Traitements de données de santé : comment faire la distinction entre un entrepôt et une recherche et quelles conséquences ?

02 mars 2023

Lorsque la création d’une base de données comportant des données de santé est envisagée, le responsable de traitement doit déterminer si elle permettra la réalisation ultérieure de plusieurs traitements (« entrepôt ») ou s’il s’agit d’une recherche, d’une étude ou d’une évaluation ponctuelle. En fonction de ce choix, le régime juridique et les formalités à accomplir sont différents.

Entrepôt ou projet de recherche : un raisonnement en deux temps et deux régimes juridiques distincts

Lorsque le responsable de traitement envisage la constitution d’une importante base de données et la réutilisation des données contenues (« entrepôt ») dans plusieurs projets de recherche, un raisonnement en deux temps doit être opéré car chaque traitement fait l’objet d’un régime juridique distinct :

la création de l’entrepôt de données en tant que tel (c’est-à-dire la collecte et la conservation des données dans une base unique pendant une plus longue durée) ;
les projets de recherches, d’études ou d’évaluations réalisés à partir des données conservées dans l’entrepôt par le même responsable de traitement ou d’autres organismes.

Le régime juridique pour la constitution de l’entrepôt de données de santé

Trois hypothèses doivent être envisagées :

le consentement explicite des personnes concernées par la collecte, l’enregistrement et la conservation des données de santé dans un entrepôt a été recueilli. Dans ce cas, aucune formalité n’est nécessaire mais le responsable de traitement devra tout de même être en mesure de démontrer la conformité de son traitement au RGPD (registre, analyse d’impact, etc.) ;
le responsable de traitement réalise un engagement de conformité au référentiel sur les entrepôts de données de santé. La conformité au référentiel ne peut être invoquée que si l’entrepôt permet au responsable de traitement d’exercer une mission d’intérêt public (base légale du traitement) et si le traitement envisagé est conforme en tous points au référentiel ;
si le responsable de traitement ne remplit aucune de deux conditions présentées ci-dessus, le traitement relatif à la constitution de l’entrepôt doit faire l’objet d’une demande d’autorisation « santé » (hors recherche) auprès de la CNIL.

Dans tous les cas, une analyse d’impact sur la protection des données (AIPD) devra être réalisée par le responsable de traitement. Cette analyse devra alors être transmise avec le dossier de demande d’autorisation adressé à la CNIL.

Le régime juridique pour la réutilisation des données issues de l’entrepôt à des fins de recherches, d’études ou d’évaluations à partir des données conservées dans l’entrepôt

Chaque projet de recherche, d’étude ou d’évaluation dans le domaine de la santé devra être mené en conformité avec les dispositions applicables à ces catégories de traitement et faire l’objet d’un engagement de conformité à une méthodologie de référence (procédure simplifiée) ou, à défaut de conformité avec l’un de ces référentiels, d’une demande d’autorisation recherche auprès de la CNIL.

Pour en savoir plus : Recherche médicale : quel est le cadre légal ?

À noter :

le recueil du consentement exprès, l’autorisation ou l’engagement de conformité au référentiel « entrepôt » ne dispensent pas de la réalisation de formalités spécifiques pour chaque réutilisation des données à des fins de recherche, d’étude ou d’évaluation ;
il est conseillé de mettre en place, dès la conception de l’entrepôt, des modalités facilitant la réalisation de l’information individuelle des personnes concernées, notamment telles que prévues à la MR-004 (voir également ci-dessous).

Récapitulatif : quel est le régime juridique associé à chaque traitement ?

Comment faire la distinction entre un « entrepôt de données de santé » et une « recherche » ?

L’entrepôt vise à collecter des données massives sur une période prolongée pour une réutilisation des données dans plusieurs projets de recherche. La recherche, qui prévoit une collecte de données particulières, répond à un objectif scientifique précis et est limitée dans le temps.

L’entrepôt de données

Les entrepôts de données sont créés principalement pour collecter et disposer de données massives (données relatives à la prise en charge médicale du patient, données socio-démographiques, données issues de précédentes recherches, registre de pathologies, etc.).

Ces données sont ensuite réutilisées, la plupart du temps partiellement, à des fins d’études, de recherches et d’évaluations dans le domaine de la santé.

Ces bases de données sont constituées pour une longue durée (au moins 10 ans en général) et l’objectif est d’obtenir un volume de données important. Elles peuvent être alimentées par de multiples sources (professionnels de santé, patients, pharmacie, établissements de santé, etc.).

Cette approche a été retenue par la CNIL dans certains cas, par exemple :

pour l’entrepôt « Banque nationale de données maladies rares » de l’AP-HP ;
pour l’entrepôt du CHU de Rennes ;
pour l’entrepôt « ELSAN ».

