Maîtriser le RGPD dans votre EDS [Avis de DPO]

La mise en place d’un entrepôt de données de santé requiert une conformité rigoureuse au RGPD et au référentiel CNIL, fondée sur une gouvernance claire, une documentation complète et des mesures de sécurité élevées. Le DPO en est le garant, assurant transparence et conformité à chaque étape du projet.

Laurent Chollat-Namy

Share this article

Docteur avec une tablette et des données

RGPD et Entrepôt de données

‍

Les entrepôts de données de santé sont devenus des dispositifs stratégiques pour les établissements de santé, mais leur mise en œuvre implique un respect strict du RGPD.

‍

Entre base légale, gouvernance, sécurité et réutilisation, ce type de traitement soulève des questions techniques et juridiques complexes.

‍

Dans cet article, nous explorons les conditions à remplir pour créer un entrepôt de données conforme, les erreurs à éviter, et les leviers à activer pour garantir sécurité et transparence.

‍

Un guide opérationnel à destination des DPO, RSSI, juristes et responsables de traitement.

‍

Avis de DPO

L’entrepôt de données de santé doit être perçu comme un stockage massif de données pseudonymisées dont la réutilisation devra être justifiée ensuite par des projets de recherche, d’études, de pilotage reposant le plus souvent eux-mêmes sur des fondements d’intérêt public.

‍

Dans le cadre de l’intérêt public, l’EDS doit répondre au référentiel CNIL sur les EDS.

‍

Un entrepôt de données de santé est un traitement structuré soumis aux exigences du RGPD
Le référentiel CNIL permet une déclaration de conformité pour les projets d’intérêt public
L’AIPD, la gouvernance éthique et la documentation sont indispensables
La pseudonymisation ne suffit pas à exclure le RGPD : les données restent identifiables
Le DPO doit être intégré dès la conception pour sécuriser l’ensemble du projet

‍

Adequacy dispose d’un module Santé, où le référentiel CNIL d’Entrepôt de Données de Santé est enregistré et utilisable.

‍

Comprendre les entrepôts de données de santé à la lumière du RGPD

‍

Les entrepôts de données de santé (EDS) sont devenus des outils stratégiques pour les établissements de santé souhaitant valoriser leurs données à des fins de pilotage, de recherche ou d'optimisation des soins. Leur mise en place implique néanmoins un encadrement juridique rigoureux, notamment au regard du Règlement général sur la protection des données (RGPD).

‍

Définition d'un entrepôt de données de santé

‍

Un entrepôt de données de santé est un traitement structuré de données à caractère personnel, mis en œuvre par un établissement de santé ou un groupement hospitalier, dans le but de permettre la réutilisation des données collectées au fil du soin¹. Ces données peuvent concerner :

‍

Le pilotage stratégique
L'amélioration de la qualité des soins
L'aide à la décision médicale
Les études de faisabilité
La recherche, sous conditions

‍

Ce traitement se distingue d'une base de données traditionnelle par son objectif de réutilisation, son volume, sa structuration à des fins analytiques et son cadre de gouvernance renforcé.

‍

Données de santé : une catégorie de données "sensibles"

‍

Le RGPD (article 9) considère les données relatives à la santé comme des données sensibles, soumises à une interdiction de traitement de principe, sauf exceptions clairement définies². Les entrepôts de données, en raison de la sensibilité des informations qu'ils agrègent (pathologies, traitements, séjours hospitaliers, actes médicaux, etc.), sont donc soumis à un niveau de vigilance élevé.

‍

Les exigences spécifiques du RGPD incluent :

‍

Un fondement légal solide
Des mesures de sécurité techniques et organisationnelles adaptées
Une limitation stricte des finalités
Une gouvernance transparente

‍

Base légale : les trois régimes applicables

‍

Le traitement des données dans le cadre d'un EDS peut reposer sur plusieurs bases juridiques :

Base légale (RGPD)	Finalité du traitement	Exemple d'usage	Régime CNIL
Article 6-1.e + 9-2.g	Mission d'intérêt public	Entrepôt hospitalier pour pilotage	Déclaration de conformité au référentiel
Article 6-1.a + 9-2.a	Consentement explicite	Projet de recherche hors mission publique	Pas de déclaration, mais respect du RGPD requis
Article 6-1.c + 9-2.i	Obligation légale / santé publique	Surveillance épidémiologique	Nécessite souvent autorisation spécifique

