Juridique

La CNIL pré-autorise certains entrepôts de données de santé normalisés

La CNIL pré-autorise certains entrepôts de données de santé normalisés
Le nouveau référentiel sur les entrepôts de données de santé de la CNIL ne concerne pas les dossiers patients mais les hubs de données de santé.

La CNIL vient de publier un référentiel sur les entrepôts de données de santé qui simplifie la mise en oeuvre des traitements strictement conformes.

PublicitéUn référentiel sur les entrepôts de données de santé vient d'être publié par la CNIL. Ce référentiel n'est pas une norme obligatoire : il est possible de créer des entrepôts de données de santé ne respectant pas ce référentiel. Cependant, la constitution d'un tel entrepôt de données de santé suppose une autorisation préalable tandis qu'un entrepôt strictement conforme au référentiel peut être mis en oeuvre avec une simple déclaration de conformité, ce qui allège considérablement le formalisme réglementaire.

Le périmètre de ce référentiel est restreint. Tout ce qui relève des dossiers patients est ainsi expressément exclu. Les entrepôts encadrés par le référentiel sont mis en oeuvre afin de permettre la réutilisation des données qu'ils contiennent, autrement il s'agit de hubs de données de santé. Des traitements peuvent également être réalisés directement sur les datas si elles relèvent de la recherche (études, évaluations, construction d'aides au diagnostic médical...), du pilotage, de l'optimisation de la codification des actes, etc. Des exigences précises concernent les personnes accédant aux données, avec l'obligation au minimum d'une supervision par un médecin directeur de l'information médicale. Le référentiel comprend une liste exhaustive des finalités possibles ainsi que des données pouvant être traitées.

Un chapitre entier (le 10) du référentiel est consacré aux précautions à prendre en matière de sécurité des données. Le référentiel insiste ainsi lourdement sur l'isolement de l'entrepôt de données, la pseudonymisation des enregistrements et le chiffrement des datas avec une pluralité de clés, parfois même des clés spécifiques à certaines catégories de données (comme des données génétiques par exemple). Les modalités de traitement, d'extraction et d'accès sont précisément détaillées. Toutes les actions menées sur cet entrepôt doivent être journalisées.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    Votre organisation utilise-t-elle une authentification multifactorielle (MFA) ?