RGPD et Entrepôt de données

‍

‍

Les entrepôts de données de santé sont devenus des dispositifs stratégiques pour les établissements de santé, mais leur mise en œuvre implique un respect strict du RGPD.

Entre base légale, gouvernance, sécurité et réutilisation, ce type de traitement soulève des questions techniques et juridiques complexes.

Dans cet article, nous explorons les conditions à remplir pour créer un entrepôt de données conforme, les erreurs à éviter, et les leviers à activer pour garantir sécurité et transparence.

Un guide opérationnel à destination des DPO, RSSI, juristes et responsables de traitement.

‍

Avis de DPO

L’entrepôt de données de santé doit être perçu comme un stockage massif de données pseudonymisées dont la réutilisation devra être justifiée ensuite par des projets de recherche, d’études, de pilotage reposant le plus souvent eux-mêmes sur des fondements d’intérêt public.

Dans le cadre de l’intérêt public, l’EDS doit répondre au référentiel CNIL sur les EDS.

‍

• Un entrepôt de données de santé est un traitement structuré soumis aux exigences du RGPD
• Le référentiel CNIL permet une déclaration de conformité pour les projets d’intérêt public
• L’AIPD, la gouvernance éthique et la documentation sont indispensables
• La pseudonymisation ne suffit pas à exclure le RGPD : les données restent identifiables
• Le DPO doit être intégré dès la conception pour sécuriser l’ensemble du projet

‍

Adequacy dispose d’un module Santé, où le référentiel CNIL d’Entrepôt de Données de Santé est enregistré et utilisable.

‍

‍

Comprendre les entrepôts de données de santé à la lumière du RGPD

‍

‍

Les entrepôts de données de santé (EDS) sont devenus des outils stratégiques pour les établissements de santé souhaitant valoriser leurs données à des fins de pilotage, de recherche ou d'optimisation des soins. Leur mise en place implique néanmoins un encadrement juridique rigoureux, notamment au regard du Règlement général sur la protection des données (RGPD).

‍

Définition d'un entrepôt de données de santé

‍

Un entrepôt de données de santé est un traitement structuré de données à caractère personnel, mis en œuvre par un établissement de santé ou un groupement hospitalier, dans le but de permettre la réutilisation des données collectées au fil du soin¹. Ces données peuvent concerner :

‍

• Le pilotage stratégique
• L'amélioration de la qualité des soins
• L'aide à la décision médicale
• Les études de faisabilité
• La recherche, sous conditions

‍

Ce traitement se distingue d'une base de données traditionnelle par son objectif de réutilisation, son volume, sa structuration à des fins analytiques et son cadre de gouvernance renforcé.

‍

Données de santé : une catégorie de données "sensibles"

‍

Le RGPD (article 9) considère les données relatives à la santé comme des données sensibles, soumises à une interdiction de traitement de principe, sauf exceptions clairement définies². Les entrepôts de données, en raison de la sensibilité des informations qu'ils agrègent (pathologies, traitements, séjours hospitaliers, actes médicaux, etc.), sont donc soumis à un niveau de vigilance élevé.

‍

Les exigences spécifiques du RGPD incluent :

‍

• Un fondement légal solide
• Des mesures de sécurité techniques et organisationnelles adaptées
• Une limitation stricte des finalités
• Une gouvernance transparente

‍

Base légale : les trois régimes applicables

‍

Le traitement des données dans le cadre d'un EDS peut reposer sur plusieurs bases juridiques :

‍

‍

Note importante : La base la plus fréquemment utilisée dans les EDS est la mission d'intérêt public, qui permet de traiter des données sans consentement individuel, dès lors que le traitement est encadré par un dispositif légal ou réglementaire (référentiel CNIL, autorisation).

‍

Finalité et transparence : des éléments à documenter

‍

Chaque finalité d'un EDS doit être :

‍

• Légitime
• Déterminée
• Explicite
• Compatible avec l'intérêt public

‍

Il est impératif d'en informer clairement les personnes concernées via une politique de confidentialité accessible et compréhensible.

Interdictions formelles : Le traitement ne peut en aucun cas servir à des fins commerciales, à la promotion de médicaments ou à l'ajustement de garanties d'assurance (conformément à l'article L.5311-1 du CSP et aux restrictions du référentiel CNIL).

‍

À retenir

Le RGPD impose une lecture fine des traitements mis en œuvre via un EDS. Le choix de la base légale, la définition de la finalité, la nature des données et la gouvernance sont autant de facteurs déterminants pour assurer la conformité.

‍

‍

Mettre en œuvre un entrepôt de données conforme au RGPD

‍

‍

La création et l'exploitation d'un entrepôt de données de santé (EDS) nécessitent une démarche structurée, conforme aux exigences du RGPD et aux recommandations de la CNIL³. De la gouvernance à la documentation, chaque étape doit permettre de garantir la licéité, la sécurité et la traçabilité des traitements mis en œuvre.