Elle permet, dans un cadre protecteur et conforme à la loi Informatique et Libertés et au RGPD (notamment par le principe de minimisation des données, de l’information des personnes, etc.), la constitution d’importantes bases de données.

La recherche, étude ou évaluation dans le domaine de la santé

C’est un traitement de données qui poursuit une finalité précise et répond à une question scientifique déterminée et ponctuelle. La durée de la recherche est limitée et connue. Les données sont collectées spécifiquement pour les besoins de la recherche.

À titre d’exemple :

un entrepôt peut être constitué afin de recenser tous les cas de grippe dans une région, au fur et à mesure et sur plusieurs années ;
les données de cet entrepôt peuvent ensuite être réutilisées dans le cadre de recherches précises, par exemple afin d’estimer les facteurs de risques et le profil des patients contractant la grippe sur une période donnée.

À noter :

les cohortes prévoyant un suivi longitudinal, dans une durée limitée, portant sur une thématique précise et ayant des destinataires limités sont des recherches et relèvent des dispositions spécifiques qui leur sont applicables ;
la réutilisation des données issues d’une « recherche » est possible ponctuellement, à condition que le nouveau responsable de traitement respecte les dispositions « recherche », en particulier l’information des personnes, et les formalités correspondantes (voir ci-dessus).

Comment procéder en cas de doute ?

Certains projets seront parfois plus difficiles à qualifier (par exemple une base de données sur une pathologie précise). Dans cette hypothèse, le responsable de traitement devra se poser principalement les questions suivantes, en lien avec son délégué à la protection des données s’il a été désigné :

La base de données va-t-elle servir à la réalisation de plusieurs traitements présentant des finalités distinctes ?
La base de données est-elle constituée pour une durée longue (par exemple : 10 ans) ?
La base sera-t-elle alimentée au fil de l’eau ?
Y a-t-il un objectif de recherche suffisamment précis pour qualifier le traitement en tant que « recherche » ?

Le service santé de la CNIL peut également vous aider, notamment lors de la permanence téléphonique.

Comment informer les personnes et quels sont leurs droits ?

S’agissant des entrepôts

Les personnes concernées par la conservation de leurs données dans un entrepôt doivent disposer d’une information individuelle complète, claire et lisible spécifiquement relative à la constitution de l’entrepôt.

Consulter la fiche « Traitement de données de santé : comment informer les personnes concernées ? »

Elles doivent pouvoir exercer de manière effective leurs droits notamment les droits d’accès, de rectification et d’opposition et, le cas échéant, de droit à la portabilité.

Consulter la fiche « Respecter les droits des personnes »

S’agissant des recherches

Conformément à la loi, les personnes doivent être informées individuellement de chaque projet de recherche mené à partir des données contenues dans l’entrepôt.

Les responsables de traitement doivent mettre en œuvre dès la constitution de l’entrepôt des mesures permettant de garantir la protection des droits des personnes, conformément au RGPD (« protection des données dès la conception et protection des données par défaut »). Ils sont encouragés à mettre en place des dispositifs innovants permettant l’information des personnes et l’exercice de leurs droits.

À titre d’exemple, en matière d’information des personnes, la méthodologie de référence MR-004 prévoit la possibilité d’un aménagement de l’information des personnes en permettant le renvoi à un dispositif d’information (par exemple : site web), dès lors que les personnes en ont été préalablement individuellement informées.

Un organisme peut-il créer un entrepôt comportant des données du Système national des données de santé (SNDS) ?

Depuis la loi du 24 juillet 2019 relative à l'organisation et à la transformation du système de santé, la CNIL peut autoriser la constitution d’entrepôts contenant des données du SNDS (seules ou appariées avec des données issues d’autres traitements).

La CNIL a par exemple autorisé plusieurs entrepôts comportant des données du « SNDS historique » (notamment issues du Système national d'information inter-régimes de l'Assurance maladie (SNIIRAM), du Programme de Médicalisation des Systèmes d'Information (PMSI) et du Centre d'épidémiologie sur les causes médicales de décès (CépiDc)) :

l’entrepôt « Cardiohub » de la Société française de cardiologie, apparié à la base principale du SNDS ;
l’entrepôt « Magellan » de la société Clinityx, constitué exclusivement de données du SNDS.

La CNIL est particulièrement vigilante au strict respect des principes liés à la protection des données, notamment minimisation, information des personnes, destinataires et accédants, durées de conservations, encadrement de la réutilisation des données, sécurité des données.

À noter : une demande d’autorisation doit systématiquement être déposée auprès de la CNIL lorsque l’entrepôt comporte des données du SNDS, même lorsque le consentement des personnes concernées a été recueilli.

Texte reference