Par Anne-Charlotte Andrieux et Sara Bakli
En juin 2022, la CNIL a autorisé l’ouverture d’un entrepôt de données de santé, projet initié par un consortium entre le laboratoire pharmaceutique AstraZeneca, Docaposte et Impact Healthcare. Il s’agit du premier entrepôt de données de santé opéré par un consortium public-privé.
Cette plateforme a vocation à recevoir des données de santé, aux fins d’analyse des informations des patients, étape supplémentaire franchie dans la concrétisation d’une médecine numérique.
Ce projet s’inscrit dans la continuité du référentiel de la CNIL dédié aux entrepôts de données de santé paru en novembre 2021 et participe d’une politique française volontariste notamment marquée par la création du PariSanté Campus ayant vocation à rassembler les acteurs du numérique en santé.
Cette démarche s’inscrit également dans la tendance plus globale d’ouverture des données de santé, les initiatives étant nombreuses : du Health Data Hub[1] (plateforme française des données de santé) à la création récente de l’espace européen des données de santé (EHDS)[2].
Ces projets visent en commun un objectif d’accès facilité aux données de santé, la quête de l’efficience des parcours de soins des patients, ou encore, pour l’EHDS, le partage par chaque citoyen de ses données avec des professionnels de son pays ou d’autres pays européens.
Le projet est ouvert à l’utilisation de tous types d’acteurs amenés à trouver dans cet outil un système d’accès et de traitement des données des patients : hôpitaux et autres établissements de santé, pharmacies, industriels, cliniques…
La création de cet entrepôt est également censée permettre aux entreprises un accès plus fluide au système national des données de santé (SNDS), aujourd’hui difficile d’accès pour des raisons de sécurité[3].
L’accès aux soins et l’administration des traitements, en particulier pour trois médicaments (maladie rénale, cancer du sein, Covid) sera ainsi facilité[4]. Mais cet accès n’est pas exempt de risques au regard du droit à la protection des données personnelles, dont nous ferons aujourd’hui un tour d’horizon.
Si cette initiative a vocation à permettre la mutualisation et la valorisation des données, la CNIL rappelle à juste titre que la création d’un entrepôt de données de santé[5] doit répondre à des critères précis afin de cantonner le risque pour la vie privée des personnes concernées.
Comment procéder pour créer un entrepôt de données de santé ?
Dans la définition retenue par le RGPD (art. 4.15 RGPD), laquelle se distingue de la définition apportée par le Code de la santé publique, la notion de données de santé s’entend plus largement de toute donnée à caractère personnel concernant la santé physique ou mentale, passée, présente ou future, d’une personne physique.
Sont dès lors considérées comme des données de santé par la CNIL :
Cette définition permet plus largement d’inclure des données de mesure à partir desquelles il est possible de déduire une information sur l’état de santé de la personne.
En tant que données sensibles au sens de l’article 9 du RGPD, les données de santé ne peuvent en principe être recueillies ou utilisées, sauf dans des cas limitativement énumérés :
C’est dans ce contexte que la CNIL a réalisé un référentiel dédié aux entrepôts de données de santé.
En l’absence d’autorisation préalable obligatoire, les organismes souhaitant mettre en œuvre un entrepôt de données de santé doivent vérifier la conformité du projet au référentiel et déclarer sa conformité auprès de la CNIL.
Ce référentiel s’adresse toutefois uniquement aux entrepôts de données de santé reposant sur l’exercice d’une mission d’intérêt public, raison pour laquelle la plateforme Agoria a été soumise à autorisation préalable de la CNIL.
Si le RGPD s’inscrit dans une tendance d’allègement des formalités préalables (logique de responsabilisation des acteurs), celles-ci sont toujours de rigueur concernant le secteur santé (déclaration de conformité, demande d’avis, demande d’autorisation santé ou recherche en santé[6]…).
En matière de traitement de données de santé, diverses procédures peuvent être requises pour la poursuite des activités de traitement, comme en ce qui concerne la création d’un entrepôt de données de santé ou pour des « opérations de recherche, études ou évaluations ponctuelles »[7].
***
Le Cabinet HAAS Avocats, fort de son expertise depuis plus de vingt-cinq ans en matière de nouvelles technologies et d’e-santé, accompagne ses clients dans différents domaines du droit et notamment en matière de protection des données personnelles et de santé. Si vous souhaitez être accompagnés dans la mise en œuvre d’un traitement de données de santé ou de la constitution d’un entrepôt de données de santé, vous pouvez nous contacter ici.
[1] Le Health Data Hub est un groupement d’intérêt public crée par la Loi du 24 juillet 2019.
[2] L’espace européen des données de santé vise à encadrer l’utilisation des données de santé au sein de l’Union – pour plus d’informations, c’est ici.
[3] Soumettre une demande d’accès aux bases du SNDS peut prendre entre 12 à 18 mois.
[4] Op.cit.
[5] Les entrepôts de données sont créés principalement pour collecter et disposer de données massives (données relatives à la prise en charge médicale du patient, données socio-démographiques, données issues de précédentes recherches, etc). Ces données sont ensuite réutilisées principalement à des fins d’études, de recherches et d’évaluations dans le domaine de la santé.
[6] Les procédures sont détaillées par la CNIL, en fonction des opérations de traitement concernées, ici.
[7] L’entrepôt collecte des données massives pour une réutilisation des données en vue de plusieurs projets alors que la recherche répond à un objectif précis et est limitée dans le temps.