ÉVOLUTION DES RÉFÉRENTIELS SANTÉ DE LA CNIL

La CNIL a lancé en mai dernier une consultation publique pour évaluer et actualiser ses référentiels en matière de données de santé. Ces derniers concernent les cadres réglementaires et techniques définissant les bonnes pratiques pour traiter les données de santé en conformité avec le Règlement général sur la protection des données (RGPD) et la loi française. Ils servent notamment à guider les professionnels de santé, les établissements et institutions dans la mise en œuvre de traitements de données sécurisées et respectueux des droits des patients. 
Leur objectif est de garantir la protection des données sensibles tout en facilitant l’innovation et les usages dans le domaine de la santé. Avec l’arrivée de l’Intelligence artificielle (IA) et l’évolution du secteur de la santé (dématérialisation, télémédecine, numérique), cette actualisation devenait une nécessité.

FORTE MOBILISATION
La première phase de cette consultation visait à recueillir les retours des parties prenantes sur l’utilisation et l’efficacité des référentiels, ainsi qu’à identifier les besoins d’évolution face aux nouvelles pratiques et technologies. 
Environ 140 entités – organismes de recherche, établissements de santé, institutions publiques, professionnels de santé – y ont participé, montrant, selon la CNIL, une forte mobilisation sur le sujet : la diversité des profils répondants reflète l’importance accordée à la protection des données de santé et la volonté de tous les acteurs de contribuer activement à l’évolution de ces référentiels.
Plusieurs attentes ont été identifiées, notamment la possibilité d’apparier les données, l’aménagement des modalités d’information et les catégories de destinataires des données. L’émergence de l’IA interroge aussi, avec un besoin d’accompagnement marqué sur le déploiement de l’IA de manière générale et son articulation entre le RGPD et le règlement sur l’IA (RIA).

DONNÉES DE SANTÉ ET SOURCES
Plusieurs axes de réflexion sont déjà identifiés par la CNIL.
Le premier axe de travail identifié porte sur les méthodologies de référence concernant l’appariement des données, pour faciliter le croisement de différentes sources afin d’enrichir les analyses tout en garantissant les informations personnelles. 
Trois autres axes de travail concernent les modalités d’information, les destinataires de données et les catégories des données traitées. Puis viennent des thématiques en lien avec la recherche, comme les modalités de décentralisation et de dématérialisation de la recherche ainsi que le recrutement des patients. 
D’autres axes font écho à des projets en cours de finalisation : la réorganisation de l’onglet « santé » du site de la CNIL pour améliorer la visibilité des contenus, mais aussi la mise en ligne d’un nouveau formulaire de demande d’autorisation permettant aux organismes de fournir les informations nécessaires à l’instruction dès le dépôt d’une demande.

PRIORITÉ À L’INTELLIGENCE ARTIFICIELLE
À noter que cette consultation identifie certains sujets, mais tous ne relèvent pas exclusivement de la compétence de la CNIL : c’est le cas de la distinction entre les recherches impliquant ou pas la personne humaine ou encore les exigences liées à la certification « hébergeur de données de santé ». À ce titre, la CNIL rappelle qu’elle est un régulateur et non un législateur, même si ses référentiels précisent, à chaque niveau, les règles prévues par les textes (Code de la Santé publique, Code de la Recherche, etc.). 
La CNIL prévoit de constituer des groupes de travail dès le premier trimestre 2025 pour approfondir ces thématiques et élaborer des propositions d'évolution des référentiels. Les thèmes prioritaires reflètent les évolutions du système de santé et ses pratiques, la mondialisation et le respect des droits des patients. Ont ainsi été identifiées comme thématiques prioritaires l’IA en santé, l’information et le recrutement des personnes mais aussi la dématérialisation et la décentralisation des données (en lien avec le suivi des patients à domicile, le consentement électronique et la téléconsultation) ainsi que le transfert des données en dehors de l’Union européenne ou les études réalisées à l’étranger. 
Les acteurs concernés seront invités à participer activement aux travaux de la CNIL à travers ces différents groupes de travail afin de co-construire des référentiels adaptés aux enjeux actuels et futurs de la protection des données de santé. Les premiers référentiels sont attendus au deuxième trimestre 2025 et viendront enrichir la plateforme des données de santé également appelée Health data Hub.

Anne-Lise Favier