Réutiliser les données des EDS
que dit la CNIL ?

Les établissements hospitaliers sont de plus en plus nombreux à adopter une solution d’Entrepôt de Données de Santé (la transition data des établissements de santé) - ouvrant ainsi de nouvelles  opportunités  de réutilisation des données, notamment pour la recherche.  
→ Mais comment réutiliser ces données ? Quel est le cadre ?
‍
La réutilisation des données des EDS offre un potentiel immense pour l’innovation en santé, mais elle doit se faire dans un cadre réglementaire strict défini par la CNIL. Respecter les exigences du référentiel EDS est ainsi un prérequis pour protéger les droits des patients tout en permettant aux entreprises, aux établissements de santé et aux chercheurs de tirer parti de ces données précieuses.

‍Les premiers exemples des sanctions délivrées par la CNIL commencent à tomber pour les acteurs ne respectant pas les exigences de ce référentiel, à l’instar de CEGEDIM SANTÉ sanctionné pour avoir manqué d’effectuer les formalités préalables au traitement de données personnelles. Il est alors  plus que jamais crucial  pour toutes organisations souhaitant exploiter des données de santé de bien les comprendre et de savoir les appliquer.

L’EDS selon le référentiel de la CNIL : un socle de base pour centraliser et exploiter les données.

Le référentiel entrepôt de données de santé (EDS) que la CNIL a  publié en 2021 a créé  un cadre visant à faciliter la réutilisation des données pour les hôpitaux, et ce autant pour des usages médico-administratifs (par exemple : production d’indicateurs de pilotage, fonctionnement d’outils d’aide au diagnostic, …) que pour la recherche scientifique (par exemple : pré-screening, création de cohortes, …). En respectant les pré-requis posés par le  référentiel, les établissements peuvent assurer la conformité de leur EDS avec les exigences réglementaires, tout en protégeant efficacement les données personnelles de santé qu'ils gèrent.
‍
Actuellement, ce référentiel fait l’objet d’une réévaluation par les équipes de la CNIL qui prévoient de mettre à jour certaines de ses dispositions début 2025. Arkhn a d’ailleurs participé à la consultation publique lancée en ce sens avant l’été !
‍
Les acteurs exploitant des données ne respectant pas la réglementation s’exposent à des sanctions édictées par la CNIL, qui peuvent se révéler très lourdes, en plus du préjudice réputationnel de l’organisation. La CNIL ne sanctionne pas uniquement le secteur de santé puisqu’en 2022, FREE a eu une amende de  300 000 euros pour ne pas avoir respecté les droits des personnes et la sécurité des données de ses utilisateurs.

Des exigences clés pour assurer l’intégrité et la sécurité de ces données.

Quoi qu’il en soit, ce référentiel repose sur des principes protecteurs des patients et il établit les obligations principales que les établissements doivent respecter :

• La sécurité et confidentialité des données
  Le référentiel de la CNIL impose des standards élevés en matière de sécurité pour garantir la protection des données personnelles. Cela inclut des mesures telles que le chiffrement des données - toutes les données sensibles doivent être chiffrées, tant lors de leur transmission que lors de leur stockage - ou encore le contrôle d'accès strict : l'accès aux données doit être strictement régulé et limité aux seules personnes ayant une nécessité de connaître les informations pour exercer leurs fonctions.
• La centralisation 
  L’EDS est par nature un objet de centralisation des données produites par les logiciels de soins, indépendamment de leur nature, assurant ainsi une source unique et complète pour l'exploitation des données.
• Des espaces de travail partagés, sécurisés et temporaires, (qu’on appelle les Data Clean Rooms chez Arkhn 🙂) qui permettent aux utilisateurs de collaborer sur des projets spécifiques, partageant des jeux de données normalisés pour la durée du projet. 
• La mission d’intérêt public des responsables de traitement de l’EDS  
  Le référentiel EDS s’adresse uniquement aux responsables de traitement exerçant une mission d’intérêt public. Autrement dit, l’exercice de la mission d‘intérêt public constitue donc la base légale des entrepôts de données de santé sous l’égide du référentiel.
• Les finalités et objectifs de l’EDS explicites et licites 
  Le référentiel EDS impose aux responsables de traitement de définir les/la finalités de leur EDS afin de respecter au mieux le principe de minimisation des données (la minimisation des données consiste à ne collecter et traiter que les informations strictement nécessaires pour atteindre les objectifs définis, en évitant tout surplus de données).
• L’information et l’exercice des droits personnes concernées (patients et professionnels de santé) 
  La protection des personnes concernées est centrale dans le référentiel EDS.  Le responsable de l’EDS doit informer les personnes concernées de la collecte de leurs données  pour les intégrer à l’entrepôt et de leur réutilisation éventuelle au sein de ce dernier.  En outre, le responsable de traitement doit permettre aux patients d’exercer leurs droits sur leurs données(effacement, rectification, accès etc).
• La pseudonymisation et l’anonymisation 
  Pour protéger l’identité des personnes concernées, le référentiel impose que les données de l’entrepôt soient pseudonymisées et qu’elles soient anonymisées en sortie de l’EDS.  
  En ce qui concerne l’anonymisation, le référentiel impose que les données doivent être transformées de manière irréversible, rendant toute ré-identification impossible, y compris par croisement avec d’autres bases de données. L’anonymisation doit ainsi être totale pour respecter les critères de la CNIL, ce qui permet de sortir les données du champ d’application du RGPD.
  En revanche, la pseudonymisation, également encadrée, permet de conserver un lien indirect avec l’identité des individus. Le référentiel exige que ce lien ne soit accessible qu’à un nombre restreint de personnes habilitées et qu’il soit protégé par des mesures de sécurité rigoureuses, telles que le chiffrement. Il est également requis de documenter précisément les processus de pseudonymisation, afin d'assurer leur conformité et leur traçabilité. On vous en dit plus très prochainement à propos de la pseudonymisation sur notre blog - restez connectés ! 👀

