Entrepôt de données de santé : le guide complet pour un projet conforme en 7 étapes

L’article en bref : qu’est-ce qu’un entrepôt de données de santé, qui peut en créer un, les obligations réglementaires à respecter (CNIL, RGPD, HDS, AIPD, DPO) et la méthode concrète pour mener votre projet en conformité.

Introduction

Chaque jour, des milliers d’actes médicaux génèrent des données précieuses : consultations, hospitalisations, résultats d’analyses, prescriptions. Dans la plupart des établissements, ces données restent enfermées dans des systèmes cloisonnés, sans jamais être valorisées.

Un entrepôt de données de santé permet de transformer ces informations en véritable levier stratégique et médical. Mais sa mise en place s’inscrit dans un cadre réglementaire exigeant, encore mal compris par de nombreux acteurs du secteur : hôpitaux, cliniques, startups ou équipes de recherche.

Ce guide est fait pour vous si vous êtes directeur d’établissement, médecin porteur d’un projet data, DSI, fondateur de startup e-santé, ou investisseur en santé numérique. En moins de 10 minutes, vous saurez exactement ce qu’est un EDS, si vous êtes concerné, ce que vous avez le droit de faire et comment construire votre projet sans vous exposer.

1. Qu’est-ce qu’un entrepôt de données de santé ?

1.1 Quelle est la définition d’un entrepôt de données de santé ?

Un entrepôt de données de santé est une base de données centralisée et sécurisée, conçue pour collecter, conserver et structurer sur une longue durée (généralement au moins 10 ans) un volume important de données de santé. Selon la définition retenue par la CNIL, l’EDS est une base destinée à être utilisée notamment à des fins de recherche, d’études ou d’évaluations dans le domaine de la santé.

La particularité d’un EDS est qu’il regroupe des données issues de sources multiples : dossiers patients informatisés (DPI), prescriptions, examens biologiques, imagerie médicale, données administratives, parfois aussi données issues d’objets connectés ou de recherches antérieures. Ces données sont organisées pour permettre des réutilisations secondaires : recherche médicale, pilotage hospitalier, développement d’algorithmes d’intelligence artificielle, pharmacovigilance, etc.

Mais ce n’est pas une simple base de données. C’est un dispositif à part entière, avec une gouvernance propre, des règles d’accès précises et un cadre réglementaire exigeant. Il se distingue d’une étude de recherche ponctuelle par sa vocation à être réutilisé sur le long terme, par des équipes différentes, pour des finalités multiples dans le domaine de la santé.

Chiffres clés : Au 1er septembre 2025, la CNIL recense 125 entrepôts de données de santé en France, portés par 102 acteurs différents : 45 publics, 32 privés à but non lucratif, 25 privés. Ce chiffre est en forte croissance depuis 2017, porté par les enjeux d’innovation dans le domaine de la santé en France.

1.2 Où trouver la cartographie des entrepôts de données de santé en France ?

La CNIL publie et met à jour régulièrement la cartographie des entrepôts de données de santé autorisés en France. Elle recense les 125 EDS actifs ou en cours de mise en œuvre, avec pour chaque acteur le secteur d’appartenance et le statut de la démarche. C’est la référence pour savoir qui porte un EDS dans le domaine de la santé en France et sous quel cadre réglementaire.

2. À quoi sert un EDS concrètement ?

2.1 Quels sont les usages concrets d’un entrepôt de données de santé ?

Un EDS dépasse largement le cadre de la recherche académique. Il ouvre la voie à ce que certains médecins appellent déjà la « médecine 4P » : prédictive, préventive, personnalisée et participative.

Les usages les plus courants parmi les acteurs qui ont déployé un EDS en France :

• Améliorer la qualité des soins : analyser les parcours de patients, identifier les prises en charge qui fonctionnent, réduire les réhospitalisations. Ces usages couvrent aussi bien l’amélioration du parcours de soins au niveau individuel que la production de connaissances à l’échelle d’une population entière.
• Accélérer la recherche médicale : permettre à des équipes de chercheurs d’accéder à des cohortes de patients sur plusieurs années, sans collecter les données from scratch pour chaque étude.
• Piloter l’activité : produire des indicateurs de performance, anticiper les besoins en ressources, suivre l’évolution des pathologies.
• Développer des outils d’aide à la décision : entraîner des modèles prédictifs pour mieux orienter les diagnostics ou les traitements.

La différence entre un entrepôt et un simple système d’information hospitalier tient précisément à cette capacité de réutilisation : les données ne sont pas collectées pour un usage unique, elles sont structurées pour servir des projets multiples et successifs.

3. EDS ou projet de recherche : quelle différence ?

La distinction entre un EDS et un projet de recherche en santé fait partie des interrogations les plus fréquentes dans les organisations qui lancent un projet data santé.

	EDS	Étude / recherche ponctuelle
Objectif	Stocker des données pour les réutiliser dans plusieurs projets	Répondre à une question scientifique précise
Durée	Longue au moins 10 ans	Limitée et définie à l’avance
Données	Collectées en continu, au fil du soin	Collectées spécifiquement pour l’étude
Réutilisation	Oui, par différents projets successifs	Non, une étude = une autorisation

La règle à retenir Les porteurs de projets qui souhaitent réutiliser les données d’un EDS à des fins de recherche doivent déposer une demande spécifique auprès du comité scientifique et éthique. Indépendamment des formalités initiales liées à la création de l’entrepôt.

Créer un EDS ne dispense donc pas de déclarer séparément chaque projet de recherche qui utilisera ensuite ces données : ce sont deux démarches bien distinctes, avec chacune leur propre responsable de traitement et leurs propres obligations réglementaires.

