Scroll Top
Modalités d'information du référentiel entrepôts de données de santé
Actualités Actualités du moment Adriane Louyer Autorités et organismes nationaux Clinique Données de santé Données personnelles Entrepôts de données ESPIC Établissement de santé privé Etablissement public de santé Laurence Huin Numérique et données de santé Santé numérique Start-up Université et Recherche
Partager l'article



*




Les modalités d’information du référentiel entrepôt données de santé

 

Article rédigé le 31 janvier 2022 par Me Laurence Huin et Adriane Louyer

Le référentiel sur les entrepôts de données de santé publié récemment par la CNIL est riche d’enseignements à toute personne s’intéressant aux modalités d’information préalable des personnes concernées. À titre liminaire, il convient de rappeler que les personnes concernées par l’entrepôt de données de santé sont à la fois les patients mais également les professionnels de santé. Dans cet article, nous analyserons uniquement les modalités d’information spécifiques aux données des patients et non l’information des professionnels de santé.

 

SOMMAIRE
1 L’encadrement du recours à l’exception à l’information individuelle des patients
2 La nouvelle obligation d’une information générale complémentaire

 

  • Ce référentiel distingue les modalités d’information des patients selon les modes de collecte des données personnelles :
  • La collecte directe des données des patients admis ou réadmis après la création de l’entrepôt de données ;
  • La collecte indirecte de données issues de dossiers de patients admis avant la création de cet entrepôt de données et n’étant plus suivis ;
  • La collecte indirecte des données de personnes ayant participé à des recherches dont les données sont intégrées ultérieurement à l’entrepôt de données ;
  • La réutilisation ultérieure des données conservées dans l’entrepôt à des fins de recherche, d’étude ou d’évaluation.

Ce référentiel précise également l’exception à l’information individuelle des personnes concernées, rarement évoquée par la CNIL. De plus, ce référentiel impose pour la première fois la réalisation d’une double information individuelle et générale des personnes concernées par l’entrepôt de données. Ces deux apports seront analysés ci-dessous.

 

L’encadrement du recours à l’exception à l’information individuelle des patients

 

Le référentiel revient de manière classique sur les modalités d’information en ce qu’il rappelle aux responsables de traitement qui souhaitent s’inscrire dans ce référentiel qu’ils devront fournir aux personnes concernées une information concise, transparente, compréhensive et facilement accessible sur le traitement qu’ils mettent en œuvre (article 12.1 du RGPD). En effet, ce rappel est important en ce que les responsables de traitement visés par ce référentiel seront amenés à traiter les données personnelles d’un public très large comprenant des personnes fragiles et vulnérables. Dès lors, le responsable de traitement devra faire preuve de pédagogie toute particulière pour expliquer aux patients en quoi consiste le traitement envisagé. Une mention d’information qui n’est pas suffisamment claire pourra être mal interprétée par les personnes concernées, générer une inquiétude notamment sur le traitement de leurs données de santé voire conduire à un litige. A l’inverse, le respect des exigences de transparence permet d’instaurer davantage de confiance envers le responsable de traitement.

De manière beaucoup moins classique, la CNIL prévoit dans ce référentiel que le responsable de traitement pourra faire valoir l’exception à l’obligation d’information individuelle s’il justifie dans son registre d’activité des traitements que la fourniture d’une telle information nécessite des « efforts disproportionnés ». En effet, l’article 14.5 b) du RGPD offre la possibilité, sous certaines conditions, aux responsables de traitement qui procèdent à une collecte indirecte des données de déroger à l’obligation d’informer individuellement les personnes concernées, lorsque la fourniture d’une telle information s’avèrerait impossible ou exigerait des efforts disproportionnés.

Appliquée aux entrepôts de données de santé, la Commission ne prévoit cette dérogation que dans le cas où les données du patient ont été collectées indirectement. La commission envisage donc une dérogation dans les trois cas suivants :

    • la collecte indirecte de données issues de dossiers des patients avant la mise en œuvre de l’entrepôt de données et n’étant plus suivis, ou
    • la réutilisation de données de personnes ayant participé à des recherches.
    • la réutilisation de données conservées dans l’entrepôt à des fins de recherche, d’étude ou d’évaluation.

