Entrepôts de données de santé : la CNIL publie une « check-list » de conformité à son référentiel
La création d’un entrepôt de données de santé nécessite le respect de certaines formalités. Afin de simplifier les démarches pour les responsables de ces bases de données sensibles, la CNIL a adopté en octobre 2021 un référentiel. En complément, elle propose aujourd’hui une « check-list » de conformité.
Évaluer sa conformité au référentiel
La « check-list » a pour objectif d’aider les responsables de traitement à vérifier facilement leur conformité au référentiel. Elle peut être utilisée par tout acteur souhaitant constituer un entrepôt de données dans le domaine de la santé.
Pour ce faire, elle reprend les différentes exigences du référentiel sous forme d’affirmations auxquelles le responsable de traitement répond par vrai/ faux, le cas échéant « non applicable ».
Toute réponse négative (« faux ») à l’une des questions signifie que le traitement envisagé n’est pas conforme au référentiel.
Tout traitement qui ne respecte pas l’ensemble des exigences définies par le référentiel doit faire l’objet d’une autorisation spécifique de la CNIL avant d’être mis en œuvre (« déclarer un fichier » sur le site).
Et si mon traitement n’est pas conforme ?
La « check-list » permet de se poser les bonnes questions lors de la constitution de l’entrepôt. Un plan d’action pour combler les écarts constatés entre le traitement envisagé et les exigences du référentiel peut ainsi être élaboré sur cette base.
Par ailleurs, le référentiel est un outil pédagogique qui pose un cadre de bonnes pratiques auxquelles les responsables de traitement peuvent se référer. La « check-list » peut donc même être utilisée comme un outil en dehors du cadre juridique du référentiel. Ainsi, la liste justifiant les écarts au référentiel peut être jointe à un dossier de demande d’autorisation auprès de la CNIL en vue de la constitution d’un entrepôt.