Découvrez Le Brief de l'IT, la newsletter thématique gratuite d'Archimag dédiée aux professionnels des data, de l'IT, de la digitalisation et de la transformation numérique !
Clarifier l’usage envisagé
La première étape consiste à distinguer si l’on se situe dans une utilisation primaire ou dans une utilisation secondaire des données :
- l’utilisation primaire recouvre l’ensemble des traitements directement liés au parcours de soin, comme la prévention, le diagnostic, la prise en charge du patient ou le fonctionnement de son dossier,
- la réutilisation secondaire vise au contraire des objectifs ultérieurs et distincts, tels que la recherche scientifique, l’analyse statistique, l’amélioration d’un produit ou encore la conception d’un modèle d’IA.
Cette distinction est fondamentale, car elle détermine le régime juridique applicable, les bases légales mobilisables et les obligations applicables au responsable de traitement.
Lire aussi : L'AAF alerte sur le sort des données de santé
S’assurer de la licéité de la collecte initiale
Aucune réutilisation n’est possible si la collecte initiale n’a pas été réalisée dans le respect du RGPD. En effet, l’illicéité du traitement initial entache de facto le traitement ultérieur.
Parmi les points à vérifier, il est nécessaire de s’assurer qu’une base légale adéquate a été mobilisée lors de la collecte initiale des données, ainsi qu’une exception au titre de l’article 9 du RGPD autorisant le traitement de données sensibles. L’information délivrée aux personnes au moment de la collecte doit également avoir été complète, loyale et transparente, en respectant les mentions obligatoires au titre des articles 12 et suivants du RGPD.
Les durées de conservation prévues doivent être cohérentes avec la nouvelle finalité et, le cas échéant, adaptées ou réévaluées. Les droits des personnes doivent pouvoir s’exercer de manière effective. Enfin, le traitement initial doit être correctement documenté dans le registre des activités de traitements.
Lorsque le réutilisateur n’est pas le primocollectant, des précautions supplémentaires doivent être prises : autorisation explicite du responsable de traitement initial, contractualisation du transfert, clarification des rôles et vérification stricte des exigences de sécurité et d’hébergement, notamment HDS (la certification HDS est une obligation réglementaire qui s’adresse aux prestataires d’hébergement de données de santé à caractère personnel).
Lire aussi : Bases de données des durées de conservation des documents
Vérifier la compatibilité de la nouvelle finalité
La réutilisation n’est licite que si la finalité envisagée est compatible avec celle de la collecte initiale. Cette compatibilité doit être évaluée à l’aide d’un véritable test, prenant en compte le lien entre les finalités, le contexte de collecte, la nature sensible des données, les impacts potentiels pour les personnes et les mesures de sécurité prévues. L’arrêt de la CJUE du 20 octobre 2022 permet de challenger les cinq critères proposés afin de vérifier la compatibilité du traitement pour lequel les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé.
Ces critères présentent trois avantages :
- ils traduisent la nécessité d’un lien concret, logique et suffisamment étroit entre les finalités de la collecte initiale des données à caractère personnel et le traitement ultérieur de ces données,
- ils permettent de s’assurer que ce traitement ultérieur ne s’écarte pas des attentes légitimes des personnes concernées quant à l’utilisation ultérieure de leurs données,
- ils permettent d’assurer un équilibre entre, d’une part, le besoin de prévisibilité et de sécurité juridique concernant les finalités du traitement de données à caractère personnel précédemment collectées et, d’autre part, la reconnaissance d’une certaine flexibilité au profit du responsable du traitement dans la gestion de ces données.
Certaines réutilisations bénéficient cependant d’un régime spécifique, notamment celles réalisées à des fins de recherche scientifique ou statistique, ou encore celles reposant sur une anonymisation préalable des données.
Qualifier précisément le projet
La qualification juridique du projet conditionne le cadre applicable. Un projet de recherche ne sera pas traité de la même manière qu’un projet d’entraînement d’un modèle d’IA ou qu’une étude statistique interne.
La réutilisation peut relever d’une méthodologie de référence, comme la MR-003 relative aux recherches dans le domaine de la santé sans recueil du consentement ou la MR-004 relative quant à elle aux recherches n’impliquant pas la personne humaine, études et évaluations dans le domaine de la santé, de la Loi Jardé, d’une analyse d’impact relative à la protection des données (AIPD), voire d’un avis éthique spécifique.
Les projets impliquant de l’intelligence artificielle doivent par ailleurs s’inscrire dans les exigences de l’AI Act, qui renforce les obligations de documentation, de gouvernance et de gestion des risques.
Garantir un niveau de sécurité adapté
La réutilisation de données de santé suppose un niveau de sécurité particulièrement élevé. Les traitements externalisés doivent être hébergés chez un prestataire certifié HDS. Les données doivent être protégées par des mesures fortes de chiffrement, de journalisation, de traçabilité, de contrôle des accès et d’auditabilité.
La gestion des habilitations doit répondre à un principe strict de "besoin d’en connaître". La sécurité constitue un prérequis absolu et non un simple volet accessoire du projet.
Documenter la réutilisation et structurer la gouvernance
Au-delà de la licéité, un projet de réutilisation doit être solidement documenté. Le registre des traitements doit être mis à jour pour intégrer le nouveau traitement de données réalisé. Une AIPD peut également s’avérer nécessaire au regard de la sensibilité des données et du risque élevé.
La base légale, l’analyse de compatibilité, les mesures de sécurité et la logique de minimisation doivent être tracées. Une gouvernance claire doit être définie : rôles des acteurs, processus de validation, instances internes, documentation et procédures.
Lire aussi : Données de santé : un nouveau référentiel HDS pour les hébergeurs
Encadrer les flux externes et les partenariats
La réutilisation de données de santé implique fréquemment plusieurs acteurs. Les échanges doivent être précisément documentés et sécurisés. Les responsabilités entre responsable de traitement, sous-traitant et éventuel responsable conjoint doivent être définies. Les transferts hors UE doivent être évités ou strictement encadrés. Les contrats doivent inclure des engagements forts en matière de sécurité, de confidentialité, de minimisation et de traçabilité.
Assurer un pilotage éthique du projet
La conformité juridique peut également intégrer le respect d’engagements éthiques. À ce titre, les projets de réutilisation doivent également s’inscrire dans une logique éthique fondée sur la transparence, la proportionnalité et l’intérêt collectif.
Les patients doivent être informés clairement des usages possibles de leurs données personnelles. Le respect du principe de minimisation permet également de garantir que seules les données strictement nécessaires soient réutilisées.
Conclusion
Réutiliser des données de santé exige une démarche maîtrisée, méthodique et rigoureuse. Clarification de la finalité ultérieure poursuivie, licéité de la collecte initiale, analyse de compatibilité, cadrage juridique, sécurité renforcée, documentation complète et gouvernance éthique constituent les piliers indispensables pour garantir une réutilisation conforme et responsable.
Les organisations qui investissent dans cette structuration créent les conditions d’un usage innovant, maîtrisé et durable des données de santé.
Rémy Bozonnet
[Account Executive chez Adequacy]