 

S’agissant des deux premiers cas de figure, la CNIL considère dans ce référentiel que seule l’exception d’un effort disproportionné pourra être invoquée par le responsable de traitement. A l’inverse, pour les traitements de données à des fins ultérieures de recherche, d’étude ou d’évaluation, le responsable de traitement pourra solliciter l’impossibilité d’informer les patients ou bien encore l’effort disproportionné pour bénéficier de l’exception à l’information individuelle.

Sur ces deux notions d’« effort disproportionné » et d’« impossibilité », il convient de se référer aux précisions apportées en 2018 par le Comité européen à la protection des données (anciennement G 29) (ci-après « CEPD »), dans ses lignes directrices sur la transparence. Le CEPD considère que pour bénéficier de la dérogation à l’information individuelle en raison de l’effort disproportionné, le responsable de traitement doit « mettre en balance les efforts qui lui sont demandés pour communiquer les informations à la personne concernée et l’incidence et les effets sur la personne concernée dans le cas où celle-ci ne recevrait pas ces informations. Cette mise en balance devrait être documenté ». Quant à l’impossibilité pour le responsable de traitement de délivrer cette information individuelle, le CEPD considère que cette situation est « absolue et ne permet pas de demi-mesure, car la fourniture est simplement possible ou impossible ».

S’agissant de l’application concrète de ces exceptions, la CNIL précise dans ce référentiel que l’exception à l’obligation individuelle en raison d’un effort disproportionné ne sera pas justifiée dans la plupart des cas (nombre de personnes concernées, ancienneté des données, coût et temps de la délivrance des informations) sauf, par exemple, pour les personnes pour lesquelles le responsable de traitement dispose d’un dossier médical mais qui ne sont plus suivies au sein de l’établissement.

S’agissant de l’impossibilité de réaliser une information individuelle, les conditions très restrictives établies par le CEPD limitent très fortement les cas dans lesquelles cette exception pourra être invoquée par un responsable de traitement. Ainsi, lorsque le responsable de traitement réutilise les données de personnes concernées dans l’entrepôt de données à des fins de recherche, d’étude ou d’évaluation, il ne pourra justifier l’impossibilité de réaliser une information individuelle que dans de très rare cas.

Malgré ces conditions restrictives, si le responsable de traitement estime pouvoir se prévaloir, dans l’un des rares cas, de l’exception à son obligation d’information individuelle, il devra rendre les informations publiquement disponibles. A ce titre, la CNIL propose plusieurs modes de communication publique :

    • la diffusion d’une note d’information relative à la constitution de l’entrepôt sur son site web ;
    • la communication sur l’entrepôt sur les réseaux sociaux, dans les médias régionaux, auprès des associations de patients ;
    • la diffusion d’un communiqué de presse.

 

Outre cette information publique, la CNIL impose au responsable de traitement qui souhaiterait invoquer cette exception de détailler précisément dans l’analyse d’impact relative à la protection des données la justification de cet effort disproportionné ou de l’impossibilité de réaliser une information individuelle ainsi que les garanties qu’il aura mise en œuvre pour protéger les droits et libertés et les intérêts légitimes des personnes concernées. Cette obligation de documenter cette exception à l’obligation d’information, et ce, conformément au principe d’accountability, laisse douter de l’intérêt à se prévaloir de cette exception.

Ainsi dans ce référentiel, la CNIL apporte des précisions sur les conditions dans lesquelles un responsable de traitement pourra recourir à l’exception au principe de l’information individuelle des personnes. Cependant, bien que la Commission mentionne la possibilité pour un responsable de traitement d’invoquer l’exception à l’information individuelle des personnes concernées, il ressort de l’étude des conditions imposées par la CNIL qu’en réalité, les cas où cette exception sera recevable seront très rares et représenteront une charge conséquente pour le responsable de traitement.

 

La nouvelle obligation d’une information générale complémentaire

 

Pour la première fois, la CNIL impose expressément aux responsables de traitement de réaliser une information générale en complément d’une information individuelle des personnes concernées.

