La CNIL fait un rappel des enjeux pour les libertés individuelles et les règles à suivre concernant la Plateforme des Données de Santé – PDS ayant pour objectif de faciliter le partage des données de santé issues de sources variées afin de favoriser la recherche.
Les missions de la PDS sont prévues par l’article L.1462-1 du Code de la santé publique et consiste par exemple à :
- Réunir, organiser et mettre à disposition des données, issues notamment du SNDS (Système National des Données de Santé)
- Informer les patients, promouvoir et faciliter l’exercice des droits ;
- Contribuer à l’élaboration des référentiels de la CNIL
La CNIL a par ailleurs eu l’occasion de se prononcer à deux reprises et notamment en avril 2020 concernant sa mise en œuvre anticipée pour les besoins de la gestion de l’urgence sanitaire. Dans son avis, la CNIL a attiré l’attention sur les risques liés aux conditions de démarrage anticipé de la solution et les éventuels risques matériels et juridiques en matière d’accès direct par les autorités de pays tiers. Ainsi, la CNIL fait part de ses recommandations et règles à suivre :
Sur la constitution d’un entrepôt de données au sein de la PDS
La constitution de cette base, ne saurait être encadrée que pour la période d’urgence sanitaire déclaré à l’article 4 de la loi du 23 mars 2020. Au-delà, ce traitement ne disposerait plus de base légale.
La centralisation de données au sein du « catalogue » de la PDS, qui constitue un entrepôt de données, devra être soumis à autorisation préalable de la CNIL.
Sur la sécurité globale de la PDS
Sous réserve de la mise en œuvre des mesures prévues dans le plan d’action défini dans l’homologation de la PDS, la CNIL considère que la sécurité des données mises à disposition par la PDS est assurée. Il faut toutefois garder à l’esprit que les mesures de sécurité devront être réévaluées régulièrement pour prendre en compte les évolutions de la plateforme.
La CNIL recommande notamment au niveau des imports/exports, qu’une vigilance particulière soit de mise afin de garantir l’anonymat effectif des exports et qu’une vision plus globale de sécurité soit donnée aux responsables de traitement pour les informer des conditions de sécurité.
Pour tout démarrage anticipé, la CNIL exige que la PDS s’assure que cette mise en œuvre n’engendre pas de risque supplémentaire pour les personnes concernées.
Sur les transferts de données hors Union Européenne (UE)
La CNIL estime que des données personnelles pourront être transférées hors de l’UE et prend acte de la mise en place de clauses contractuelles types pour encadrer ces transferts, conformément aux dispositions du RGPD.
Au regard du caractère sensible et du volume des données ayant vocation à être hébergées au sein de la PDS, la CNIL demande qu’une vigilance particulière soit accordée aux conditions de conservation et aux modalités d’accès aux données.
La CNIL souhaite que son hébergement ainsi que les services liés à sa gestion soient réservés à des entités relevant exclusivement des juridictions de l’Union Européenne.
Et après ?
La CNIL devrait être saisie prochainement pour avis d’un projet de décret modifiant le décret n°2016-1871 du 26 décembre 2016 relatif au traitement de données personnelles dénommé « système national des données de santé ». Ce décret doit préciser la répartition des responsabilités entre PDS et porteurs de projets et les modalités d’information des personnes concernées par le SNDS et d’exercice de leurs droits.