Qui peut bénéficier du référentiel des entrepôts de données de santé ?
Article rédigé le 24 janvier 2022 par Me Laurence Huin et Adriane Louyer
La CNIL a publié le 17 novembre dernier son référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de création d’entrepôts de données dans le domaine de la santé.
Bien que depuis l’entrée en vigueur du RGPD, les responsables de traitement n’ont plus à procéder à des déclarations auprès de la CNIL, les articles 66 et suivants de la Loi Informatique et Libertés imposent toujours la réalisation de formalité préalable auprès de la Commission pour les traitements mis en œuvre dans le domaine de la santé.
Les responsables de traitement qui souhaitent constituer un entrepôt de données de santé doivent se conformer strictement à ce référentiel pour bénéficier de la procédure simplifiée de déclaration préalable auprès de la CNIL. L’intérêt de cette déclaration est d’échapper, d’une part, à la procédure plus contraignante de l’autorisation préalable de la CNIL ou, d’autre part à la difficulté de réunir l’ensemble des conditions nécessaires pour fonder ce traitement sur le consentement des personnes concernées. Face à ce cadre très stricte n’acceptant aucune dérogation, la question qui se pose est celle du périmètre des acteurs concernés qui pourront réellement en bénéficier.
Cette question est légitime au regard des conditions très restrictives qui ne pourront pas être appliquées par tous les organismes (1). Cependant, tant pour les organismes soumis à ce référentiel que pour ceux qui ne le sont pas, ce document constitue un cadre de référence utile pour démontrer leur conformité (2).
Un référentiel au périmètre restreint
Si la publication de ce référentiel a fait grand bruit, il ne pourra néanmoins bénéficier qu’aux responsables de traitement investis de l’exercice d’une mission d’intérêt public (1.1) et ne sera pas applicable à de nombreux traitements, soit parce que ces traitements sont expressément exclus de ce référentiel (1.2), soit parce que le responsable de traitement ne peut se conformer aux autres conditions strictes de ce référentiel (1.3).
Le critère sélectif de la mission d’intérêt public
Première exigence et non des moindres, la CNIL impose pour pouvoir se prévaloir de ce référentiel que le responsable de l’entrepôt de données de santé fonde son traitement uniquement sur la base légale de « l’exercice d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable de traitement au sens de l’article 6.1. e) du RGPD ».
On rappellera que pour assurer la licéité d’un traitement de données à caractère personnel, un responsable de traitement se doit de retenir une base légale parmi les six bases légales listées à l’article 6 du RGPD que sont :
- le consentement
- la nécessité à l’exécution d’un contrat ou à l’exécution de mesures précontractuelles
- le respect d’une obligation légale
- la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique
- l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement
- les intérêts légitimes poursuivis par le responsable du traitement
On comprend donc que le référentiel, par cette exigence, restreint considérablement le périmètre des acteurs qui pourront s’en prévaloir, et ce, d’autant plus que la base légale « exercice d’une mission d’intérêt public » est plus restrictive que la condition de « finalité d’intérêt public » visés à l’article 66.1 de la LIL imposée à tous les traitements mis en œuvre dans le domaine de la santé.
Cette notion de « finalité d’intérêt public » ne doit pas être confondue avec la notion d’ « exercice d’une mission d’intérêt public » prévue à l’article 6.1 e) du RGPD. En effet, la notion de « finalité d’intérêt public » a été introduite, par la Loi n°2016-41 de modernisation de notre système de santé de 2016. Cependant, pour de nombreuses sociétés privées du secteur de la santé, la notion de « finalité d’intérêt public » manquait de précision ce qui les conduisait à s’interroger si elles pouvaient réellement remplir cette condition de « finalité d’intérêt public ». Afin de mettre un terme à ces doutes, les députés de l’Assemblée Nationale ont proposé dans le cadre de l’adoption de la dernière loi modifiant la LIL (loi n° n°2018-493 du 20 juin 2018) un amendement précisant à l’article 66.I de la LIL que « la garantie de normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux constitue une finalité d’intérêt public ». Cette précision vise à faire correspondre la notion de « finalité d’intérêt public » de l’article 66.1. du RGPD avec la notion de « motif d’intérêt public dans le domaine de la santé publique » inscrite à l’article 9.2 i) du RGPD.
Plus restrictive la base légale de « l’exercice d’une mission d’intérêt public » impose de réunir deux conditions cumulatives :
- le traitement doit satisfaire la condition de nécessité, c’est-à-dire que le traitement envisagé doit permettre d’exercer de manière pertinente et appropriée la mission dont est investie l’autorité publique (cf. fiche CNIL, « la mission d’intérêt public : dans quels cas fonder un traitement sur cette base légale ?», 2 décembre 2019)
- l’intérêt public doit être défini par le droit européen ou le droit national
Ainsi, au regard de cette exigence, les personnes qui peuvent se fonder sur ce référentiel sont en premier lieu les autorités publiques qui sont chargées de l’exercice d’une mission d’intérêt public et qui souhaitent, dans le cadre de leurs missions, réunir des données de santé en vue de leur réutilisation. Les organismes visés par ce référentiel sont donc principalement des personnes de droit public opérant dans le domaine de la santé.
