Les traitements de données de santé dans le domaine de la santé (hors recherche) qui ne rentrent pas dans les exceptions prévues par l’article 65 de la loi Informatique et Libertés doivent être autorisés par la CNIL. Avant de déposer une demande d’autorisation, il est important de vérifier si le traitement envisagé constitue bien un traitement de données à caractère personnel dans le domaine de la santé, s’il comportera des données de santé, et si un référentiel a été élaboré par la CNIL pour ce type de traitement.

Si le traitement est conforme en tous points au référentiel applicable, il peut être mis en œuvre dans le cadre d’une déclaration de conformité à ce référentiel sans qu’une autorisation préalable de la CNIL ne soit nécessaire. En l’absence de conformité, une demande d’autorisation doit être déposée auprès de la CNIL.

La demande d’autorisation doit détailler les caractéristiques du traitement envisagé, tant sur ses aspects juridiques que techniques. Cela inclut l’identification du ou des responsables de traitement, des sous-traitants et des organismes chargés de la mise en œuvre du traitement, la présentation de la finalité (objectif) du traitement et la justification de son caractère d’intérêt public, l’identification de la base légale du traitement et l’exception permettant de traiter des données sensibles, l’identification de la nature des données traitées, une description des modalités de rapprochements ou d’interconnexions de fichiers, l’identification et, le cas échéant, la justification de la pertinence des catégories de destinataires envisagées, une présentation des modalités d’information et d’exercice des droits en fonction des catégories de personnes concernées, les durées de conservation des données, l’identification d’éventuels transferts de données en dehors de l’Union européenne et une présentation des modalités d’encadrement de ces transferts, ainsi que les mesures de sécurité adaptées aux risques.

Si le traitement est susceptible de présenter des risques pour les droits et libertés des personnes concernées, la réalisation d’une analyse d’impact relative à la protection des données (AIPD) est obligatoire. Si une AIPD est requise, il est recommandé de la réaliser avant de déposer la demande d’autorisation et de la transmettre lors du dépôt du dossier. Dans le cas où l’AIPD n’a pas été transmise lors du dépôt, sa communication peut être demandée lors de l’instruction.

Enfin, il est important de souligner qu’il est recommandé de pointer les écarts au référentiel applicable et de les justifier dans la demande d’autorisation. Le référentiel applicable doit servir de référence, puisqu’il détaille la doctrine de la CNIL et ses exigences pour le type de traitement concerné. Il est donc recommandé d’attester de la conformité en tous points au référentiel applicable, sauf sur les éléments identifiés, et de détailler les points de non-conformité (juridiques et techniques) au référentiel et de justifier ces écarts ainsi que, si nécessaire, les mesures supplémentaires envisagées afin de compenser les non-conformités.