La récente décision de la CNIL ayant condamné la société CEGEDIM à une amende de 800 000 euros a aussi été l’occasion pour la Commission de préciser les critères de qualification d’un entrepôt de données de santé.
Mais revenons tout d’abord aux sources textuelles des entrepôts de données de santé à savoir la Délibération n°2021-118 du 7 octobre 2021 (rectifiée par la Délibération n°2021-123 du 2 novembre 2021).
1. La réutilisation des données de l’entrepôt par des tiers, un critère déterminant
L’entrepôt de données de santé y est défini, ou plutôt présenté, comme la réunion de données en vue de leur réutilisation pour les finalités mentionnées audit Référentiel (article 3.1). Est-ce à dire que toute autre finalité est interdite ? Non, mais le Référentiel fait référence d’une part à des finalités que nous qualifierons plutôt d’internes, car visant des traitements opérés par le personnel du responsable de traitement et pour son usage exclusif, et d’autres part aux finalités de recherches, d’études ou d’évaluations dans le domaine de la santé qui, elles, ne sont pas couvertes par le Référentiel et doivent à ce titre faire l’objet de formalités distinctes auprès de la CNIL conformément aux dispositions de la section 3 chapitre 3 de la Loi Informatiques et Libertés (engagement de conformité à une MR ou demande d’autorisation auprès de la CNIL).
On comprend que la réutilisation des données à des fins de recherche dans des traitements ultérieurs n’est donc pas nécessairement une finalité interne. Si les données de l’entrepôt peuvent donc être mise à disposition de tiers, elle n’apparait toutefois pas comme une condition sine qua none à la qualification d’un entrepôt de données de santé. Pour autant, lorsque celle-ci est mise en œuvre, il s’agit d’un critère déterminant, comme le rappelle la CNIL dans la décision CEGEDIM : « Parmi les éléments déterminants d’une qualification en entrepôt de données de santé figurent ceux de la réutilisation des données dans des traitements ultérieurs » faisant ici référence aux données mises à disposition des clients de CEGEDIM pour réaliser des études et des statistiques dans le domaine de la santé.
On peut se demander si l’échelle, ou la fréquence, de cette mise à disposition pourrait avoir une incidence sur la qualification de la base de données (une mise à disposition « quasi industrielle » versus « quelques mises à disposition »). L’appréciation est pour le moins subjective et même si la CNIL peut y faire référence dans le cadre de l’instruction de dossiers, elle ne l’a, ici, pas du tout évoqué.
A la lecture de certains de ses développements sur son site internet, on pourrait toutefois s’interroger sur le fait de savoir s’il ne s’agit pas d’un critère à géométrie variable :
- « les cohortes prévoyant un suivi longitudinal, dans une durée limitée, portant sur une thématique précise et ayant des destinataires limités sont des recherches et relèvent des dispositions spécifiques qui leur sont applicables ;
- la réutilisation des données issues d’une « recherche » est possible ponctuellement, à condition que le nouveau responsable de traitement respecte les dispositions « recherche », en particulier l’information des personnes, et les formalités correspondantes (voir ci-dessus)».
Quoi qu’il en soit, la réutilisation des données, a fortiori par des tiers, est un critère dont il faut tenir compte dans la qualification d’un entrepôt de données de santé, au même titre que les critères suivants que la CNIL présente également comme déterminant dans sa décision prononcée à l’encontre de la société CEGEDIM.
Ces critères sont (i) une collecte massive de données de santé, (ii) une alimentation de la base au fil de l’eau pour obtenir un volume important de données et enfin (iii) la durée de conservation des données. C’est notamment sur ce dernier critère que la société CEGEDIM réfutait la qualification d’entrepôt de donnée en raison de la nature transitoire du flux qui ne conservait les données que trois mois démontrant ainsi qu’il ne s’agissait pas d’une base de données pérenne.
La société n’avait pas tort, mais on retiendra surtout que loin d’être le seul critère, la durée de conservation fait partie DES critères devant être pris en compte dans le cadre d’une technique d’appréciation utilisée par la CNIL et bien connue des juristes à savoir celle du faisceau d’indices ! Et pour cause, la notion d’entrepôt de données de santé n’est inscrite nulle part dans la loi Informatique et Libertés, mais demeure une construction doctrinale de la CNIL dans le cadre de l’application des articles 65 et suivants de cette loi, comme se plait à la rappeler la CNIL.
⇒ Claire LAURIA, avocate
