Nouveau Référentiel données médicales

Nouveau Référentiel données médicales

Nouveau Référentiel données médicales 1024 683 OPTIMEX DATA | Conformité et formations RGPD

Optimex Data traite du nouveau référentiel données médicales prévu par la CNIL

référentiel données médicales

Le secteur de la santé est certainement un des domaines auquel la CNIL consacre le plus d’attention. Ce n’est pas pour rien que la CNIL a déjà présenté trois référentiels dans ce domaine, deux concernant les durées de conservation et un concernant la gestion des traitements courants des cabinets médicaux et paramédicaux.

C’est donc dans cette même dynamique que la CNIL a lancé le 8 mars 2021 une consultation concernant les entrepôts de données de santé avec un projet de référentiel accompagné d’un formulaire de recueil des suggestions. Futur référentiel bienvenu puisqu’il permettra de répondre aux interrogations nombreuses quant à la création d’une base de données de santé en dehors de toute recherche médicale.

Un régime juridique distinct de celui des recherches

Pour bien le comprendre, il convient de revenir sur la distinction entre recherche sur des données de santé et entrepôt de données de santé. A priori, l’utilisation des données de santé à des fins de recherche pourrait ne connaitre qu’un seul régime, mais afin d’éviter le recueil et la conservation de données en dehors de tout projet préalablement défini, le choix a été fait de construire deux cadres juridiques différents.

Ainsi, lors de l’utilisation de données de santé pour une recherche, ces dernières seront déterminées selon la finalité de l’étude. Ce traitement fera alors l’objet d’un avis ou d’une autorisation par la CNIL à moins qu’il ne s’inscrive dans le cadre d’une méthodologie de référence édictée par la CNIL.

Dans le cadre d’un entrepôt de données de santé, le recueil et la conservation de données de santé se font en vue de permettre la réutilisation de celles-ci à des fins d’études médicales ou pour produire des indicateurs relatifs à l’activité des établissements de santé. Les projets de recherches n’étant pas préalablement déterminés, le risque majeur repose sur la potentielle conservation massive de données de santé, sur de longues durées, dans une base unique et en dehors de toute réflexion sur l’intérêt et la pertinence des données stockées.

Un projet comportant de nombreuses précisions

En réponse à cela, le projet de la CNIL dessine les premiers contours du futur référentiel en proposant une liste des données pouvant figurer dans un entrepôt de données de santé. Il circonscrit également les objectifs pour lesquels un entrepôt pourra être constitué, prévoit une durée de conservation de 20 ans et, bien-sûr, présente une liste précise de mesures de sécurité à mettre en œuvre.

Ce référentiel est aussi l’occasion pour la CNIL, dans le contexte toujours incertain de l’invalidation du Privacy Shield, de rappeler que « la mise en place d’un entrepôt ne peut entrainer le transfert de données à caractère personnel, directement ou indirectement identifiantes hors de l’Union européenne ». Enfin, l’article 13 et dernier souligne l’impératif légal de mener une analyse d’impact lors de la constitution d’un entrepôt de données de santé.

Une exigence réitérée d’effectuer une analyse d’impact

Cette obligation qui figure déjà dans la liste des traitements pour lesquels une analyse d’impact est obligatoire est l’occasion de rappeler l’importance de cette mesure dès lors qu’un traitement constitue un risque pour la vie privée des personnes. Ce risque est notamment constitué dès lors qu’un traitement rempli deux des neuf critères établis par la CNIL, par exemple la collecte de données sensibles concernant des personnes vulnérables.

Optimex Data reste, à ce titre, à votre disposition pour déterminer si une analyse d’impact est nécessaire dans le cadre de votre activité et vous accompagner dans sa réalisation.

S’inscrire à notre newsletter.

    Votre nom *

    Votre Email *

    Veuillez saisir le code ci-dessous :

    captcha

    Les informations recueillies par le biais de ce formulaire sont enregistrées et transmises aux services concernés d’OPTIMEX DATA et nous permettent de vous envoyer notre lettre d’information concernant les services que nous proposons. La base légale du traitement est le consentement. Les données collectées sont conservées jusqu’à votre désinscription (lien de désinscription intégré à la Newsletter) dans nos fichiers informatiques. Vous disposez d’un droit d’accès, de rectification, d’opposition, de limitation au traitement et d’effacement. Pour en savoir plus sur l’utilisation de vos données et sur vos droits issus de la Loi Informatique et Libertés modifiée ainsi que du RGPD, veuillez consulter notre politique de protection des données ou nous contacter à privacy@optimex-data.fr.

    logo optimex data

    @Optimex Data 2024 – Tous droits réservés

    OPTIMEX DATA, sécurité et conformité RGPD en toute sérénité !

    Call Now Button