Définition et régime juridique des entrepôts de données de santé

Qu’est-ce qu’un entrepôt de données de santé (EDS), quels sont les acteurs impliqués en France dans leur mise en œuvre, et quels sont les enjeux juridiques des EDS ? Aumans Avocats, cabinet spécialisé notamment dans le droit de la protection des données dresse un état des lieux sur ces questions.

1/ Qu’est-ce qu’un entrepôt de données de santé (EDS) et quels sont ses objectifs ?

La Commission nationale de l’Informatique et des Libertés (CNIL) définit1 l’entrepôt de données de santé (EDS) comme une base de données conçue pour centraliser – sur une longue période – des volumes massifs de données de santé. Pour autant, la notion d’entrepôt de données de santé ne fait l’objet d’aucune définition légale et constitue avant tout une construction doctrinale. 

Il faut noter que selon le RGPD, les données de santé désignent toutes les informations concernant la santé physique ou mentale d’une personne, que ces informations soient passées, présentes ou futures.

Ces données de santé lorsqu’elles sont stockées dans les EDS peuvent être issues de diverses sources et collectées par des professionnels de santé, des établissements de soins ou des pharmacies et portent sur des informations médicales comme la prise en charge des patients, des pathologies, mais aussi des données socio-démographiques ou des résultats d’examens antérieurs.

Les données conservées dans les EDS ne peuvent être réutilisés que dans le cadre de finalités propres au domaine de la santé telles que les recherches scientifiques et médicales, les études et évaluation des politiques ou pratiques de santé ou encore pour le pilotage et la gestion d’activités liées à la santé (contrôle, administration).


2/ Chiffres et typologie des acteurs impliqués dans la mise en œuvre d’entrepôts de données de santé en France

Les entrepôts de données de santé peuvent être créés par des acteurs publics (centres hospitaliers, instituts de recherche), privés à but non lucratif (associations, centres de lutte contre le cancer) ou privés à but lucratif (startups, cliniques). Leur mise en œuvre doit respecter strictement le cadre juridique prévu par le RGPD et la loi Informatique et libertés et plus précisément celui propre aux données de santé (données sensibles), ce cadre ayant été précisé par la CNIL avec son référentiel sur les entrepôts de données de santé2

Selon le LINC (Laboratoire d’innovation numérique de la CNIL), en France et depuis 2017, une centaine d’entrepôts a été lancée ou est en cours de développement3, gérés par 88 acteurs : 40 publics, 26 privés à but non lucratif et 22 privés lucratifs.  L’AP-HP a par exemple, mis en place un entrepôt nommé « Banque nationale de données maladies rares » qui est destiné à centraliser des informations sur ce type de pathologies4.


3/ Enjeux juridiques des EDS

La mise en place d’un EDS implique automatiquement la collecte et le traitement de données de santé. Cet EDS permettra ensuite de rendre disponibles des données de santé qui pourront être réutilisées pour des finalités secondaires, comme :

  • La recherche médicale
  • Les études de santé publique ou,
  • L’évaluation des politiques ou dispositifs de santé

Il est important de souligner que la collecte de données de santé ne peut pas être réalisée dans le seul but de « constituer » un EDS. Cela signifie qu’il est interdit de collecter des données et de les inclure dans un EDS sans une finalité secondaire clairement définie, comme cela a pu être rappelé récemment par la CNIL. 

La création d’un EDS suppose aussi un cadre juridique défini en amont. Dans un premier cas, si le projet est conforme au référentiel EDS, une documentation exhaustive est attendue (analyses d’impact, argumentaire détaillé, check-lists et engagements clairs en matière de sécurité, confidentialité et cycle de vie des données …). Cette approche ne nécessite pas d’autorisation préalable auprès de la CNIL mais une vigilance absolue est requise pour rester dans le cadre fixé et permettre au responsable de traitement d’exercer ses missions d’intérêt public (article 6.1.e RGPD).

A l’inverse, si le projet s’écarte du référentiel, une demande d’autorisation auprès de la CNIL devient indispensable, sauf dans certains cas spécifiques (notamment en cas de recours au consentement explicite des personnes concernées). Dans ce cas, le dossier soumis à la CNIL doit inclure certains éléments comme une AIPD et un formulaire d’autorisation. Le traitement de cette demande peut prendre de 2 à 4 mois, période durant laquelle aucune utilisation des données ne peut débuter.

Enfin, la mise en place d’un EDS ne se limite pas à un assemblage technique ou juridique. Elle repose sur une gouvernance solide, incluant un comité de pilotage pour orienter les choix stratégiques et un comité scientifique et éthique chargé de valider les projets utilisant les données de santé.

Cette structure complexe doit être soutenue par des mesures robustes de sécurité informatique et de cybersécurité, une expertise juridique pointue en matière de gouvernance des données et des compétences techniques spécifiques. Chaque maillon de la chaîne contribuant à réduire les risques de non-conformité et à garantir une exploitation conforme des données.


  1. https://www.cnil.fr/fr/traitements-de-donnees-de-sante-comment-faire-la-distinction-entre-un-entrepot-et-une-recherche-et ↩︎
  2. CNIL. 26 octobre 2021 – Référentiel relatif aux traitements de données à caractère personnel mis en oeuvre à des fins de création d’entrepôts de données dans le domaine de la santé ↩︎
  3. https://www.cnil.fr/fr/explorez-la-cartographie-des-entrepots-de-donnees-de-sante-en-france ↩︎
  4. https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000039292715/ ↩︎

Spécialiste du droit de la protection des données personnelles, Aumans Avocats accompagne de nombreux acteurs de la santé, notamment sur des questions de conformité des données de santé.

AUMANS AVOCATS (anciennement FOUSSAT AVOCATS & DEROULEZ AVOCATS)
AARPI
Paris +33 (0)1 85 08 54 76 / Lyon +33 (0)4 28 29 14 92 /
Marseille 
+33 (0)4 84 25 67 89 / Bruxelles +32 (0)2 318 18 36