entrepôt a été recueilli. Dans ce cas, aucune formalité n’est nécessaire mais le responsable de traitement devra tout de même être en mesure de démontrer la conformité de son traitement au RGPD (registre, analyse d’impact, etc.) ;
- le responsable de traitement réalise un engagement de conformité au référentiel sur les entrepôts de données de santé. La conformité au référentiel ne peut être invoquée que si l’entrepôt permet au responsable de traitement d’exercer une mission d’intérêt public (base légale du traitement) et si le traitement envisagé est conforme en tous points au référentiel ;
- si le responsable de traitement ne remplit aucune de deux conditions présentées ci-dessus, le traitement relatif à la constitution de l’entrepôt doit faire l’objet d’une demande d’autorisation « santé » (hors recherche) auprès de la CNIL.
Dans tous les cas, une analyse d’impact sur la protection des données (AIPD) devra être réalisée par le responsable de traitement. Cette analyse devra alors être transmise avec le dossier de demande d’autorisation adressé à la CNIL.
Le régime juridique pour la réutilisation des données issues de l’entrepôt à des fins de recherches, d’études ou d’évaluations à partir des données conservées dans l’entrepôt
Chaque projet de recherche, d’étude ou d’évaluation dans le domaine de la santé devra être mené en conformité avec les dispositions applicables à ces catégories de traitement et faire l’objet d’un engagement de conformité à une méthodologie de référence (procédure simplifiée) ou, à défaut de conformité avec l’un de ces référentiels, d’une demande d’autorisation recherche auprès de la CNIL.
Pour en savoir plus : Recherche médicale : quel est le cadre légal ?
À noter :
- le recueil du consentement exprès, l’autorisation ou l’engagement de conformité au référentiel « entrepôt » ne dispensent pas de la réalisation de formalités spécifiques pour chaque réutilisation des données à des fins de recherche, d’étude ou d’évaluation ;
- il est conseillé de mettre en place, dès la conception de l’entrepôt, des modalités facilitant la réalisation de l’information individuelle des personnes concernées, notamment telles que prévues à la MR-004 (voir également ci-dessous).
Récapitulatif : quel est le régime juridique associé à chaque traitement ?
Comment faire la distinction entre un « entrepôt de données de santé » et une « recherche » ?
Pour approfondir
- Explorez la cartographie des entrepôts de données de santé en France
- Recherche médicale : quel est le cadre légal ?
- La CNIL adopte un référentiel sur les entrepôts de données de santé
- Demande d’autorisation d’une recherche en santé : les informations à fournir et les critères d’octroi
- Demande d’autorisation dans le domaine de la santé (hors recherche) : les informations à fournir et les critères d’octroi
Les textes de référence
- Article 65 et suivants de la loi « Informatique et Libertés »
- Article 1461-1 et suivants du code de la santé publique
- Délibération de la CNIL n° 2016-333 du 10 novembre 2016
- Délibération n° 2018-155 du 3 mai 2018 (MR-004)
- Article L. 1461-3 III du code de la santé publique
- Délibération n° 2019-008 du 31 janvier 2019
- Loi 24 juillet 2019 relative à l'organisation et à la transformation du système de santé
- Délibération n° 2021-118 du 7 octobre 2021 portant adoption d'un référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de création d'entrepôts de données dans le domaine de la santé - Légifrance