France: assouplissement des conditions d’exploitation des données de santé
publié le 22 novembre 2021
A la mi-novembre, la CNIL (Commission nationale de l’informatique et des libertés) a publié un référentiel qui ouvre la voie à un élargissement du cadre légal permettant de créer et d’exploiter des “EDS” – entrepôts de données de santé – tout en respectant scrupuleusement les contraintes du RGPD (règlement général européen de protection des données). A l’origine, un EDS a été défini comme une “base de données destinée à être utilisée à des fins de recherche, d’études ou d’évaluations dans le domaine de la santé” ou permettant “de piloter la stratégie d’un établissement médical”.
En plus de finalités de recherche, la création d’un EDS est désormais autorisé, outre-Quiévrain, lorsque la finalité s’inscrit “dans le cadre de l’exercice d’une mission de service public”, que la base de données soit constituée par un organisme public ou privé.
Une série de conditions préalables, conformes au RGPD, sont bien entendu maintenues, notamment:
– la limitation de la collecte et du traitement de données à celles “qui figurent dans le dossier médical et administratif et celles issues de projets de recherche, études et évaluations dans le domaine de la santé précédemment réalisés et dont la durée de conservation n’a pas expiré”
– l’obligation d’“informer les personnes dont les données personnelles sont collectées et compilées dans l’entrepôt”
– ou encore la possibilité donnée à ces personnes “de pouvoir exercer leur droit d’accès, de rectification, d’effacement, de limitation de traitement et d’opposition”.
Le référentiel de la CNIL (“Référentiel relatif aux traitements de données à caractère personnel mis en oeuvre à des fins de création d’entrepôts de données dans le domaine de la santé”) peut être consulté via ce lien.