Délibération n°2021-118 du 7 octobre 2021 portant adoption d’un référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de création d’entrepôts de données dans le domaine de la santé

JO du 24 octobre 2021

Pris en application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, ce texte adopte le référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de création d’entrepôts de données dans le domaine de la santé.

Il s’adresse aux responsables de traitements (dénommés entrepôts de données de santé) qui souhaitent, dans le cadre de leurs missions d’intérêt public, réunir des données en vue de leur réutilisation.
Il s’applique également aux entrepôts mis en oeuvre par des responsables conjoints qui définissent leurs obligations respectives.

Il ne concerne pas :

* les entrepôts mis en œuvre par une société privée sur le fondement de son intérêt légitime ;
* les traitements de données à caractère personnel mis en œuvre uniquement aux fins de médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de services de santé et mis en œuvre par les professionnels de santé et les systèmes ou services de soins de santé ;
* les traitements de données à caractère personnel mis en œuvre lorsque la personne a donné son consentement explicite à cette fin ;
* les entrepôts appariés avec la base principale du système national des données de santé.

Il proscrit le versement dans l’entrepôt de données dont la collecte ne serait pas scientifiquement justifiée par la prise en charge sanitaire ou médico-sociale ou par la réalisation d’un projet de recherche, d’étude ou d’évaluation spécifique et prévue par un protocole.

Il précise que les données directement identifiantes ne peuvent être utilisées que si les finalités du traitement le justifient. Par exemple, le jour de naissance ne peut être utilisé que s’il est nécessaire à la réalisation d’une recherche impliquant des personnes âgées de moins de deux ans.

Il exige qu’une ré-évaluation de la pertinence des données comprises dans l’entrepôt soit réalisée par la gouvernance de l’entrepôt, en particulier au regard de l’utilisation qui est faite pour les divers projets menés. Par conséquent, les données qui ne seraient plus nécessaires devront être supprimées.

Il fixe à 20 ans la durée maximale de conservation des données à compter de leur collecte dans le cadre des soins ou des recherches. Au-delà de ce délai, toute donnée doit être anonymisée ou détruite.

Il impose que les personnes concernées (professionnels et patients) soient informées de chacune des réutilisations des données les concernant à des fins de recherche, d’étude ou d’évaluation, sauf lorsque les responsables de traitement se trouvent dans l’impossibilité de réaliser l’information ou qu’elle exigerait des efforts disproportionnés.

Il permet aux personnes concernées dont les données figurent dans l’entrepôt de disposer des droits suivants, qu’elles exercent dans les conditions prévues par le RGPD :

* droit d’accès ;
* droit de rectification,
* droit à l’effacement ;
* droit à la limitation du traitement ;
* droit d’opposition.

Il précise les mesures techniques et organisationnelles que le responsable du traitement doit adopter pour préserver la sécurité des données à caractère personnel notamment lors de leur collecte, durant leur transmission et leur conservation afin d’empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès.

Il impose qu’en cas de recours à un prestataire, un contrat soit conclu entre le prestataire et le responsable de traitement. Dans le contrat, il doit notamment être spécifié la répartition des responsabilités relatives aux mesures de sécurité et à la gestion des violations de données entre les différents acteurs.

Enfin, il exige que le responsable de traitement réalise et documente une analyse d’impact sur la protection des données.

Il a été modifié par la délibération n°2021-123 du 2 novembre 2021 (modification uniquement d’erreurs matérielles au sein de la délibération et du référentiel).