E-Santé : nouveau référentiel « entrepôt de données de santé » à venir
La Commission nationale de l’informatique et des libertés (CNIL) a lancé une consultation sur un projet de référentiel portant sur les créations d’entrepôts de données de santé. Cette consultation est disponible jusqu’au 02 avril 2021.
Afin d’accompagner les professionnels dans leurs démarches de mises en conformité, la CNIL souhaite réunir les avis des acteurs publics privés désirant constituer un entrepôt de données de santé dans le cadre de l’exercice d’une mission d’intérêt public. Cette consultation permettra à la CNIL d’établir un nouveau référentiel.
Un entrepôt de données de santé est une importante base de données destinée à la réutilisation des données de santé, provenant de plusieurs sources, pour plusieurs projets d’études, de recherches ou d’évaluations. Ces données sont stockées dans un seul fichier massif et destiné à être conservé pendant longtemps.
La constitution d’un tel entrepôt nécessite d’obtenir le consentement explicite des patients concernées par la collecte, l’enregistrement et la conservation des données de santé. Si le consentement explicite des personnes concernées ne sont pas recueilli, le traitement relatif à la constitution de l’entrepôt doit faire l’objet d’une demande d’autorisation « santé » (hors recherche) auprès de la CNIL et la finalité poursuivie devra revêtir un caractère d’intérêt public.
Dans tous les cas, une analyse d’impact sur la protection des données (AIPD) devra être réalisée par le responsable de traitement. Cette analyse devra alors être transmise avec le dossier de demande d’autorisation adressé à la CNIL.
Après constitution, la réutilisation de ces données dans le cadre d’un projet de recherche devra être menée en conformité avec les dispositions relatives aux recherches et faire l’objet d’un engagement de conformité à une méthodologie de référence (procédure simplifiée) ou, à défaut de conformité avec l’un de ces référentiels, d’une demande d’autorisation recherche.
Avec ce nouveau référentiel[1] à venir, les traitements conformes à celui-ci (adopté après la consultation) pourront déclarer leur conformité auprès de la CNIL et ne seront plus soumis à la procédure de demande d’autorisation.
Les traitements qui ne s’y conformeront pas devront justifier de leur écart au référentiel afin d’obtenir une autorisation.
Notre Cabinet UGGC et son équipe d’Avocats spécialisés en droit du numérique et de la santé sont à votre disposition pour vous assister dans la protection de vos intérêts juridiques et économiques.
Par l’équipe IP/IT du Cabinet UGGC
Source : CNIL
[1] Instrument de régulation « souple », un référentiel a vocation à donner davantage de sécurité juridique aux organismes. Il est élaboré en concertation avec les acteurs concernés, il peut notamment actualiser les anciens cadres de références adoptés avant l’entrée en vigueur du RGPD, tels que les autorisations uniques (AU) et les actes réglementaires uniques (RU).