Entrepôt de données de santé et Consentement

Créer un entrepôt de données de santé avec le consentement des patients, c’est possible !
Par principe, le traitement des données personnelles de santé est interdit en vertu de l’article 9.1 du Règlement général relatif à la protection des données (RGPD). Ces données personnelles sont qualifiées de données sensibles (ou “catégories particulières de données”) au regard des impacts sur les droits et libertés des personnes susceptibles d’être occasionnés lors du traitement de ces dernières (ex : discrimination via l’exclusion du bénéfice d’un droit ou d’un contrat). Néanmoins, l’article 9.2 du RGPD prévoit une liste d’exceptions à cette interdiction de traitement. L’exception qui nous intéresse particulièrement ici est le consentement de la personne concernée.
Ce principe du consentement trouve une application particulière dans le cas des entrepôts de données de santé (EDS). En effet, s’agissant des EDS pour lesquels le fondement juridique choisi est le consentement, ils sont exemptés d’une autorisation de la CNIL. En d’autres mots, le responsable de traitement n’aura pas à réaliser de formalités administratives auprès de l’autorité de contrôle. Cependant, il lui est fortement conseillé de veiller au respect des dispositions du référentiel de la CNIL, à des fins de bonnes pratiques en termes de sécurité et de confidentialité des données traitées.
A noter que la mise en place et l’alimentation d’un EDS permet de rassembler des données médicales et administratives au sein d’une base de données. Ces données disponibles peuvent être réutilisées pour réaliser des études, recherches et évaluations en santé permettant d’améliorer la connaissance médicale par exemple.
Sur ce point, une petite subtilité est à prendre en compte ! Le patient ayant consenti au transfert de ses données personnelles au sein de l’EDS, et dont les données vont être réutilisées dans des études ultérieures, doit être informé et avoir la possibilité d’exprimer sa décision à ce sujet pour chaque nouveau projet. Dès lors, conformément à la méthodologie de référence (MR-004) applicable aux études portant sur la réutilisation des données, il incombe au responsable de traitement de réinformer individuellement les patients à chaque réutilisation de leurs données personnelles (pour chaque nouveau projet). Sous l’application de la MR-004, il s’agit d’une information individuelle avec exercice du droit d’opposition.
Au sein du présent article, nous allons détailler les exigences requises pour la constitution d’un entrepôt de données de santé fondé sur le consentement des patients, et ses défis.
1) Les caractéristiques et étapes du consentement à recueillir
La constitution d’un EDS, fondé sur le consentement, nécessite pour le responsable de traitement d’informer individuellement et de recueillir le consentement de chaque patient dont les données personnelles seront intégrées dans l’EDS.
Pour être considéré comme valide, le consentement doit respecter 4 critères cumulatifs, notamment prévus à l’article 4.11 du RGPD (et dans le droit français) :
éclairé : le consentement est obtenu après avoir délivré une information complète, claire et explicite ;
libre : le consentement est obtenu sans contrainte ni pression ;
spécifique : le consentement correspond à une seule finalité de traitement précise ;
univoque : le consentement est obtenu par un acte positif de la personne.
Choisir ce fondement juridique nécessite une analyse au préalable du contexte de l’EDS, de la “joignabilité” des patients concernés et de la mise en œuvre pragmatique d’un tel processus au bénéfice du projet.
La collecte de ce consentement nécessite de fournir en premier lieu l’information au patient, et, en second lieu, de mettre en place un moyen de collecte de ce consentement qui garantit l’intégrité de la preuve et la traçabilité du processus.
Ce consentement peut être collecté “dans les murs”, ou “hors les murs” de façon dématérialisée. Tout dépend du contexte de prise en charge des patients par l’organisation porteuse de l’EDS, et de son ambition en matière de numérique et de recherche participative.
Qui dit recueil du consentement, dit aussi possibilité pour le patient de retirer son consentement à tout moment. La gouvernance en matière de consentement pour un EDS est donc un sujet stratégique qui ne s’arrête pas au simple recueil à l’instant T, mais doit s’inscrire dans une logique d’engagement des patients, et de gestion de leurs droits dans leur ensemble.
Cette même gouvernance trouve son intérêt dans la gestion des données intégrées dans l’EDS lorsque le consentement est finalement retiré. Il est pertinent pour le responsable de traitement de penser une telle gestion pour optimiser la mise à jour des patients qui ont donné leur accord, et arrêter le traitement de données à caractère personnel des patients ayant révoqué leur consentement après l’avoir donné.
Aujourd’hui, certaines solutions technologiques permettent de surmonter ces obstacles via la diffusion d’une information individuelle de façon dématérialisée et sécurisée, et le recueil du consentement en rétrospectif à partir d’une seule coordonnée du patient, comme son adresse email. Ces solutions technologiques permettent également d’assurer une traçabilité fiable et précise tant de la remise de l’information individuelle que du recueil du consentement. Il est nécessaire de prévoir la sécurité des données, et ne pas divulguer des données à caractère personnel de santé dans les contenus des emails par exemple.
Par conséquent, l’utilisation d’une telle solution technologique permet à l’établissement de santé d’être conforme à la réglementation en vigueur. Cela facilite également la collecte rapide et efficace du consentement, tout en assurant que l’information est délivrée de manière claire et homogène à un grand nombre de patients. En automatisant ce processus, l’établissement de santé est susceptible d’obtenir un nombre plus élevé de consentements. Cela permet donc un transfert plus important de données dans l’EDS, ce qui est profitable pour la quantité et la qualité de données disponibles qui peuvent être réutilisées à des fins de recherche en santé, et pour garantir la transparence des traitements de données avec les patients.
2) “Pour ou contre” le consentement à l’EDS ?
Tout dépend du projet de l’EDS !
Prenons le cas d’un EDS créé par une organisation (établissements de santé, industriel, association de patients…), qui dispose d’un lien direct avec le patient par le biais d’une prise en charge régulière par exemple, ou par le biais d’une application ou une communauté active, il est peut être très pertinent et plus rapide de créer l’entrepôt avec le consentement du patient.
En effet, “l’évitement” (sans que ce soit un objectif en soi!) des formalités administratives CNIL permet d’alléger la procédure pour le responsable de traitement et accélérer la création de l’EDS.
Cela permet également de créer un lien de confiance avec les patients, et un engagement plus important de ces derniers dans les futurs projets de recherche issus de l’EDS.
De plus, si ce consentement est digitalisé et décentralisé en premier lieu, la réinformation individuelle du patient pour les projets sous MR-004 sera facilitée et totalement automatisée (à condition que la bonne technologie soit utilisée, combinée à des processus métiers pragmatiques, et adaptés au projet de l’organisation).
Il n’y a pas véritablement de “contre”, mais plutôt des stratégies différentes selon les situations. Vouloir éviter à tout prix les formalités CNIL ne devrait pas être la seule motivation. En effet, le consentement peut être une fausse bonne idée pour certaines configurations de montage d’entrepôt (notamment pour des patients ayant été pris en charge il y a plusieurs années sans lien maintenu avec l’établissement par exemple). Dans ce cas par exemple, il est préférable de privilégier le respect du référentiel, ou bien de demander une autorisation à la CNIL. Ceci implique toujours une information individuelle des patients qui doit être recherchée. Pour aller plus loin sur ce point, retrouvez notre article Comment créer son entrepôt de données de santé ?