Ce que contient le référentiel CNIL sur les entrepôts de données de santé

La CNIL a adopté son référentiel relatif aux entrepôts de données. Sa vocation ? Accompagner les acteurs de la filière pour la mise en conformité des traitements réalisés dans ses systèmes d’information, dans le cadre de leurs missions d'intérêt public. Explications.

Après une consultation lancée en mars dernier, la CNIL a diffusé au Journal officiel du 24 octobre, le fameux référentiel relatif aux entrepôts de données.

Un tel référentiel n’a pas de valeur contraignante, en ce sens qu’un responsable de traitement peut toujours s’en écarter, mais à condition de justifier les raisons de réaliser des traitements non prévus par ce texte.

Ces mêmes responsables trouveront néanmoins dans le document publié ce week-end au Journal officiel un guide précieux dessiné par la CNIL quand ils envisagent « dans le cadre de leurs missions d'intérêt public » la réunion des données de santé « en vue de leur réutilisation ».

L’intérêt d’un tel référentiel est aussi documentaire. Il « suffit » de déposer une déclaration de conformité pour être autorisé à mettre en œuvre un entrepôt de données de santé, soit autant de données sensibles selon le RGPD. À défaut, ou si le traitement n’est pas conforme à ce référentiel, les responsables devront revenir à la traditionnelle demande d’autorisation.

« Le référentiel ne s'applique qu'aux entrepôts de données de santé dont la constitution se fonde sur l'exercice d'une mission d'intérêt public » indique la CNIL. Cette base légale est l’une des six prévues par le sacro-saint RGPD. Il ne concerne donc pas les « entrepôts mis en œuvre par une société privée sur le fondement de son intérêt légitime » ou encore les traitements « mis en œuvre uniquement aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements ».

Même exclusion lorsque la personne concernée a donné son consentement explicite ou s’agissant des « entrepôts appariés avec la base principale du système national des données de santé ».

Sans surprise, les responsables de traitement devront dans tous les cas « mettre en œuvre toutes les mesures appropriées (techniques et organisationnelles) afin de garantir la protection des données à caractère personnel traitées, à la fois dès la conception du traitement et par défaut ». Et cette conformité devra pouvoir être démontrée à tout moment.

Recherche, étude, évaluation

Ces entrepôts ont pour finalité la réutilisation des données qu’ils contiennent. Un fléchage aux multiples cibles avec, en tête, la recherche, l'étude ou des évaluations dans le domaine de la santé (voir quelques exemples des recherches en cours au sein de l'APHP).

Ces finalités précisées, la CNIL a jugé plus qu’utile d’indiquer expressément que ces données ne pourront être exploitées à des fins de promotions des médicaments ou de cosmétiques « en direction de professionnels de santé ou d'établissements de santé ».

De même, les assureurs ne pourront s’en servir « à des fins d'exclusion de garanties des contrats d'assurance, ni de modification de cotisations ou de primes d'assurance d'un individu ou d'un groupe d'individus présentant un même risque ».

La liste impressionnante des données à caractère personnel

Pour assurer cette conformité aux finalités du référentiel, la CNIL a multiplié les exigences. Ainsi, est prévue une gouvernance pour chaque entrepôt, au besoin mutualisée. Une instance y sera par exemple chargée de déterminer « les orientations stratégiques et scientifiques de l'entrepôt » et devra tenir « une liste exhaustive des données de l'entrepôt et de justifier de leur nécessité ».

Identiquement, « le recours à chacune de ces données pour toute réutilisation devra être justifié dans la demande soumise à la gouvernance de l'entrepôt ».

Ces tours de vis s’expliquent par le périmètre vertigineux de données pouvant être traités dans ces bassins :

• nom, prénoms
• sexe, genre, civilité
• statut matrimonial
• jour, mois, date et lieu de naissance
• date, lieu et cause de décès, si présents dans le dossier médical
• coordonnées téléphoniques, électroniques et adresse de résidence
• numéro d'identifiant permanent du patient (IPP)
• numéro d'identifiant de l'épisode de soin (IEP)
• numéro d'identification au répertoire des personnes physiques identifiant national de santé (NIR-INS)
• poids, taille, comptes rendus (médicaux, RCP, etc.), résultats d'examens, résultats issus d'analyses d'échantillons biologiques, imagerie médicale, données relatives aux effets et événements indésirables, prescriptions, observations médicales et paramédicales, données issues de dispositifs médicaux ou d'appareils de mesure et tout élément constitutif du dossier médical
• antécédents personnels ou familiaux, maladies ou événements associés
• données génétiques strictement nécessaires pour répondre aux objectifs ou finalités de l'entrepôt et ayant été interprétées préalablement à leur versement dans l'entrepôt, ne pouvant en aucun cas être utilisées aux fins d'identification ou de réidentification des personnes
• vie sexuelle
• données révélant l'origine ethnique
• photographie et/ou vidéo et/ou enregistrements vocaux ne permettant pas l'identification directe des personnes concernées (par exemple, avec masquage du visage, des yeux, des signes distinctifs) et recueillies dans des conditions conformes aux dispositions applicables en matière de droit à l'image et de droit à la voix
• données relatives à la vie professionnelle (profession, historique d'emploi, chômage, trajets et déplacements professionnels, expositions professionnelles, catégorie INSEE socioprofessionnelle, etc.)
• niveau de formation (p. ex. : primaire, secondaire, supérieur)
• régime d'affiliation à la sécurité sociale, assurance complémentaire (mutuelle, assurance privée)
• déplacements (p. ex. : vers le lieu de soin ou de la recherche : mode, durée, distances ou voyages)
• consommation de tabac, alcool, drogues
• habitudes de vie et comportements, par exemple : dépendance (seul, en institution, autonome, grabataire), assistance (aide-ménagère, familiale), exercice physique (intensité, fréquence, durée), régime et comportement alimentaire, loisirs
• mode de vie (par exemple : urbain, semi-urbain, nomade, sédentaire), habitat (maison particulière, immeuble, étage, ascenseur, etc.)
• statut vital et cause du décès
• échelle de qualité de vie ou autres informations sur la qualité de vie de la personne
• exposition à des risques sanitaires connus (physiques, chimiques, biologiques et environnementaux, etc.).