Toutefois, le recours à cette base légale n’est pas réservé aux seules personnes publiques. En effet, les personnes de droit privé chargées d’une mission de service public peuvent également fonder leur traitement sur cette base légale à la suite d’une délégation de service public. La CNIL précise également, dans le communiqué accompagnant la publication de ce référentiel, que les établissements privés de santé chargés de l’exécution d’une mission d’intérêt public sont compris dans le périmètre de ce référentiel.
Par ailleurs, concernant le périmètre de ce référentiel, la CNIL indique de manière très lacunaire que ce référentiel s’applique aux entrepôts mis en œuvre par des responsables conjoints. Or, l’application de ce référentiel à des responsables conjoints soulève de nombreuses questions. En effet, aucune précision n’est apportée si, par exemple pour se prévaloir du référentiel, les deux responsables conjoints devront être investis de la mission d’intérêt public ou si un seul des responsable conjoints suffira pour bénéficier de ce référentiel.
Ainsi, ce référentiel est loin de concerner tous les entrepôts de données de santé mais est limité aux seuls entrepôts pour lesquels le responsable de traitement peut fonder son traitement sur l’exercice d’une mission d’intérêt public. En imposant cette première exigence, la CNIL exclut de facto de nombreux autres entrepôts de données de santé.
Les traitements exclus de ce référentiel
Là encore, ce référentiel se montre particulièrement sélectif en ce qu’il liste de nombreux traitements pour lesquels ce référentiel n’est pas applicable.
Tout d’abord, a contrario du premier critère relatif à la base légale du traitement, on trouve dans cette liste d’exclusion les entrepôts de données de santé mis en œuvre par des sociétés privées sur le fondement de leur intérêt légitime ainsi que les entrepôts de données de santé fondés sur le consentement explicite des personnes (première et sixième autres bases légales prévues par le RGPD mais non retenues par ce référentiel).
De plus, comme le prévoit l’article 65 de la LIL, les traitements de données mis en œuvre à des fins de médecine préventive, des diagnostics médicaux, de l’administration de soins, de traitements, ou de la gestion de services de santé sont exclus de l’application de ce référentiel (ce sont les traitements visés par l’article 44 de la LIL).
La Commission ajoute à cette liste d’exclusion une nouvelle exclusion qui concerne les entrepôts appariés avec la base principale du système national des données de santé (SNDS).
Une conformité absolue et continue
Enfin, ce référentiel se montre particulièrement restrictif en ce qu’il ne supporte aucune dérogation possible à l’ensemble de ces exigences et impose une conformité continue dans le temps.
Les responsables de traitement qui répondraient au premier critère relatif à la base légale du traitement fondé exclusivement sur la « mission d’intérêt public » devront également respecter l’ensemble des dispositions prévues par ce référentiel pour bénéficier de la déclaration de conformité auprès de la CNIL.
En particulier, le traitement qui sera mis en œuvre dans ce cadre devra répondre aux finalités limitativement énumérées, telles que la production d’indicateurs et le pilotage stratégique de l’activité sous la responsabilité du médecin responsable de l’information médicale, l’amélioration de la qualité de l’information médicale, le fonctionnement d’outils d’aide au diagnostic médical. Le cas échéant, si le responsable de traitement ne peut se conformer à une seule des nombreuses autres exigences posées par ce référentiel, il devra réaliser une demande d’autorisation à la CNIL conformément à l’article 66.III de la LIL.
Il convient également de préciser que la Commission impose aux responsables de traitement souhaitant bénéficier de ce référentiel d’être en mesure de démontrer cette conformité tout au long de la vie du traitement. En plus d’être absolue, l’obligation de conformité aux dispositions de ce référentiel est donc une obligation continue.
Dès lors, pour s’assurer d’une conformité continue au référentiel, le responsable de traitement pourra notamment prévoir au sein de son organisation la réalisation d’audit interne. De même, dans l’hypothèse où une personne publique déléguera l’entrepôt de données de santé à une société privée, la personne publique devra prévoir, dès la conclusion du contrat, l’ensemble des clauses nécessaires à garantir le respect de ce référentiel par le co-contractant tout au long de l’exécution du contrat.
On comprend donc qu’en raison de ces conditions restrictives d’application, ce référentiel ne pourra être invoqué par l’ensemble des responsables de traitement qui souhaitent mettre en œuvre un entrepôt de données de santé. Toutefois, ce référentiel reste un cadre de conformité sur lequel ces responsables de traitement pourront s’appuyer pour démontrer leur conformité.
Un cadre de référence pour la conformité de tous les entrepôts de données de santé
Tous les responsables de traitement ne pourront pas bénéficier de la procédure simplifiée de la déclaration au référentiel, cependant ce référentiel reste un cadre de référence, comme son nom l’indique, pour l’ensemble des entrepôts de données de santé. Ainsi, les responsables de traitement qui décideront de fonder leurs entrepôts de données sur une demande d’autorisation (2.1) ou le consentement des personnes concernées (2.2) pourront se référer à ce référentiel pour mettre en conformité leur traitement de données.