En effet, dans ce référentiel, la Commission exige des responsables de traitement qui souhaitent réaliser un entrepôt de données de santé, la diffusion d’une information générale, via une campagne d’information publique, avant la mise en place de ce traitement. Ainsi, même si le responsable de traitement n’entend pas faire valoir l’exception à l’obligation d’information individuelle, il devra dans tous les cas procéder à une communication publique sur la mise en œuvre du traitement. Ce référentiel apporte donc une nouveauté dans les modalités d’information des personnes concernées de part cette obligation d’une double information, individuelle et générale, des personnes concernées.

Cette nouvelle obligation ne figure pas dans les lignes directrices sur la transparence du CEPD. Le CEPD dans ses lignes directrices évoque simplement la campagne d’information publique lorsque le responsable de traitement a recours à certaines technologies particulières. En aucun cas, le Comité européen n’envisage cette double information pour les personnes concernées par un traitement : information individuelle et information publique.

De surcroit, cette obligation à la charge du responsable de traitement interroge sur les canaux de communication qui devront être utilisés et sur l’échelle territoriale adéquate. La CNIL cite en exemple les réseaux sociaux, au sein de l’établissement ou encore la presse régionale. Toutefois, l’ensemble de ces personnes concernées par l’entrepôt de données de santé ne s’informent pas toutes via les mêmes médias de communication. Dès lors, pour délivrer cette information à une part importante de l’ensemble de ses patients, le responsable de traitement devra s’assurer que la communication sera bien réalisée sur différents canaux.

Enfin, la CNIL dans ce référentiel apporte des précisions sur le délai dans lequel cette campagne d’information doit avoir lieu.

Cette campagne d’information générale devra être réalisée suffisamment en amont afin de garantir « une période de temps raisonnable » pour que les personnes concernées puissent faire valoir leur droit d’opposition. La CNIL propose en exemple dans ce référentiel le délai d’un mois. Il est possible de considérer que ce délai d’un mois constitue le délai minimum auquel le responsable de traitement est soumis avant de débuter l’intégration des données personnelles au sein de l’entrepôt de données de santé. Par ailleurs, afin d’informer suffisamment l’ensemble des personnes concernées avant la mise en place de l’entrepôt de données, la CNIL exige du responsable de traitement qu’il rende cette information accessible durant toute la période qui précède la mise en place de l’entrepôt de données de santé. Le responsable de traitement ne pourra donc se contenter de réaliser une campagne furtive d’information.

A la lecture de ce référentiel, le responsable de traitement d’un entrepôt de données de santé devra prendre en compte le fait que les exigences imposées en matière d’information générale et individuelle des personnes concernées par le traitement peuvent avoir pour effet d’augmenter significativement, non seulement le budget de sa mise en œuvre par des dépenses conséquentes en matière de communication, mais également la charge de travail de ses équipes opérationnelles ainsi que de son délégué à la protection des données personnelles.

En conclusion, ce référentiel a vocation à être un cadre de référence pour l’ensemble des entrepôts de données de santé. Dès lors, les responsables de traitement qui procèdent à une demande d’autorisation ou fondent ce traitement sur le consentement des personnes devront eux aussi respecter les grands principes posés en matière de modalités d’information par la CNIL dans le cadre de ce référentiel.

 

Laurence Huin
Laurence Huin

Avocat depuis 2015, Laurence Huin exerce une activité de conseil auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Elle a rejoint le Cabinet Houdart & Associés en septembre 2020 et est avocate associée en charge du pôle Santé numérique.
Elle consacre aujourd’hui une part importante de son activité à l’accompagnement des établissements de santé publics comme privés dans leur mise en conformité à la réglementation en matière de données personnelles, dans la valorisation de leurs données notamment lors de projets d’intelligence artificielle et leur apporte son expertise juridique et technique en matière de conseils informatiques et de conseils sur des projets de recherche.

Adriane Louyer
Adriane Louyer

Avant de rejoindre le cabinet Houdart & Associés en 2021, Adriane Louyer a travaillé au sein de cabinets d’avocats et de plusieurs administrations publiques. Elle dispose de compétences en droit administratif et a développé une expertise juridique en droit des données dans le secteur public (droit des données personnelles, open data, droit d’accès aux documents administratifs).

Au sein du pôle santé numérique, elle conseille et assiste les établissements publics et privés du secteur sanitaire et médico-social en droit du numérique.