‍

Cadre juridique : conformité ou autorisation ?

‍

La CNIL propose un référentiel spécifique pour encadrer la création d'un EDS dans un cadre de mission d'intérêt public⁴. Si le projet est strictement conforme à ce référentiel, une déclaration de conformité suffit. Dans le cas contraire, une demande d'autorisation doit être adressée à la CNIL (article 66 III de la loi "Informatique et Libertés").

‍

Tableau de synthèse des procédures

‍

Documentation obligatoire

‍

Quel que soit le régime, la documentation RGPD est un pilier central de la conformité. Le responsable de traitement doit tenir à jour :

‍

• Un registre des activités de traitement (article 30 RGPD)
• Une analyse d'impact sur la vie privée (AIPD) (article 35 RGPD)
• Un dossier de gouvernance précisant les instances en charge du pilotage et de la validation
• Les protocoles de sécurité et d'habilitation

‍

Important : Ces documents doivent être disponibles à tout moment en cas de contrôle, et actualisés en cas d'évolution du périmètre de l'entrepôt.

‍

Gouvernance recommandée

‍

Une gouvernance solide est essentielle. Le référentiel CNIL impose la mise en place :

‍

Structure de gouvernance obligatoire

Exigence : Ces instances doivent être formalisées, et leurs rôles clairement documentés.

‍

Cycle de vie des étapes de mise en conformité

‍

Image

‍

Concernant l’information aux personnes concernées et la nécessité de disposer d’un portail de transparence, lire l'article du cabinet d'Aumans Avocats.

‍

Liste de contrôle – Lancement d'un entrepôt

‍

‍

Le rôle clé du DPO

‍

Le DPO est à la fois garant de la conformité et soutien méthodologique, voici les missions du DPO dans le cadre d'un EDS :

‍

• Valide les finalités et la base légale
• Coordonne la réalisation de l'AIPD
• S'assure du respect des droits des personnes
• Conseille sur les mesures de minimisation et de pseudonymisation

‍

Conseil : Il est impératif d'intégrer le DPO dès la phase de conception de l'entrepôt.

‍

‍

Sécurité, anonymisation et réutilisation des données : exigences et limites

‍

‍

La mise en œuvre d'un entrepôt de données de santé implique un haut niveau d'exigence en matière de sécurité, de maîtrise des risques et de respect des droits fondamentaux. Le RGPD impose un encadrement strict sur la gestion des accès, la réutilisation des données et la garantie de la confidentialité, particulièrement lorsqu'il s'agit de données de santé.

‍

Sécurité des données : des obligations précises

‍

L'article 32 du RGPD impose aux responsables de traitement de mettre en place des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques.

‍

Mesures de sécurité obligatoires dans un EDS

‍

‍

Obligation légale : Les établissements doivent également disposer d'un plan de réponse aux incidents, assorti d'une procédure de notification à la CNIL et, le cas échéant, aux personnes concernées (articles 33 et 34 RGPD).

‍

Exemples de mesures de sécurité recommandées :

‍

• Double authentification (2FA) pour les accès aux environnements de l'entrepôt
• Serveurs isolés en réseau privé, auditables par logs
• Journalisation des extractions avec historisation
• Mise en œuvre de VPN et de chiffrement TLS/SSL
• Tests d'intrusion réguliers et politique de mise à jour

‍

Pseudonymisation vs anonymisation : deux logiques distinctes

‍

Une confusion fréquente persiste entre pseudonymisation et anonymisation, pourtant bien distinctes juridiquement :

‍

Comparaison technique et juridique

Point critique : Les données pseudonymisées restent des données personnelles au sens du RGPD. Elles nécessitent donc toutes les garanties légales (base légale, sécurité, information, etc.).

En revanche, des données véritablement anonymisées échappent au champ d'application du RGPD, à condition qu'aucune ré-identification ne soit possible, même par croisement.

Pour plus d’informations, visionnez notre vidéo de Patrick Tiev à ce sujet.

‍

Réutilisation secondaire : quelles conditions ?

‍

La réutilisation des données d'un EDS, par exemple à des fins de recherche ou d'études médico-économiques, est possible dans certaines conditions :

Conditions de réutilisation conformes au RGPD

Procédure spéciale : En cas de projet non couvert par le référentiel ou les méthodologies existantes, une autorisation spécifique doit être sollicitée.

‍

Erreurs à éviter :

‍

• Utiliser les données de l'entrepôt pour des finalités non prévues
• Manquer de justification sur le périmètre des données collectées
• Absence d'analyse d'impact ou documentation insuffisante
• Réidentification possible par croisement de bases
• Partage des données à des tiers sans cadre contractuel clair

‍

Pour aller plus loin

Une documentation rigoureuse de la chaîne de traitement, depuis l'alimentation de l'entrepôt jusqu'à la réutilisation, est indispensable. Elle constitue une garantie en cas de contrôle de la CNIL, mais aussi un outil de pilotage interne précieux pour les responsables de traitement et les DPO.