La nécessité de solutions concrètes pour la mise en conformité des établissements de santé.

Pour répondre aux exigences du référentiel EDS, les établissements ont besoin de pouvoir s’appuyer sur des solutions d'EDS fiables et conformes aux directives de la CNIL, afin de pouvoir exploiter leurs données tout en restant pleinement dans le cadre légal. Ces solutions doivent être des outils à la fois robustes et transparents, garantissant une gestion rigoureuse des données des patients tout en favorisant l'innovation.

Arkhn, en tant qu'acteur pionnier dans le domaine des EDS, a la volonté de fournir aux structures de santé la seule solution d’Entrepôt de Données de Santé pour tous les besoins, tous les métiers et tous les cadres réglementaires.

La réponse d’Arkhn : un EDS pour utiliser tout le potentiel des données de votre établissement en toute sécurité

De l'intégration à la réutilisation des données, nous avons développé une solution d'EDS innovante, alliant transparence, technologies de pointe et exigences réglementaires (certifications HDS et ISO 27001, conformité au référentiel EDS de la CNIL et au RGPD). Elle intègre également des outils performants permettant aux équipes des établissements de santé de réutiliser les données en toute sécurité et en totale conformité avec les cadres légaux.
‍
C’est le cas notamment de nos Data Clean Rooms, des environnements de travail sécurisés conçus pour optimiser la réutilisation des données des EDS à des fins de recherche, tout en assurant une protection maximale des informations. Ces espaces permettent aux équipes de recherche d'analyser des données dans des conditions étanches et sécurisées.

Les Data Clean Rooms offrent plusieurs avantages :

• Espaces sécurisés et partagés : Ces environnements protègent les données tout en permettant une collaboration efficace.
• Bibliothèque d'outils d’analyse : Intégrant des outils tels que des tableurs et des logiciels de bio-statistique, ces espaces facilitent l'analyse et l'exploitation des données.
• Protection maximale des données : Ces bulles sécurisées respectent les pré-requis de sécurité forts imposés par la CNIL tels que par exemple le chiffrement des données, le cloisonnement des flux réseaux, le contrôle de l’accès aux données, la pseudonymisation …

En conclusion, la CNIL, à travers son référentiel EDS, a établi un cadre rigoureux et protecteur pour encadrer la réutilisation des données de santé. Ce référentiel constitue un socle solide permettant aux établissements de santé de tirer parti des données tout en assurant la protection des droits des patients. Toutefois, il est crucial pour les structures souhaitant exploiter ces données à des fins diverses – qu'elles soient médico-administratives ou scientifiques – de respecter scrupuleusement les exigences de la CNIL pour éviter les sanctions délivrées par l’organisme régulateur.  
‍
Face à ces enjeux complexes, Arkhn accompagne les structures de santé dans l’exploitation responsable et efficace de leurs données, tout en répondant aux défis imposés par la réglementation grâce à une solution d'Entrepôt de Données de Santé (EDS) adaptée aux besoins actuels de chaque établissement.
‍
Nous vous invitons à découvrir nos solutions et à explorer comment les Arkhn Data Clean Rooms peuvent transformer la gestion de vos données de santé, en vous offrant une plateforme robuste, transparente et parfaitement adaptée à vos besoins.