Base légale (RGPD)	Finalité du traitement	Exemple d'usage	Régime CNIL
Article 6-1.e + 9-2.g	Mission d'intérêt public	Entrepôt hospitalier pour pilotage	Déclaration de conformité au référentiel

Base légale (RGPD)	Finalité du traitement	Exemple d'usage	Régime CNIL
Article 6-1.a + 9-2.a	Consentement explicite	Projet de recherche hors mission publique	Pas de déclaration, mais respect du RGPD requis

Base légale (RGPD)	Finalité du traitement	Exemple d'usage	Régime CNIL
Article 6-1.c + 9-2.i	Obligation légale / santé publique	Surveillance épidémiologique	Nécessite souvent autorisation spécifique

Note importante : La base la plus fréquemment utilisée dans les EDS est la mission d'intérêt public, qui permet de traiter des données sans consentement individuel, dès lors que le traitement est encadré par un dispositif légal ou réglementaire (référentiel CNIL, autorisation).

‍

Finalité et transparence : des éléments à documenter

‍

Chaque finalité d'un EDS doit être :

‍

Légitime
Déterminée
Explicite
Compatible avec l'intérêt public

‍

Il est impératif d'en informer clairement les personnes concernées via une politique de confidentialité accessible et compréhensible.

‍

Interdictions formelles : Le traitement ne peut en aucun cas servir à des fins commerciales, à la promotion de médicaments ou à l'ajustement de garanties d'assurance (conformément à l'article L.5311-1 du CSP et aux restrictions du référentiel CNIL).

‍

À retenir

Le RGPD impose une lecture fine des traitements mis en œuvre via un EDS. Le choix de la base légale, la définition de la finalité, la nature des données et la gouvernance sont autant de facteurs déterminants pour assurer la conformité.

‍

Mettre en œuvre un entrepôt de données conforme au RGPD

‍

La création et l'exploitation d'un entrepôt de données de santé (EDS) nécessitent une démarche structurée, conforme aux exigences du RGPD et aux recommandations de la CNIL³. De la gouvernance à la documentation, chaque étape doit permettre de garantir la licéité, la sécurité et la traçabilité des traitements mis en œuvre.

‍

Cadre juridique : conformité ou autorisation ?

‍

La CNIL propose un référentiel spécifique pour encadrer la création d'un EDS dans un cadre de mission d'intérêt public⁴. Si le projet est strictement conforme à ce référentiel, une déclaration de conformité suffit. Dans le cas contraire, une demande d'autorisation doit être adressée à la CNIL (article 66 III de la loi "Informatique et Libertés").

‍

Tableau de synthèse des procédures

Situation du projet	Procédure CNIL	Délai estimé
Conforme au référentiel CNIL	Déclaration de conformité	Mise en œuvre immédiate
Hors référentiel (ex. : autre finalité, gouvernance partielle)	Demande d'autorisation	Délai d'instruction par la CNIL (plusieurs mois)

Situation du projet	Procédure CNIL	Délai estimé
Conforme au référentiel CNIL	Déclaration de conformité	Mise en œuvre immédiate

Situation du projet	Procédure CNIL	Délai estimé
Hors référentiel (ex. : autre finalité, gouvernance partielle)	Demande d'autorisation	Délai d'instruction par la CNIL (plusieurs mois)

‍

Documentation obligatoire

‍

Quel que soit le régime, la documentation RGPD est un pilier central de la conformité. Le responsable de traitement doit tenir à jour :

‍

Un registre des activités de traitement (article 30 RGPD)
Une analyse d'impact sur la vie privée (AIPD) (article 35 RGPD)
Un dossier de gouvernance précisant les instances en charge du pilotage et de la validation
Les protocoles de sécurité et d'habilitation

‍

Important : Ces documents doivent être disponibles à tout moment en cas de contrôle, et actualisés en cas d'évolution du périmètre de l'entrepôt.