‍

‍

Cas d'usage, erreurs fréquentes et recommandations pour les DPO

‍

‍

Les DPO, RSSI et juristes jouent un rôle central dans la mise en conformité des entrepôts de données de santé. Leur intervention dès la phase de conception permet d'éviter de nombreux écueils. Cette section présente des exemples concrets de bonnes pratiques, d'erreurs fréquentes et de leviers d'optimisation pour une gestion conforme et maîtrisée des EDS.

‍

Étude de cas 1 – Un projet conforme : l'hôpital structuré

Contexte : Un établissement hospitalier souhaite créer un EDS pour analyser les parcours de soins et évaluer la pertinence des prises en charge.

Facteurs de succès :

‍

• Le traitement repose sur une mission d'intérêt public
• Le projet est conforme au référentiel CNIL
• Une gouvernance claire est mise en place (pilotage + éthique)
• Une analyse d'impact AIPD complète est réalisée
• Les données sont pseudonymisées, avec accès restreint
• La politique de réutilisation est définie et validée en comité

‍

Résultat : Le projet est opérationnel, sans alerte CNIL, avec une transparence totale vis-à-vis des patients.

‍

Étude de cas 2 – Un projet non conforme : le croisement incontrôlé

Contexte : Un établissement récupère des données issues de plusieurs SIH (systèmes d'information hospitaliers), sans documentation claire des finalités. Des données nominatives sont croisées avec une base externe à des fins de recherche interne.

Défaillances observées :

• Finalités floues ou multiples
• Absence de comité éthique
• Aucune AIPD ni base légale formalisée
• Aucune pseudonymisation effective
• Les données sont utilisées par plusieurs services non habilités

‍

Résultat : Après un contrôle, la CNIL demande la suspension immédiate du traitement, faute de conformité.

‍

Tableau – Erreurs fréquentes et réponses correctives

‍

‍

Le DPO, chef d'orchestre de la conformité

‍

Le Délégué à la Protection des Données doit être intégré dès la phase de conception d'un entrepôt. Son rôle est transversal et comprend :

‍

Missions du DPO dans le cadre d'un EDS

‍

Recommandation : Il est fortement recommandé d'inscrire le DPO dans les circuits de validation de toute réutilisation de données issues de l'EDS.

‍

Recommandations pratiques

‍

Pour une gestion optimale de la conformité :

• Réaliser une revue annuelle de conformité avec mise à jour de l'AIPD
• Formaliser une procédure de réutilisation (demande, validation, archivage)
• Intégrer un registre spécifique au projet EDS, distinct du registre principal
• Prévoir une formation continue des intervenants sur les enjeux RGPD
• Suivre les évolutions réglementaires (ex. : directives CNIL, AI Act)

‍

En capitalisant sur ces recommandations, les DPO peuvent véritablement agir comme des facilitateurs de projets, tout en sécurisant l'organisation face aux risques juridiques et réputationnels.

‍

‍

FAQ - Questions fréquentes

‍

‍

Un entrepôt de données doit-il toujours faire l'objet d'une AIPD ?

Oui. Tout entrepôt de données de santé nécessite une analyse d'impact (AIPD), car il implique un traitement à grande échelle de données sensibles.

‍

Peut-on utiliser un EDS pour des projets commerciaux ?

Non. La réutilisation à des fins commerciales est strictement interdite. Seules les finalités d'intérêt public ou de recherche sont autorisées.

‍

Qui est responsable en cas de fuite de données dans un entrepôt ?

Le responsable de traitement est responsable, même si le sous-traitant est impliqué. Il doit démontrer qu'il a mis en place des mesures adaptées.

‍

Faut-il le consentement des patients pour alimenter un EDS ?

Non, si le traitement repose sur une mission d'intérêt public conforme au RGPD et au référentiel CNIL.

Oui, si le traitement repose sur l'article 9.2.a (consentement explicite).

‍

Quelles différences entre un EDS et une base de données classique ?

Un EDS est conçu pour la réutilisation structurée et sécurisée de données de santé, avec une gouvernance, des finalités multiples et une documentation RGPD complète.

Liste des EDS recencés en France par la CNIL

‍

Sources et références

‍

1. CNIL, "La CNIL adopte un référentiel sur les entrepôts de données de santé", cnil.fr

2. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD), Article 9

3. CNIL, "Entrepôts de données de santé : la CNIL publie une 'check-list' de conformité à son référentiel", cnil.fr

4. CNIL, "Référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de création d'un entrepôt de données de santé", cnil.fr

5. Code de la santé publique, Article L.5311-1

6. Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, Article 66 III

‍

Document mis à jour en septembre 2025 - Conforme aux dernières évolutions réglementaires CNIL