17 janvier 2020

La création d’un entrepôt de données : un traitement de données de santé massif et utile, mais soumis à un régime propre

La notion d’entrepôt de données (EDS), souvent utilisée par la Commission Nationale de l’Informatique et des Libertés (CNIL), est mal connue. Un EDS est une importante base de données destinée à la réutilisation des données de santé, provenant de plusieurs sources, pour plusieurs projets d’études, de recherches et d’évaluations sur le long terme.

A ce jour, les EDS sont vus majoritairement comme relevant du secteur public et trois CHU[1] sont autorisés par la CNIL à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité un EDS. Cependant, OpenHealth[2] et IQVia[3] ont également été autorisées par la CNIL à mettre en œuvre un traitement ayant pour finalité la constitution d’un EDS à ces fins.

La CNIL a confirmé le 28 novembre 2019[4] que la création d’un EDS était soumise à une demande d’autorisation « santé » (hors recherche), sauf si les personnes concernées ont donné un consentement explicite pour la constitution de l’EDS. En pratique, ce consentement semble difficile à obtenir puisqu’il nécessite alors « une information individuelle complète, claire et lisible spécifiquement relative à la constitution de l’entrepôt », alors que les données ont pu être collectée avant que l’EDS soit envisagée.

Dans tous les cas, une analyse d’impact sur la protection des données (AIPD) devra être réalisée par le responsable de traitement. Cette analyse devra alors être transmise avec le dossier de demande d’autorisation adressé à la CNIL. Les principes de minimisation, de transparence, de durée de conservation appropriée et de limitation des destinataires des données, tout comme les aspects de sécurité des données, y compris l’hébergement certifié des données de santé, doivent être au cœur de cette AIPD.

L’EDS doit être distinguée d’une recherche au sens du Code de la santé publique. Si le traitement est destiné à une recherche, étude ou évaluation ponctuelle (un objectif précis et limitée dans le temps), il sera soumis à une autorisation dite « recherche » ou plus généralement à un engagement de conformité à une méthodologie de référence.

Les deux régimes peuvent coexister puisque des projets de recherches, études ou évaluations peuvent être réalisés à partir des données conservées dans l’EDS par le même responsable de traitement ou d’autres organismes

Les EDS, dans une logique big data / data lake, pourraient conduire le monde médical à un bouleversement et suscitent beaucoup d’espoirs pour la médecine de demain. Ils permettent de standardiser, expertiser, organiser et rendre accessibles les données, par exemple, pour optimiser des recherches, détecter des profils de santé particuliers, créer des outils de détection d’événements liés à la vigilance, développer des algorithmes d’aide à la décision, etc.

Ces EDS sont appelés à se multiplier, mais doivent trouver un équilibre entre efficacité et protection des données des patients.

Version PDF Retour