Et encore… s’ajoutent à la liste, les données des professionnels de santé.

Minimisation

Ce spectre, particulièrement large, ne signifie pas nécessairement que toutes ces informations seront dans les baignoires à données de chaque entrepôt. « Seules des données à caractère personnel adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement peuvent être collectées et traitées », insiste la CNIL, doigt sur le principe de minimisation et de proportionnalité.

De là, se déduit une autre contrainte : « Aucune donnée ne peut être collectée uniquement afin d'alimenter l'entrepôt. Ainsi, est proscrit le versement dans l'entrepôt de données dont la collecte ne serait pas scientifiquement justifiée par la prise en charge sanitaire ou médico-sociale ou par la réalisation d'un projet de recherche, d'étude ou d'évaluation spécifique et prévue par un protocole ».

Jusqu’à 20 ans de conservation

Les données directement identifiantes ne pourront être réunies au sein de l’entrepôt que pour « recontacter les patients pour leur proposer de participer à des études », recontacter ces mêmes personnes « à la suite de découvertes de caractéristiques génétiques pouvant être responsables d'une affection justifiant des mesures de prévention ou de soins à leur bénéfice ou au bénéfice de leur famille », ou enfin avertir une personne d’un risque sanitaire auquel elle est exposée.

Les mêmes données identifiantes ne pourront être utilisées « que si les finalités du traitement le justifient ». En guise d’exemple, « le jour de naissance ne pourra être utilisé que s'il est nécessaire à la réalisation d'une recherche impliquant des personnes âgées de moins de deux ans ».

La durée de conservation maximale de certaines données sera de 20 ans dans le cadre des soins ou des recherches, les autres données devront être conservées pendant une durée n'excédant pas celle nécessaire au regard des finalités qui ont justifié la collecte.

Ce périmètre temporel n’est pas encore bien fixé puisque, alertée, la CNIL a reconnu que le référentiel comprenait des erreurs qui seront corrigées « dans les meilleurs délais ». 

Une information individuelle des patients, en principe

En principe, les patients seront informés individuellement que les données collectées lors de leur prise en charge seront versées dans l’entrepôt. « La réutilisation des données ainsi que les modalités d'exercice des droits d'accès et d'opposition doivent être particulièrement mises en avant dans la note d'information », prévient la CNIL.

Le responsable de traitement pourra néanmoins répondre à cette obligation « s'il justifie dans son registre d'activité de traitement que la fourniture des informations exigerait des efforts disproportionnés » (trop de personnes concernées, coût et temps, etc.).

La CNIL suggère dans un tel cas de diffuser l’information sur le site web du responsable de traitement, sur les réseaux sociaux, dans la presse locale, auprès des associations de patient, et/ou par communiqué de presse.

Une information similaire est prévue pour « la réutilisation des données issues de la recherche afin de constituer un entrepôt », principe et exceptions compris.

La CNIL réclame également une campagne générale avant la mise en place de l’entrepôt pour que les personnes puissent faire valoir leur droit d’opposition (qui pourra s’exercer par une simple case à cocher ou un formulaire dédié).

Mesures techniques et organisationnelles

Le référentiel contient également toute une liste de mesures techniques et organisationnelles que le responsable de traitement doit adopter : habilitations, incidents de sécurité, obligation de formation, etc.

Autre point important : « dans le cas où des données directement identifiantes ou des tables de correspondance sont stockées dans l'entrepôt, celles-ci doivent être séparées logiquement des données pseudonymisées par des moyens cryptographiques ».

La CNIL cite un exemple : « les données administratives des patients et les tables de correspondance doivent être chiffrées avec des clés différentes de celles utilisées pour chiffrer les données de santé de l'entrepôt ».

Des sous-traitants en UE ou hors UE, mais avec décision d'adéquation 

Les responsables de traitement pourront faire appel à un sous-traitant, qui sera installé soit en UE soit dans un pays bénéficiant d’une décision d’adéquation (à l’instar des États-Unis avant l’annulation du Safe Harbor puis du Privacy Shield).

« Dans le cas où le responsable de traitement a recours aux services d'un sous-traitant pour l'hébergement, le stockage ou la conservation des données de santé, ce sous-traitant doit être un hébergeur de données de santé agréé ou certifié selon les dispositions du Code de la Santé publique ».