Malgré les inquiétudes et les interrogations, l’engouement pour les données de santé reste à la hausse du point de vue de la CNIL. La Commission a publié hier ses chiffres relatifs aux demandes d’autorisations en santé 2024. Elle constate une hausse de 20% des demandes en 2024 par rapport à 2023.
La commission comptabilise ainsi 619 demandes d’autorisation en 2024, principalement pour la mise en œuvre de projets de recherche. Sur ces 619 demandes, 397 (65%) ont fait l’objet d’une autorisation.
La CNIL note d’ailleurs à ce sujet que le nombre de dossiers refusés et classés sans suite à également diminué, signe d’une amélioration de la qualité des dossiers. Plus particulièrement la CNIL remarque que « la plupart des demandeurs listent désormais les points s’écartant du référentiel concerné dans leurs dossiers ». Ce qui simplifie la vie des équipes de la CNIL.
Rares refus
La Commission fait la distinction entre les dossiers refusés et les dossiers classés sans suite.
Les dossiers classés sans suite (174 en 2024) sont les dossiers sur lesquels la Commission estime ne pas avoir besoin de s’exprimer. Soit parce que la loi ne l’impose pas, soit parce que les dossiers sont déjà conformes à un référentiel CNIL. Ou bien ils sont incomplets.
Les dossiers réellement refusés par la CNIL sont le plus souvent retoqués « sur les mesures techniques et organisationnelles visant à assurer la sécurité des données comme la pseudonymisation des données et le respect du principe de minimisation. » Mais le cas de figure est rare. Sur l’année 2024, la CNIL n’a ainsi refusé que 3 dossiers.
Enfin, la commission se félicite de l’accélération des temps de traitement. En moyenne, le délai de traitement des demandes d’autorisation pour des projets de recherche a été de 65 jours contre 73 l’année précédente. Et de 49 jours (contre 65 jours en 2023) pour les demandes d’autorisations « hors recherche. »
Des dossiers plus sensibles que d’autres
Si la délivrance d’autorisation de traitement des données de santé semble se normaliser, le sujet reste souvent l’occasion de débats houleux, principalement liés au recours à des hébergeurs et fournisseurs cloud situés en dehors de l’espace européen. Des hébergeurs potentiellement soumis à des lois extra territoriales. De quoi faire peser un risque pour les données sensibles qu’ils hébergent.
Récemment, la CNIL a ainsi rappelé au Health Data Hub sa promesse de trouver une alternative à l’hébergement des données de santé chez Microsoft. La CNIL avait à l’origine accepté de mauvaise grâce cette solution temporaire, qui suscitait l’inquiétude de nombreux observateurs.
Pour autant, le Health Data Hub ne se presse pas. Si l’organisme confirme continuer d’étudier de nouvelles pistes, aucune date de migration n’est pour l’instant envisagée.