‍

Gouvernance recommandée

‍

Une gouvernance solide est essentielle. Le référentiel CNIL impose la mise en place :

‍

Structure de gouvernance obligatoire

Instance	Rôle	Responsabilités
Comité de pilotage	Orientations stratégiques	Définit les orientations stratégiques et tient un inventaire exhaustif des données
Comité scientifique et éthique	Évaluation des demandes	Évalue chaque demande de réutilisation des données et valide les projets de recherche
DPO	Conformité RGPD	Garant de la conformité et conseil méthodologique
DIM	Information médicale	Expertise technique et validation des aspects médicaux

Instance	Rôle	Responsabilités
Comité de pilotage	Orientations stratégiques	Définit les orientations stratégiques et tient un inventaire exhaustif des données

Instance	Rôle	Responsabilités
Comité scientifique et éthique	Évaluation des demandes	Évalue chaque demande de réutilisation des données et valide les projets de recherche

Instance	Rôle	Responsabilités
DPO	Conformité RGPD	Garant de la conformité et conseil méthodologique

Instance	Rôle	Responsabilités
DIM	Information médicale	Expertise technique et validation des aspects médicaux

Exigence : Ces instances doivent être formalisées, et leurs rôles clairement documentés.

‍

Cycle de vie des étapes de mise en conformité

‍

Concernant l’information aux personnes concernées et la nécessité de disposer d’un portail de transparence, lire l'article du cabinet d'Aumans Avocats.

‍

Liste de contrôle – Lancement d'un entrepôt

Critère de conformité	Statut
Les finalités sont clairement définies	☐
La base légale est justifiée (intérêt public ou consentement)	☐
Une AIPD a été réalisée	☐
Une gouvernance a été formalisée	☐
Les outils de sécurité sont opérationnels	☐
Une information transparente est mise à disposition	☐
Le registre de traitement est à jour	☐
Une politique de revue régulière est en place	☐

Critère de conformité	Statut
Les finalités sont clairement définies	☐

Critère de conformité	Statut
La base légale est justifiée (intérêt public ou consentement)	☐

Critère de conformité	Statut
Une AIPD a été réalisée	☐

Critère de conformité	Statut
Une gouvernance a été formalisée	☐

Critère de conformité	Statut
Les outils de sécurité sont opérationnels	☐

Critère de conformité	Statut
Une information transparente est mise à disposition	☐

Critère de conformité	Statut
Le registre de traitement est à jour	☐

Critère de conformité	Statut
Une politique de revue régulière est en place	☐

Le rôle clé du DPO

‍

Le DPO est à la fois garant de la conformité et soutien méthodologique, voici les missions du DPO dans le cadre d'un EDS :

‍

Valide les finalités et la base légale
Coordonne la réalisation de l'AIPD
S'assure du respect des droits des personnes
Conseille sur les mesures de minimisation et de pseudonymisation

‍

Conseil : Il est impératif d'intégrer le DPO dès la phase de conception de l'entrepôt.

‍

Sécurité, anonymisation et réutilisation des données : exigences et limites

‍

La mise en œuvre d'un entrepôt de données de santé implique un haut niveau d'exigence en matière de sécurité, de maîtrise des risques et de respect des droits fondamentaux. Le RGPD impose un encadrement strict sur la gestion des accès, la réutilisation des données et la garantie de la confidentialité, particulièrement lorsqu'il s'agit de données de santé.

‍

Sécurité des données : des obligations précises

‍

L'article 32 du RGPD impose aux responsables de traitement de mettre en place des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques.

‍

Mesures de sécurité obligatoires dans un EDS

Catégorie	Mesures techniques	Mesures organisationnelles
Comité de pilotage	Orientations stratégiques	Définit les orientations stratégiques et tient un inventaire exhaustif des données
Comité scientifique et éthique	Évaluation des demandes	Évalue chaque demande de réutilisation des données et valide les projets de recherche
DIM	Information médicale	Expertise technique et validation des aspects médicaux

Catégorie	Mesures techniques	Mesures organisationnelles
Contrôle d'accès	Authentification forte Journalisation	Principe du moindre privilège et gestion des habilitations

Catégorie	Mesures techniques	Mesures organisationnelles
Protection des données	Chiffrement en transit et au repos et cloisonnement des environnements	Séparation production/recherche et traçabilité exhaustive

Catégorie	Mesures techniques	Mesures organisationnelles
Surveillance	Audits réguliers et tests d'intrusion	Plan de réponse aux incidents et procédures de notification CNIL

Obligation légale : Les établissements doivent également disposer d'un plan de réponse aux incidents, assorti d'une procédure de notification à la CNIL et, le cas échéant, aux personnes concernées (articles 33 et 34 RGPD).

