Démarrer avec les données de santé
Notre guide pour vous accompagner dans tous vos projets d’utilisation des données de santé
Avant de démarrer votre projet, voici les questions à vous poser :
Si vous souhaitez utiliser des données anonymes, c'est-à-dire à partir desquelles il est impossible d’identifier les personnes concernées par ces données, les dispositions du RGPD ne s’appliquent pas. Vous devez au préalable conduire une analyse de risque de réidentification afin de démontrer cette impossibilité.
Néanmoins, une confusion fréquente est faite entre la donnée anonyme et la donnée pseudonymisée : par exemple, le fait de traiter des données de santé de personnes sans détenir l’identité de ces dernières ne suffit pas à qualifier ces données d’anonymes. Il est également important de retenir que le fait de rendre anonymes des données initialement identifiantes constitue, en tant que tel, un traitement de données personnelles.
Il vous appartient, en tant que porteur de projet, de vous assurer du caractère anonyme des données de santé que vous souhaitez traiter et de documenter l’analyse menée dans ce cadre, au regard des critères dégagés par le G29 (individualisation, corrélation, inférence).
Pour vous accompagner dans cette démarche, nous vous invitons à consulter nos guides dédiés à ce sujet vous permettant de disposer des clefs d’une part pour mieux comprendre ce qu’est une donnée anonyme et une donnée pseudonymisée et, d'autre part, pour évaluer le risque de réidentification du jeu de données que vous souhaitez réutiliser.
Si les données sur lesquelles porte votre recherche sont des données pseudonymisées, il est essentiel de détailler les données dont vous aurez besoin de façon précise. Cette question est importante notamment car la CNIL qui examinera votre dossier va vérifier que vous demandez des données nécessaires à votre projet, et pas plus que ce qui est nécessaire. Vous devez donc déterminer les données de santé dont vous avez besoin pour mener votre projet à bien.
Cette question est importante notamment car la CNIL qui examinera votre dossier va vérifier que vous demandez des données nécessaires à votre projet, et pas plus que ce qui est nécessaire. Vous devez donc déterminer les données de santé dont vous avez besoin pour mener votre projet à bien.
Pour vous repérer dans les données de santé, vous avez à disposition :
- Un catalogue qui comprend certaines bases de données accessibles depuis le Health Data Hub
- Il n’existe malheureusement pas de cartographie exhaustive des bases de données de santé en France mais vous pouvez en retrouver un grand nombre ici
- Des explications synthétiques sur le SNDS historique, notamment sur son périmètre
- Un guide d’aide pour formaliser l’expression des besoins SNDS à destination de la CNAM (à venir)
- Notre offre de formations proposant des outils de vulgarisation sur le SNDS, de la documentation (comme des jeux de données de synthèse pour tester et manipuler), de la documentation partagée ou encore des formations spécifiques aux utilisateurs du SNDS
Différentes options s'offrent à vous : soit vous disposez de votre propre système d'information sécurisé pour traiter les données, soit vous recourez aux plateformes sécurisée du Health Data Hub (pour des projets participant à la lutte contre l’épidémie pour le moment) ou de la CNAM, soit vous faites appel à un prestataire tiers.
Pour faire votre choix, vous devez prendre en considération le niveau de sécurité des plateformes (notamment pour le SNDS, leur conformité au référentiel de sécurité) et leur offre logicielle. Plus d'informations sur notre offre logicielle et celle de la CNAM (à venir).
De façon générale, toute personne ou structure, publique ou privée, à but lucratif ou non, peut accéder à des données personnelles de santé à des fins de recherche. Si les données sont parfaitement anonymes, la CNIL n’intervient pas, vous pouvez accéder librement aux données. A l’inverse, si les données ne sont pas parfaitement anonymes, la CNIL doit alors autoriser l’accès aux données. C’est en effet le seul organisme habilité à délivrer ce type d’autorisation. Cependant, vous pouvez être éligible à des procédures simplifiées pour faciliter l’accès aux données : dans ce cas, votre demande d’accès n’a pas à être autorisée par la CNIL mais vous devez tout de même répondre à quelques démarches spécifiques. Pour vous y retrouver, consultez notre page Démarches réglementaires.
Vous pouvez être amené, dans votre étude, à utiliser des données à caractère personnel, et notamment des données de santé. Afin de permettre aux personnes dont les données vont être utilisées d’en garder la maîtrise, donc de faire valoir leurs droits vis-à-vis des données qui les concernent, une information doit être faite. L’information aux personnes concernées doit-être exhaustivement conforme au Règlement Général sur la Protection des Données (RGPD) et à la Loi Informatique et Libertés (LIL). Elle doit être individuelle, préalable à la mise en œuvre de la recherche et spécifique à chaque projet.
Que vous soyez ou non en charge de la base de données que vous souhaitez utiliser, vous êtes concerné en tant que porteur de projets par l’information aux personnes ; une obligation qui vous incombe. Pour vous repérer dans vos obligations et dans la rédaction d’une note d’information adaptée, consultez notre page Information Patient.
Si vous savez quelles données de santé et quelle infrastructure vous souhaitez utiliser, mais aussi quelle procédure vous concerne et que celle-ci nécessite que votre projet soit autorisé par la CNIL, veuillez consulter cette page qui vous indiquera précisément toutes les pièces à fournir ainsi que des ressources documentaires pour vous aider à les remplir.