Entrepôt de données de santé : quels sont les aspects réglementaires à prendre en compte ?

 Entrepôt de données de santé : les aspects réglementaires liés à l’archivage et au partage des données de Santé

Lorsqu’on évoque la notion de données personnelles de Santé, il est essentiel de bien être au clair avec la littérature législative qui encadre leur utilisation par les établissements ou les professionnels de Santé. La Loi intervient en effet sur les champs du RGPD, de l’hébergement des données de Santé, ainsi que de la sécurité des systèmes d’information notamment.

La protection du citoyen est bien évidement au cœur de la réglementation et l’avantage de celle-ci réside dans le fait d’imposer aux industriels une démarche réglementaire et normative. En revanche, cela entraîne un cout que doivent supporter les établissements, freine la démarche technique et peut également ralentir le processus de diffusion de l’information médicale.

Des millions de giga-octets accessibles instantanément

Les méga-entrepôts des plateformes logistiques défraient souvent la chronique. On les décrit gigantesques, robotisés, relativement inhumains, mais ils permettent pourtant de stocker des millions de références livrées en quelques heures partout dans le monde ! Transposons ce modèle en un entrepôt de données de santé : nous disposons alors de millions de giga-octets d’informations accessibles immédiatement : analyses de biologie, images médicales, comptes rendus, constantes, données structurées sur les parcours de soin pour éviter des examens redondants, données disponibles pour les projets de recherche… Les entrepôts de données de santé sont un formidable outil au service du soin, lui offrant une « source d’énergie sans fin » : les datas.

 

Habilitations aux usages et propriété des données de Santé

De par sa position centrale et transversale, l’entrepôt est susceptible d’interagir avec un grand nombre de professionnels de Santé au sein d’un territoire ou d’un écosystème donné. Il est donc bien sûr nécessaire, au niveau de la confidentialité des données de Santé, de définir ceux qui y auront accès d’une part, et le type de datas que ces derniers pourront traiter d’autre part. L’entrepôt doit ainsi communiquer en permanence avec les outils d’habilitation rattachés au GHT ou au ROR, par exemple. Le patient lui-même est également susceptible d’être habilité afin qu’il enrichisse lui aussi la base. Il est nécessaire ici de rappeler que, s’il a le pouvoir d’opposer un véto pour l’accès à ses données personnelles, il n’en est pas propriétaire. Ces informations sont de fait dans le domaine public, produites et archivées à partir de fonds et de moyens publics et le patient ne peut que donner son consentement à leur utilisation.

 

Le cadre des entrepôts de données

Techniquement, un entrepôt de données de santé est un outil de collecte et de normalisation des données (produites au niveau d’un établissement par les laboratoires, les plateaux techniques, les applications médico-économiques ou au niveau national par des organismes de type CNAM), un outil de stockage des données et un outil de restitution de la donnée. L’usage, le partage et l’échange de la donnée personnelle sont et doivent être réglementés. La donnée de santé est, par essence, extrêmement sensible et nécessite un encadrement strict pour éviter toute dérive ou utilisation malveillante. Il existe 3 grandes classes de règlementation : le RGPD, l’HDS  et la réglementation CNIL, règlementations auxquelles sont soumises les structures pour apporter un niveau de sécurité conséquent concernant la gestion de données de santé.

Rappel RGPD :

  • Le Règlement Général sur la Protection des Données (RGPD) applicable depuis le 25 mai 2018 obligeant les structures de santé à cartographier les traitements de données de santé à caractère personnel, à documenter précisément les finalités, les parties prenantes, les mesures de sécurité et les obligations juridiques associées au dit traitement ;
  • L’article L.1111-8 du code de la santé publique, modifié par la loi N°2016-41 du 26 janvier 2016 obligeant les hébergeurs de données de santé sur support numérique à acquérir et à maintenir une certification. Le décret 2018-137 du 26 février 2018 définit la procédure de certification et organise la transition entre l’agrément en vigueur depuis 2006 (décret n°2006-6 du 4 janvier 2006) et la certification. Sont concernées les structures de santé hébergeant pour le comptes de tiers ;
  • La mise en œuvre d’une Politique de Sécurité conforme aux exigences de la PSSI-MCAS et du corpus de référence de la PGSSI-S de l’Asip santé ;
  • Le respect des obligations et des recommandations édictées par la CNIL à titre général et, en particulier, sur les données de santé.

A lire : le RGPD dans le monde de la santé >