Comment créer son entrepôt de données de santé?
Chaque année, la France consacre 49,5 milliards d’euros à la recherche, soit 2,2% de son PIB. Les données de santé sont un rouage essentiel.
Les données nécessaires à la conduite de recherches médicales sont généralement des données de santé dont l’utilisation est fortement réglementée en France et au niveau européen par l’application du Règlement général sur la protection des données (RGPD) et de la loi Informatique et Libertés (LIL).
L'une des solutions pour accéder à une grande quantité de données de santé peut résider dans la constitution d’entrepôts de données de santé (EDS) qui “désignent la mise en commun des données d’un ou plusieurs systèmes d’information médicaux, sous un format homogène pour des réutilisations à des fins de pilotage, de recherche ou dans le cadre des soins”. Les EDS sont des bases de données de santé qui peuvent être exploitées pour mener des recherches, des études ou des évaluations dans le domaine de la santé et ainsi, améliorer l’innovation en santé, la médecine préventive et développer la médecine prédictive.
Face à cet enjeu stratégique de création des EDS, l’État français, dans le cadre de France 2030, avait lancé un appel à projets d’ « Accompagnement et soutien à la constitution d’entrepôts de données de santé hospitaliers », doté de 50 millions d’euros et élaboré par le Ministère du Travail, de la Santé et des Solidarités et ses partenaires interministériels.
Aujourd’hui, un grand nombre d’entrepôts de données de santé sont créés au niveau des établissements hospitaliers qui regroupent une quantité importante d’informations cliniques et médico-administratives collectées lors de la prise en charge et du soin des patients. À titre d’exemple, l’EDS de l’AP-HP rassemble aujourd’hui des données sur plus de 11 millions de patients traités au sein de ses 39 hôpitaux.
Au sein du présent article, nous allons détailler toutes les étapes réglementaires à suivre pour constituer un entrepôt de données de santé. Il existe deux parcours réglementaires différents:
1. La conformité de l’entrepôt au référentiel de la CNIL
Préalablement à l’adoption par la CNIL de son référentiel sur les EDS en novembre 2021, les entités devaient obtenir une autorisation préalable de l’autorité pour constituer un entrepôt. Désormais, la conformité au référentiel de la CNIL permet d’exonérer les entités de l’obtention d’une autorisation.
En substance, ce référentiel s’applique aux EDS constitués sur le fondement juridique de l’exercice d’une mission d’intérêt public (article 6.1.e du RGPD) afin de permettre la réutilisation des données qu’ils contiennent à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé. Il est prévu que le traitement et la collecte de données soient limités aux données figurant dans le dossier médical et administratif de la personne concernée et justifiés par sa prise en charge, et aux données issues de projets de recherche dans la santé qui ont été réalisés précédemment et dont la durée de conservation n’a pas expiré.
Le référentiel liste toutes les données personnelles qui peuvent être traitées dans l’EDS en précisant clairement que la collecte des données versées dans l’entrepôt doit être scientifiquement justifiée par la prise en charge sanitaire ou médico-sociale ou par la réalisation du projet de recherche, d’étude ou d’évaluation prévue par un protocole. Les données identifiantes des patients ne peuvent être collectées que pour pouvoir recontacter les patients à diverses occasions (participations à des études, risque sanitaire, anomalies génétiques, etc).
En outre, la pertinence des données de l’EDS doit être évaluée par l’instance de gouvernance (comité de pilotage et comité scientifique et éthique) de l’entrepôt afin de ne conserver que celles qui sont nécessaires à la réalisation des finalités déterminées.
Les données de l’EDS ne peuvent être conservées pour une durée supérieure à 20 ans à compter de leur collecte dans le cadre des soins ou des recherches.
2. Les entrepôts soumis à une autorisation préalable de la CNIL
Lorsque l’entrepôt est créé par une société privée à des fins de recherches sans exécution d’une mission d’intérêt public ou sur le fondement de l’intérêt légitime, la constitution de l’EDS sera conditionnée à l’obtention de l’autorisation préalable de la CNIL.
De même, dès lors que l’organisme n’est pas conforme au référentiel, l’autorisation de la CNIL sera exigée pour la création de l’EDS, conformément à l’article 66 III de la loi Informatique et Libertés, sous peine de sanctions administratives et financières. Dans ce cas précis, l’organisme doit adresser une demande à l’autorité de contrôle qui doit se prononcer dans un délai de 2 mois à compter de sa réception. Lorsque l’autorité ne se prononce pas dans le délai imparti, la demande d’autorisation est réputée acceptée et donc, l’EDS peut être créé.
3. La conformité des entrepôts de données de santé au RGPD
Dans tous les cas, la création d’un EDS est un traitement de données à caractère personnel qui doit répondre aux exigences de la réglementation en vigueur sur la protection des données personnelles.
Dès lors, conformément aux articles 13 et 14 du RGPD, les personnes concernées doivent être informées individuellement que leurs données collectées durant leur prise en charge sanitaire ou médicale sont stockées dans l’EDS. En outre, dès que ces données font l’objet d’une réutilisation à des fins de recherche, d’étude ou d’évaluation, la personne concernée doit en être informée de façon individuelle et ce, pour chacune des réutilisations.
Préalablement à la constitution de l’EDS, une analyse d’impact sur la protection des données devra être réalisée, documentée et validée par le responsable de traitement afin d’apprécier les risques pour les droits et libertés des personnes concernées par le traitement.
Enfin, des mesures de sécurité techniques et organisationnelles doivent être prévues et mises en application pour garantir la sécurité des données présentes dans l’EDS et éviter, dans la mesure du possible, toute atteinte à leur confidentialité, leur intégrité et leur disponibilité.