Les traitements fondés sur une demande d’autorisation
Les responsables de traitement qui ne peuvent se conformer à l’ensemble des conditions du référentiel pourront déposer une demande d’autorisation auprès de la CNIL avant la constitution de l’entrepôt de données de santé (article 66, III de la LIL).
Tout comme la déclaration à un référentiel, le traitement envisagé dans le cadre d’une demande d’autorisation à la CNIL devra présenter une finalité d’intérêt public. En effet, comme il a été précédemment précisé, les sociétés privées peuvent désormais et en toute sécurité juridique, réaliser des traitements de données personnelles dans le domaine de la santé, à condition que ces traitements ont une finalité d’intérêt public au sens de l’article 66.I de la LIL et en particulier que ces traitements visent à garantir des normes élevées de qualité et de sécurité des soins de santé.
La demande d’autorisation peut se faire via le téléservice dédié de la CNIL disponible sur son site internet et devra comprendre l’ensemble des informations nécessaires à la Commission pour analyser le traitement (article 66.III de la LIL renvoi à l’article 33 pour la liste des informations à fournir). La Commission dispose alors d’un délai de 2 mois prolongeable une fois, pour se prononcer sur la demande d’autorisation (article 66. V de la LIL). En l’absence de réponse de la part de la Commission à l’issue de ce délai, la demande d’autorisation sera réputée favorable.
Dans le communiqué accompagnant la publication de son référentiel, la Commission apporte la précision supplémentaire en ce qu’elle conseille aux organismes sollicitant une autorisation de réaliser un document qui identifie et justifie les écarts du traitement par rapport au référentiel. La Commission ne donne ici qu’un simple conseil, il ne s’agit pas d’une obligation prévue à l’article 33 de la LIL.
Les traitements fondés sur le consentement
Les entrepôts de données de santé dont le traitement est fondé sur le consentement des personnes concernées (article 9.2. a) du RGPD) sont exclus des dispositions spécifiques de la LIL relatives aux traitements de données personnelles dans le domaine de la santé (article 65 de la LIL). Dans ce cas de figure, le responsable de traitement n’aura pas à réaliser de formalité auprès de la CNIL.
Cependant, pour fonder un traitement sur le consentement des personnes concernées, le responsable de traitement devra respecter l’ensemble des conditions de validité du consentement. Plus précisément, le consentement doit être une manifestation de volonté « libre, spécifique, éclairée et univoque » (article 4.11 du RGPD) par laquelle la personne concernée accepte les traitements de ses données. Le consentement devra également remplir les conditions prévues à l’article 7 du RGPD à savoir, être présenté sous une forme compréhensible, aisément accessible et pouvant être retiré à tout moment. En pratique, les conditions de validité du consentement et la possibilité pour la personne concernée de le retirer à tout moment limite l’intérêt pratique de ce fondement pour réaliser un entrepôt de données de santé.
Bien qu’il ne puisse bénéficier de la procédure de déclaration de la CNIL, le responsable de traitement qui ne s’inscrit pas dans ce référentiel pourra s’y référer afin d’assurer un niveau de conformité adéquat pour la mise en œuvre de ce traitement. En effet, la Commission rappelle dans ce référentiel que les principes et les mesures posés par ce référentiel « peuvent s’appliquer à l’ensemble des traitements de données de santé de même nature, indépendamment de leur encadrement juridique ».
Dès lors, pour les organismes expressément exclus de l’application du référentiel, particulièrement nombreux au regard de son périmètre restrictif, ce document reste un cadre de référence qui leur permettra de démontrer la conformité de leurs entrepôts de données de santé. En particulier, le responsable de traitement pourra utiliser ce référentiel lors de la réalisation de son analyse d’impact relative à la protection des données personnelles afin de s’assurer que le traitement envisagé présente le moins de risque possible pour les droits et libertés des personnes concernées.
Avant de rejoindre le cabinet Houdart & Associés en 2021, Adriane Louyer a travaillé au sein de cabinets d’avocats et de plusieurs administrations publiques. Elle dispose de compétences en droit administratif et a développé une expertise juridique en droit des données dans le secteur public (droit des données personnelles, open data, droit d’accès aux documents administratifs).
Au sein du pôle santé numérique, elle conseille et assiste les établissements publics et privés du secteur sanitaire et médico-social en droit du numérique.
Avocat depuis 2015, Laurence Huin exerce une activité de conseil auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Elle a rejoint le Cabinet Houdart & Associés en septembre 2020 et est avocate associée en charge du pôle Santé numérique.
Elle consacre aujourd’hui une part importante de son activité à l’accompagnement des établissements de santé publics comme privés dans leur mise en conformité à la réglementation en matière de données personnelles, dans la valorisation de leurs données notamment lors de projets d’intelligence artificielle et leur apporte son expertise juridique et technique en matière de conseils informatiques et de conseils sur des projets de recherche.