‍

Exemples de mesures de sécurité recommandées :

‍

Double authentification (2FA) pour les accès aux environnements de l'entrepôt
Serveurs isolés en réseau privé, auditables par logs
Journalisation des extractions avec historisation
Mise en œuvre de VPN et de chiffrement TLS/SSL
Tests d'intrusion réguliers et politique de mise à jour

‍

Pseudonymisation vs anonymisation : deux logiques distinctes

‍

Une confusion fréquente persiste entre pseudonymisation et anonymisation, pourtant bien distinctes juridiquement :

‍

Comparaison technique et juridique

Technique	Données à caractère personnel ?	Objectif	Réversibilité	Cadre juridique
Pseudonymisation	Oui	Réduire le risque en masquant l'identité	Réversible avec clé de correspondance	Soumis au RGPD
Anonymisation	Non	Supprimer tout lien identifiable	Irréversible par définition	Hors champ RGPD

Pseudonymisation
Données à caractère personnel ?	Oui
Objectif	Réduire le risque en masquant l'identité
Réversibilité	Réversible avec clé de correspondance
Cadre juridique	Soumis au RGPD

Anonymisation
Données à caractère personnel ?	Non
Objectif	Supprimer tout lien identifiable
Réversibilité	Irréversible par définition
Cadre juridique	Hors champ RGPD

Point critique : Les données pseudonymisées restent des données personnelles au sens du RGPD. Elles nécessitent donc toutes les garanties légales (base légale, sécurité, information, etc.).

‍

En revanche, des données véritablement anonymisées échappent au champ d'application du RGPD, à condition qu'aucune ré-identification ne soit possible, même par croisement.

‍

Pour plus d’informations, visionnez notre vidéo de Patrick Tiev à ce sujet.

‍

Réutilisation secondaire : quelles conditions ?

‍

La réutilisation des données d'un EDS, par exemple à des fins de recherche ou d'études médico-économiques, est possible dans certaines conditions :

‍

Conditions de réutilisation conformes au RGPD

Critères	Exigence	Validation requise
Compatibilité des finalités	Compatible avec celle initialement déclarée (art. 5.1.b RGPD)	Analyse de compatibilité
Validation scientifique	Procédure de validation scientifique et éthique	Passage en comité compétent
Nouvelle finalité	Si finalité change ou dépasse le cadre initial	Nouvelle AIPD + autorisation CNIL
Méthodologie	Reposer sur des méthodologies de référence CNIL	Respect des référentiels existants

Procédure spéciale : En cas de projet non couvert par le référentiel ou les méthodologies existantes, une autorisation spécifique doit être sollicitée.

‍

Erreurs à éviter :

‍

Utiliser les données de l'entrepôt pour des finalités non prévues
Manquer de justification sur le périmètre des données collectées
Absence d'analyse d'impact ou documentation insuffisante
Réidentification possible par croisement de bases
Partage des données à des tiers sans cadre contractuel clair

‍

Pour aller plus loin :

‍

Une documentation rigoureuse de la chaîne de traitement, depuis l'alimentation de l'entrepôt jusqu'à la réutilisation, est indispensable. Elle constitue une garantie en cas de contrôle de la CNIL, mais aussi un outil de pilotage interne précieux pour les responsables de traitement et les DPO.

‍

Cas d'usage, erreurs fréquentes et recommandations pour les DPO

‍

Les DPO, RSSI et juristes jouent un rôle central dans la mise en conformité des entrepôts de données de santé. Leur intervention dès la phase de conception permet d'éviter de nombreux écueils. Cette section présente des exemples concrets de bonnes pratiques, d'erreurs fréquentes et de leviers d'optimisation pour une gestion conforme et maîtrisée des EDS.

‍

Étude de cas 1 – Un projet conforme : l'hôpital structuré

‍

Contexte : Un établissement hospitalier souhaite créer un EDS pour analyser les parcours de soins et évaluer la pertinence des prises en charge.

‍

Facteurs de succès :

‍

Le traitement repose sur une mission d'intérêt public
Le projet est conforme au référentiel CNIL
Une gouvernance claire est mise en place (pilotage + éthique)
Une analyse d'impact AIPD complète est réalisée
Les données sont pseudonymisées, avec accès restreint
La politique de réutilisation est définie et validée en comité

‍

Résultat : Le projet est opérationnel, sans alerte CNIL, avec une transparence totale vis-à-vis des patients.

‍

Étude de cas 2 – Un projet non conforme : le croisement incontrôlé

‍

Contexte : Un établissement récupère des données issues de plusieurs SIH (systèmes d'information hospitaliers), sans documentation claire des finalités. Des données nominatives sont croisées avec une base externe à des fins de recherche interne.

