Traitements de données dans le domaine de la santé : les référentiels pour simplifier vos démarches
Certains traitements de données de santé sont soumis à l’accomplissement de formalités préalables auprès de la CNIL. Afin de faciliter les démarches des organismes concernés et la mise en conformité de leurs traitements, la CNIL a publié des référentiels auxquels ils doivent se référer.
Il existe deux types de référentiels s’appliquant aux traitements de données de santé :
- les référentiels dits « de droit souple » et guides d’une part ; et
- les référentiels pour les traitements soumis à autorisation de la CNIL d’autre part.
Les référentiels dits « de droit souple » et les guides pratiques
Les référentiels dits « de droit souple » sont des cadres de référence non contraignants. Le fait pour un organisme de les suivre et de les respecter doit lui permet de mettre ses traitements en conformité avec le RGPD.
Toutefois, les responsables de traitement peuvent décider de s’écarter de certaines de leurs préconisations, par exemple en raison d’éléments tenant à leur situation particulière.
| Référentiel | Description |
|---|---|
| Référentiel relatif aux traitements de données à caractère personnel destinés à la gestion des cabinets médicaux et paramédicaux | Applicable aux traitements de données sensibles couramment mis en œuvre dans le cadre de la gestion médicale et administrative d’une patientèle, par les professionnels de santé libéraux. |
| Référentiel des durées de conservation dans le domaine de la santé (hors recherche) |
Applicable aux traitements de données dans le domaine de la santé (hors recherche), afin d’accompagner les acteurs dans l’identification et la détermination de la durée de conservation des données pertinente. Remarque : il distingue les durées obligatoires prévues par les textes et les durées non obligatoires recommandées par la CNIL. |
| Référentiel des durées de conservation dans le domaine de la recherche en santé |
Applicable aux traitements dans le domaine de la recherche en santé, afin d’accompagner les acteurs du secteur dans l’identification et la détermination de la durée de conservation des données pertinente. Remarque : il distingue les durées obligatoires prévues par les textes et les durées non obligatoires qui devront être strictement justifiées par le responsable de traitement. |
| Référentiel relatif aux traitements de données à caractère personnel destinés à la gestion des officines de pharmacie | Applicable aux traitements mis en œuvre dans le cadre de la prise en charge sanitaire et de la gestion administrative de la patientèle/clientèle des pharmacies, par les exploitants d’officines de pharmacie. |
Il existe également des guides pratiques, le plus souvent rédigés en collaboration avec d’autres organismes (ex : le conseil national de l’ordre des médecins ou des pharmaciens), permettant de mieux appréhender la législation sur la protection des données de santé.
| Guide | Description |
|---|---|
| Guide pratique sur les circuits NIR pour la recherche en santé | Applicable aux traitements utilisant le NIR à des fins d’appariements (par exemple pour travailler avec les données du Système national des données de santé (SNDS)), ainsi que les mesures de sécurité à mettre en œuvre. |
| Guide pratique du Conseil de l’ordre national des médecins (CNOM) et de la CNIL sur la protection des données personnelles | Applicable aux traitements mis en œuvre par les médecins en exercice libéral, dans la mise en œuvre des obligations prévues par la réglementation sur la protection des données personnelles. La CNIL a également publié une FAQ complémentaire. |
| Guide pratique du Conseil national de l’ordre des pharmaciens (CNOP) et de la CNIL sur la protection des données personnelles | Applicable aux traitements mis en œuvre par les pharmaciens titulaires d’officine, en leur qualité de responsables de traitement. |
| Guide de l’Union nationale des associations familiales (UNAF) | Applicable aux traitements mis en œuvre par les professionnels du secteur social et médico-social dans leur mise en conformité. |
Les « référentiels » s’appliquant aux traitements soumis à autorisation
Les « référentiels s’appliquant aux traitements soumis à autorisation » ont pour but de simplifier la démarche des organismes dans le cadre des formalités préalables.
En effet, le respect en tous points de ces référentiels vous dispensera d’une autorisation spécifique de la CNIL, en effectuant uniquement une déclaration de conformité.
A noter : dans certains cas, il faudra tout de même un avis ou une autorisation d'autres organismes compétents : Comité de protection des personnes (CPP), Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (CESREES), Agence nationale de la sécurité du médicament (ANSM).
Référentiels concernant les traitements de données de santé hors recherche
| Référentiel | Description |
|---|---|
| Le référentiel vigilances sanitaires | Applicable aux traitements de données de santé personnelles à des fins de gestion des vigilances sanitaires (listées dans l’arrêté du 27 février 2017), par les entreprises, exploitants et organismes responsables de la mise sur le marché d’un médicament, d’un dispositif ou d’un produit. Une FAQ sur ce référentiel a également été publiée afin de permettre aux organismes de mieux l’appréhender. |
| Le référentiel portant sur les accès précoces | Applicable aux traitements de données à caractère personnel mis en œuvre dans le cadre d’un accès précoce par les laboratoires pharmaceutiques exploitant un médicament. Il couvre le suivi des patients, la mise à disposition du médicament et la gestion des relations avec les prescripteurs et les dispensateurs. |
| Le référentiel portant sur les accès compassionnels | Applicable aux traitements de données à caractère personnel mis en œuvre dans le cadre d’un accès compassionnel par les laboratoires pharmaceutiques exploitant un médicament ayant obtenu une autorisation d’accès compassionnel dès lors qu’un suivi du patient est requis par l’ANSM dans sa décision. |
| Le référentiel entrepôt de données de santé | Applicable à la constitution de bases de données de santé, reposant sur l’exercice d’une mission d’intérêt public, destinées notamment à être réutilisées à des fins de recherches, études ou évaluations dans le domaine de la santé. Une check-list permettant de vérifier la conformité du traitement au référentiel a également été publiée. |
Référentiels concernant les traitements de données à des fins de recherches, études et évaluations dans le domaine de la santé
| Référentiel | Description |
|---|---|
| Si la recherche est qualifiée de recherche impliquant la personne humaine (RIPH) | |
| MR-001 | Applicable aux recherches nécessitant le recueil de l'accord des personnes concernées pour réaliser la recherche. |
| MR-002 | Applicable aux recherches non interventionnelles de performances concernant les dispositifs médicaux de diagnostic in vitro. |
| MR-003 | Applicable aux recherches lesquelles la personne concernée ne s’oppose pas à participer après avoir été informé. |
| Si la recherche est qualifiée de recherche n’impliquant pas la personne humaine (RNIPH) | |
| MR-004 | Applicable aux recherches, études ou évaluations ne répondant pas à la définition d’une recherche impliquant la personne humaine (études sur données prospectives ou rétrospectives). |
| MR-005 | Applicable aux recherches, études ou évaluations nécessitant l’accès aux données du PMSI et/ou des RPU par les établissements de santé et les fédérations hospitalières. |
| MR-006 | Applicable aux recherches, études ou évaluations nécessitant l’accès aux données du PMSI par les industriels de santé. |
| MR-007 | Applicable aux recherches, études ou évaluations nécessitant l’accès à la base principale du SNDS par les organismes agissant dans le cadre de leur mission d’intérêt public. |
| MR-008 | Applicable aux recherches, études ou évaluations nécessitant l’accès à la base principale du SNDS par les organismes agissant dans le cadre de leurs intérêts légitimes. |
| Référentiel ESND (ex-EGB) | Encadre l’accès à l’échantillon des données de l’échantillon des données du SNDS (ESND). |
Afin de contribuer à la rédaction de l’ensemble de ces référentiels, la CNIL consulte régulièrement les organismes publics et privés représentatifs des acteurs concernés.
