L’essor de la numérisation dans le domaine de la santé a entraîné une collecte massive de données médicales, générant des opportunités sans précédent pour la recherche, le diagnostic et l’amélioration des soins. Les Entrepôts de Données de Santé (EDS) se positionnent comme des structures centrales permettant de regrouper et structurer ces informations à grande échelle. Cependant, la réutilisation de ces données est strictement encadrée en France par la Commission nationale de l’informatique et des libertés (CNIL) afin de protéger les droits des individus. Cet article examine les règles et les recommandations émises par la CNIL pour la réutilisation des données issues des EDS.
Qu’est-ce qu’un Entrepôt de Données de Santé (EDS) ?
Un EDS regroupe des données médicales provenant de diverses sources, telles que les hôpitaux, les cliniques, les laboratoires et les professionnels de santé. Ces données, comprenant des informations cliniques, des données d’imagerie, des tests de laboratoire et bien d’autres, sont conservées de manière structurée pour être analysées et utilisées à des fins de recherche ou d’amélioration des soins.
Ces données peuvent jouer un rôle crucial dans :
L’analyse prédictive de maladies ;
L’amélioration des traitements médicaux ;
La recherche clinique ;
L’optimisation des politiques de santé publique.
La CNIL et la réglementation en matière de données de santé
La CNIL est l’organisme chargé de protéger les droits des citoyens en matière de protection des données personnelles en France. Dans le cadre des EDS, elle encadre la collecte, l’utilisation et la réutilisation des données de santé conformément au Règlement Général sur la Protection des Données (RGPD) et aux spécificités de la loi Informatique et Libertés.
Les données de santé sont considérées comme des données sensibles selon le RGPD. Leur traitement exige un niveau de protection accru, et leur réutilisation doit se faire dans le strict respect des droits et de la vie privée des individus concernés.
La frontière entre EDS et la collecte de données à visée de recherche est parfois mince.
Les principes de la réutilisation des données des EDS selon la CNIL
a) La finalité de la réutilisation
La CNIL impose que toute réutilisation des données de santé des EDS soit justifiée par une finalité précise et légitime, généralement axée sur la recherche, l’innovation médicale, ou l’amélioration des services de santé. Les finalités doivent être clairement définies et communiquées aux patients ou aux personnes concernées.
b) L’agrément préalable et les autorisations nécessaires
Les institutions souhaitant réutiliser les données de santé doivent obtenir l’autorisation préalable de la CNIL. Cet agrément dépend notamment de la finalité d’utilisation et du niveau de protection des données mises en œuvre par l’organisation. La CNIL évalue les garanties mises en place pour protéger la confidentialité des données.
Cependant, en cas de conformité à un référentiel publié par la CNIL, le responsable de traitement peut se contenter d'une déclaration de conformité au référentiel des EDS, si et seulement si l'utilisation des données couvre une mission d'intérêt public ou que les individus inclus dans l'EDS ont pu donner leur consentement.
c) Le consentement des individus ou une base légale de traitement
Pour certaines réutilisations, le consentement explicite des patients peut être nécessaire. Cependant, dans le cadre des EDS, le traitement des données peut souvent se justifier par un intérêt public (recherche médicale, santé publique, etc.), sans nécessiter un consentement spécifique, à condition que les données soient strictement anonymisées ou pseudonymisées.
d) L’anonymisation ou pseudonymisation des données
Afin de limiter les risques pour la vie privée des patients, les données utilisées doivent être anonymisées ou, à défaut, pseudonymisées lorsque cela est possible. L’anonymisation signifie que les données ne peuvent plus être reliées à une personne identifiable, tandis que la pseudonymisation réduit les risques d’identification mais nécessite des précautions supplémentaires.
e) La sécurité et la traçabilité des données
Les responsables d’un EDS doivent mettre en place des mesures techniques et organisationnelles pour garantir la sécurité des données et prévenir tout accès ou traitement non autorisé. Cela inclut le chiffrement, la gestion des accès, l’audit des actions et la traçabilité des opérations effectuées sur les données.
f) La transparence vis-à-vis des patients
La transparence est un principe clé. Les patients doivent être informés de la collecte de leurs données et des éventuelles réutilisations qui pourraient en découler. Cette information doit être claire, complète et accessible, permettant aux individus de comprendre l’utilisation qui sera faite de leurs informations personnelles.
Les bénéfices et les défis de la réutilisation des données des EDS
La réutilisation des données des EDS offre des perspectives intéressantes pour l’innovation en santé, mais elle pose également des défis en termes de respect de la vie privée et de gestion des risques :
Bénéfices : Meilleure connaissance des maladies rares, innovation thérapeutique, personnalisation des traitements, prévention accrue, et amélioration de la qualité des soins.
Défis : La protection de la confidentialité, la complexité de l’anonymisation, et le risque d’exploitation abusive des données à des fins commerciales.
Les sanctions et les risques en cas de non-conformité
En cas de non-respect des règles établies, la CNIL dispose de pouvoirs de sanction. Les entreprises ou organismes qui ne se conforment pas aux exigences de protection des données peuvent être soumis à des amendes, pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel global. Les institutions de santé doivent donc prendre les recommandations de la CNIL très au sérieux pour éviter tout risque juridique et préserver la confiance des patients.
En 2019, la CNIL a infligé une amende de 400 000 euros à un Centre hospitalier universitaire (CHU) pour ne pas avoir sécurisé les données de santé des patients. À la suite d'une cyberattaque, des données de santé sensibles ont été rendues accessibles en ligne.
En 2020, une entreprise spécialisée dans l’analyse de données médicales a été sanctionnée pour avoir utilisé les données des patients à des fins commerciales sans consentement explicite. La CNIL a infligé une amende de 120 000 euros à cette société, soulignant que les données de santé sont particulièrement sensibles et ne doivent jamais être utilisées à des fins lucratives sans consentement explicite et éclairé de l’utilisateur.
Vers une réutilisation éthique et responsable des données de santé
Pour favoriser une réutilisation éthique des données de santé, il est crucial que les établissements de santé et les chercheurs adoptent une approche transparente et respectueuse de la vie privée. Cela implique :
La formation des équipes aux enjeux de la protection des données ;
L’intégration de dispositifs de contrôle et de suivi de la sécurité des données ;
Une collaboration accrue avec la CNIL pour s’assurer de la conformité des pratiques.
Conclusion
La réutilisation des données des Entrepôts de Données de Santé est une opportunité précieuse pour le progrès médical, mais elle est aussi un défi en termes de protection des données personnelles. La CNIL, par ses recommandations, permet d’encadrer ces pratiques pour garantir un équilibre entre l’innovation et le respect des droits individuels. En respectant ces règles, les EDS peuvent non seulement se conformer aux obligations légales mais aussi contribuer à une recherche médicale éthique et responsable.