‍

Défaillances observées :

Finalités floues ou multiples
Absence de comité éthique
Aucune AIPD ni base légale formalisée
Aucune pseudonymisation effective
Les données sont utilisées par plusieurs services non habilités

‍

Résultat : Après un contrôle, la CNIL demande la suspension immédiate du traitement, faute de conformité.

‍

Tableau – Erreurs fréquentes et réponses correctives

Erreur constatée	Risque encouru	Réponse recommandée
Absence d'AIPD	Sanction CNIL, arrêt du projet	Intégrer le DPO en amont, formaliser l'analyse
Données identifiantes non protégées	Réidentification, violation de données	Appliquer pseudonymisation, accès restreints
Finalité non définie	Illégalité du traitement	Clarifier et documenter chaque finalité
Gouvernance absente	Opacité du traitement	Créer comités de pilotage et d'éthique
Réutilisation non cadrée	Détournement de données	Documenter et valider chaque projet de réutilisation

Le DPO, chef d'orchestre de la conformité

‍

Le Délégué à la Protection des Données doit être intégré dès la phase de conception d'un entrepôt. Son rôle est transversal et comprend :

‍

Missions du DPO dans le cadre d'un EDS

Phase du projet	Actions du DPO	Livrables
Conception	Accompagnement à la rédaction des documents et validation des bases légales et finalités	Documents de conformité
Mise en œuvre	Suivi de l'AIPD et sensibilisation des équipes projet	AIPD validée
Exploitation	Dialogue avec les comités de gouvernance et alerte en cas de dérive	Rapports de conformité

Recommandation : Il est fortement recommandé d'inscrire le DPO dans les circuits de validation de toute réutilisation de données issues de l'EDS.

‍

Recommandations pratiques

‍

Pour une gestion optimale de la conformité :

Réaliser une revue annuelle de conformité avec mise à jour de l'AIPD
Formaliser une procédure de réutilisation (demande, validation, archivage)
Intégrer un registre spécifique au projet EDS, distinct du registre principal
Prévoir une formation continue des intervenants sur les enjeux RGPD
Suivre les évolutions réglementaires (ex. : directives CNIL, AI Act)

‍

En capitalisant sur ces recommandations, les DPO peuvent véritablement agir comme des facilitateurs de projets, tout en sécurisant l'organisation face aux risques juridiques et réputationnels.

‍

FAQ - Questions fréquentes

‍

‍Un entrepôt de données doit-il toujours faire l'objet d'une AIPD ?

Oui. Tout entrepôt de données de santé nécessite une analyse d'impact (AIPD), car il implique un traitement à grande échelle de données sensibles.

‍

‍Peut-on utiliser un EDS pour des projets commerciaux ?

Non. La réutilisation à des fins commerciales est strictement interdite. Seules les finalités d'intérêt public ou de recherche sont autorisées.

‍

‍Qui est responsable en cas de fuite de données dans un entrepôt ?

Le responsable de traitement est responsable, même si le sous-traitant est impliqué. Il doit démontrer qu'il a mis en place des mesures adaptées.

‍

‍Faut-il le consentement des patients pour alimenter un EDS ?

Non, si le traitement repose sur une mission d'intérêt public conforme au RGPD et au référentiel CNIL.

Oui, si le traitement repose sur l'article 9.2.a (consentement explicite).

‍

‍Quelles différences entre un EDS et une base de données classique ?

Un EDS est conçu pour la réutilisation structurée et sécurisée de données de santé, avec une gouvernance, des finalités multiples et une documentation RGPD complète.

Liste des EDS recencés en France par la CNIL

‍

Sources et références

‍

1. CNIL, "La CNIL adopte un référentiel sur les entrepôts de données de santé", cnil.fr

2. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD), Article 9

3. CNIL, "Entrepôts de données de santé : la CNIL publie une 'check-list' de conformité à son référentiel", cnil.fr

4. CNIL, "Référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de création d'un entrepôt de données de santé", cnil.fr

5. Code de la santé publique, Article L.5311-1

6. Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, Article 66 III

‍

Document mis à jour en septembre 2025 - Conforme aux dernières évolutions réglementaires CNIL

Newsletter

Lorem ipsum dolor sit amet, consectetur adipiscing elit

Votre email*

Vous êtes maintenant abonné à la newsletter!

Vous avez accepté la politique de confidentialité

Merci !

Oops! Something went wrong while submitting the form.

The latest news

GDPR compliance and best practices