La data, c’est le pouvoir
A l’heure où la data symbolise l’or noir du XXIème siècle, le domaine de la santé n’échappe certainement pas à l’intérêt suscité par le traitement massif de données.
L’entrepôt de données de santé qui, rappelons-le, a notamment été envisagé pour se soustraire à la fusion des dossiers patients informatisés dans le cadre des groupements hospitaliers de territoire, a pour objet la collecte de données massives pour une réutilisation en vue de plusieurs projets d’études, de recherches et d’évaluations dans le domaine de la santé.
Il se distingue de la recherche à proprement parler, laquelle poursuit une finalité précise et répond à une question spécifique et ponctuelle. La recherche fait l’objet de dispositions particulières en matière d’informations.
Un tel entrepôt peut être créé indifféremment par un établissement de santé public ou privé, ou bien encore par une entreprise privée.
Une fois n’est pas coutume, les règles applicables au consentement et à l’information du patient diffèrent selon les acteurs.
S’agissant de données de santé, qualifiées de sensibles, le principe qui prédomine est celui du consentement explicite de la personne à la collecte, à l’enregistrement et à la conservation de données la concernant dans un entrepôt de données de santé (EDS). Une fois ce consentement recueilli, le responsable de traitement se trouve dispensé de déclarer son traitement auprès de la CNIL, tout en conservant l’obligation de s’assurer de sa conformité au RGPD.
L’absence de recueil du consentement explicite ne compromet pas la constitution d’un entrepôt, alors soumise à une autorisation « santé » de la CNIL, sous réserve que sa finalité revête un caractère d’intérêt public.
Ces deux mesures (recueil du consentement explicite ou autorisation de la CNIL) ont été assouplies depuis l’adoption du référentiel relatif aux traitements de données à caractère personnel mises en œuvre à des fins de création d’entrepôts de données dans le domaine de la santé (Cf. délibération n°2021-118 du 7 octobre 2021).
Ainsi, le responsable de traitement qui constitue un EDS dans le cadre de ses missions de service public, pour son usage exclusif, pour l’une des finalités suivantes :
- Production d’indicateurs et le pilotage stratégique de l’activité, sous la responsabilité du médecin responsable du DIM ;
- L’amélioration de la qualité de l’information médicale ou de l’optimisation du codage dans le cadre du PMSI ;
- Le fonctionnement d’outils d’aide au diagnostic médical ou à la prise en charge ;
- La réalisation d’étude de faisabilité.
… et sous réserve d’une complète conformité au référentiel (AIDP, gouvernance, gestion des droits d’accès, sécurité…) n’est pas tenu de recueillir le consentement du patient, ni d’obtenir l’autorisation de la CNIL. Ces deux régimes sont remplacés par celui de l’information du patient.
Individuelle en principe, cette information peut devenir publique.
Le patient doit en effet bénéficier d’une information individuelle de l’usage de ses données de santé lors de la constitution d’un EDS (comme d’ailleurs lors de chaque réutilisation de celles-ci). C’est à cette occasion que lui sont rappelés ses droits d’accès, de rectification, à l’effacement, à la limitation du traitement et d’opposition à celui-ci.
Le référentiel permet toutefois de déroger à l’information individuelle si le responsable de traitement justifie qu’elle « exigerait des efforts disproportionnés » au sens de l’article 14.5.b du RGPD.
Peuvent à cet égard être invoqués le nombre de personnes concernées, l’ancienneté des données ou encore le coût et le temps de la délivrance de l’information individuelle.
Le référentiel envisage ainsi une dérogation à l’information individuelle des patients qui ne sont plus suivis dans l’établissement mais il l’exclut pour celles qui viendraient consulter après la constitution de l’EDS.
Le responsable de traitement doit alors rendre l’information relative à la constitution de l’entrepôt et chaque traitement mis en œuvre « publiquement disponible », par le biais de son site internet, des réseaux sociaux, des médias locaux ou encore des associations de patients. Celle-ci sera utilement complétée par le rappel des droits des patients précités.
L’auteure
Me Emmanuelle PELETINGEAS
Avocat associé chez YAHIA Avocats