La CNIL a adopté sa Délibération n° 2021-118 du 7 octobre 2021 mettant en place un référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de création d’entrepôts de données dans le domaine de la santé.
Le référentiel ne s’applique qu’aux entrepôts de données de santé dont la constitution se fonde sur l’exercice d’une mission d’intérêt public, au sens de l’article 6-1-e du RGPD. Ainsi, l’entrepôt doit être nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
Ce référentiel s’adresse aux responsables de traitements qui souhaitent, dans le cadre de leurs missions d’intérêt public, réunir des données en vue de leur réutilisation. Ne sont pas concernés par ce référentiel : i) les entrepôts mis en œuvre par une société privée sur le fondement de son intérêt légitime ; ii) les traitements de données à caractère personnel mis en œuvre uniquement aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de services de santé et mis en œuvre par les professionnels de santé et les systèmes ou services de soins de santé (p. ex. : les dossiers médicaux dématérialisés) ; iii) les traitements de données à caractère personnel mis en œuvre lorsque la personne a donné son consentement explicite à cette fin ; iv) les entrepôts appariés avec la base principale du système national des données de santé.