Référentiel « entrepôt de données de santé » : une affaire de mission d’intérêt public

La CNIL vient de publier le référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de création d’entrepôts de données dans le domaine de la santé (Délibération n° 2021-118 du 7 octobre 2021 JORF 24/10/2021).

Scientific or medical research vector blue background template. Science abstract web banner with blur effect

Lorsque l’on étudie ce référentiel, la première réaction est de considérer que le titre de la délibération n’est pas vraiment adapté. Il aurait été préférable de parler de la « création de certains entrepôts de données dans le domaine de la santé », compte tenu du caractère limité de son champ d’application.

Par rapport au projet initial, ce champ d’application s’est réduit. Faut-il y voir les conséquences du rappel opéré par la CNIL le 17 mai 2021 en prévision de la diffusion du Cash Investigation qui s’intéressait à IQVIA ? Très certainement !

En effet, dorénavant ce référentiel se limite aux seuls entrepôts dont la constitution se fonde sur l’exercice d’une mission d’intérêt public. En d’autres termes, et selon les dispositions de l’article 6, 1. e) du RGPD, l’entrepôt doit être nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable de traitement.

Il est important de souligner que la délibération prend bien le soin de distinguer le caractère d’intérêt public de la mission du responsable de traitement, de l’exigence d’intérêt public imposée pour les finalités des traitements mis en œuvre dans le domaine de la santé. La mission d’intérêt public d’un responsable de traitement est donc à bien distinguer de la finalité d’intérêt public d’un traitement.

Ainsi, la question essentielle à laquelle il devra être répondu en tout premier lieu lors de la réalisation du PIA/AIPD sera : est-ce que le responsable de traitement poursuit une mission d’intérêt public ?

Pour aider à répondre à cette question, il peut être utile de se reporter au 1. du référentiel « A qui s’adresse ce référentiel ? » et surtout aux exclusions qui ont été complétées par une nouvelle hypothèse : « Les entrepôts mis en œuvre par une société privée sur le fondement de son intérêt légitime ».

Dans une telle hypothèse, la réponse est donc très claire. Toute société privée qui souhaite mettre en œuvre un entrepôt de données de santé devra, en principe, obtenir une autorisation de la CNIL et ne pourra donc pas se contenter d’une déclaration de conformité au référentiel entrepôt de données de santé. Il y a cependant beaucoup d’autres situations où la réponse ne sera pas aussi évidente.

Il conviendra alors de challenger la notion de « mission d’intérêt public » pour savoir si le référentiel peut s’appliquer à tel ou tel responsable de traitement.

Nous pensons bien évidemment à certains établissements de santé qui n’assurent pas le service public hospitalier au sens de l’article L. 6112-2 du CSP, aux professionnels de santé exerçant au sein de centres de santé ou de maisons de santé, aux laboratoires d’analyse de biologie médicale, aux organismes à but non lucratifs qui constituent des bases de données à des fins de recherches, d’études ou d’évaluation, etc. et qui n’ont pas de caractère ou statut « public ».

A ce titre, il sera tout particulièrement intéressant de se reporter aux considérants 45 et 54 du RGPD, qui aideront sans conteste les responsables de traitement à l’origine d’entrepôts de données de santé afin de se déterminer par rapport à cette notion de « mission d’intérêt public ».

« Il devrait, également, appartenir au droit de l’Union ou au droit d’un État membre de déterminer si le responsable du traitement exécutant une mission d’intérêt public ou relevant de l’exercice de l’autorité publique devrait être une autorité publique ou une autre personne physique ou morale de droit public ou, lorsque l’intérêt public le commande, y compris à des fins de santé, telles que la santé publique, la protection sociale et la gestion des services de soins de santé, de droit privé, telle qu’une association professionnelle. »
« (…) Dans ce contexte, la notion de « santé publique » devrait s’interpréter selon la définition contenue dans le règlement (CE) n° 1338/2008 du Parlement européen et du Conseil (11), à savoir tous les éléments relatifs à la santé, à savoir l’état de santé, morbidité et handicap inclus, les déterminants ayant un effet sur cet état de santé, les besoins en matière de soins de santé, les ressources consacrées aux soins de santé, la fourniture de soins de santé, l’accès universel à ces soins, les dépenses de santé et leur financement, ainsi que les causes de mortalité (…). »

Au niveau national, si nous considérons qu’un organisme assurant des missions de santé publique, tel que par exemple les laboratoires de biologie médicale en application des dispositions de l’article L. 6212-3 du CSP, poursuit une mission d’intérêt public, un certain nombre d’acteurs privés de la santé pourront alors se référer à ce nouveau référentiel.