4. Qui peut créer un entrepôt de données de santé ?

4.1 Quelles organisations sont autorisées à créer un EDS ?

Les entrepôts de données de santé sont souvent associés aux grands CHU et aux instituts de recherche. Pourtant, leur mise en place concerne aujourd’hui une diversité d’acteurs du secteur de la santé : Peuvent créer un EDS :

• Les hôpitaux publics et CHU c’est le cas le plus courant
• Les cliniques et établissements privés de soins, à condition d’exercer une mission d’intérêt public
• Les centres de lutte contre le cancer et fondations de recherche
• Les instituts de recherche (INSERM, Institut Pasteur…)
• Les startups e-santé et entreprises privées, mais avec des règles spécifiques et plus contraignantes.

 4.2 Une startup ou une entreprise privée peut-elle créer un EDS ?

Oui, mais avec des règles renforcées. Une entreprise privée qui n’exerce pas de mission d’intérêt public ne peut pas bénéficier du cadre simplifié prévu par la CNIL. Elle devra soit obtenir une autorisation individuelle de la CNIL, soit recueillir le consentement explicite de chaque patient concerné.

Il est par ailleurs formellement interdit de collecter des données de patients dans le seul but de constituer un EDS, sans finalité clairement définie au départ. Les conséquences peuvent être sévères : mise en demeure, amende, obligation de supprimer les données déjà collectées.

5. Quelles données peut-on collecter et utiliser dans un EDS ?

5.1 Quels usages sont autorisés avec les données d’un EDS ?

Les données de santé sont des données « sensibles » au sens de l’article 9 du RGPD. Leur traitement est interdit par principe, sauf dans des cas précis définis par la loi.

Données de santé : Toutes les informations relatives à l’état de santé physique ou mentale d’une personne, passé, présent ou futur y compris les données génétiques et biométriques lorsqu’elles permettent l’identification. Leur traitement est soumis à des règles spécifiques plus strictes que les données ordinaires.

Ces usages doivent s’inscrire dans une méthodologie de référence reconnue et documentée, c’est l’une des conditions posées par la CNIL pour valider la conformité d’un projet EDS. Pour un EDS, les usages autorisés sont :

Autorisé	Interdit
Recherche médicale et études en santé	Promotion commerciale de médicaments ou dispositifs médicaux
Évaluation des pratiques et des politiques de santé	Ajustement de garanties ou de primes d’assurance
Production d’indicateurs et le pilotage de l’activité d’un établissement	Tout usage à des fins purement commerciales ou marketing
Amélioration de la qualité et de la sécurité des soins	Revente des données à des tiers

Les données personnelles en général (coordonnées, identifiants, données administratives) collectées dans le cadre d’un EDS sont également soumises au RGPD et relèvent des obligations du responsable de traitement, au même titre que les données de santé stricto sensu. C’est précisément pour cette raison que la conformité RGPD est le socle indispensable de tout projet EDS : sans elle, aucune des étapes suivantes ne peut être valablement accomplie.

5.2 Pseudonymisation ou anonymisation : quelle obligation pour un EDS ?

C’est une question que se posent systématiquement les porteurs de projets au démarrage, et la confusion entre les deux notions a des conséquences directes sur la base légale de votre projet et les obligations du responsable de traitement.

Les données pseudonymisées, où le nom du patient est remplacé par un identifiant, restent des données personnelles soumises au RGPD : une réidentification reste théoriquement possible. Les données anonymisées ne permettent plus aucune réidentification et sortent du champ du RGPD.

Dans un EDS, les données sont en général pseudonymisées, pas anonymisées. Cela signifie que toutes les obligations RGPD continuent de s’appliquer pleinement. En tant que responsable de traitement, vous devez documenter explicitement dans votre AIPD les mesures de pseudonymisation retenues et justifier pourquoi une anonymisation complète n’est pas possible ou pertinente pour votre projet.

6. Quelles obligations réglementaires s’appliquent pour un EDS ? (CNIL, RGPD, HDS, DPO, AIPD)

6.1 Quel est le cadre juridique applicable à un EDS ? 

Un EDS ne repose pas sur un texte unique. Son cadre juridique résulte d’un empilement de normes qu’il faut maîtriser ensemble :

• Le RGPD (règlement (UE) 2016/679), et en particulier ses articles 6 et 9 qui définissent les bases légales et le régime des données sensibles ;
• La loi Informatique et Libertés (loi n° 78-17 modifiée), qui adapte le RGPD au droit français ;
• Le Code de la santé publique, notamment les dispositions sur le secret médical et les traitements de données de santé à des fins de recherche ;
• Le référentiel EDS de la CNIL (délibération n° 2021-118 du 7 octobre 2021) ;
• La méthodologie de référence MR-004 pour les recherches n’impliquant pas la personne humaine ;
• Le règlement EHDS (règlement (UE) 2025/327 du 11 février 2025), qui pose les jalons d’une harmonisation européenne progressive.

Maîtriser ce cadre est le point de départ de toute conformité RGPD sérieuse et c’est précisément ce que Dipeeo prend en charge pour vous.

6.2 Quels sont les principes fondamentaux du RGPD applicables à un EDS ?

Quel que soit le régime applicable, un EDS doit respecter les principes fondamentaux du RGPD. Ce sont les mêmes principes qui structurent toute démarche de conformité RGPD appliqués ici à un contexte particulièrement exigeant :

• Base légale clairement identifiée : mission d’intérêt public, intérêt légitime ou consentement explicite. Un EDS ne peut pas reposer sur une simple base contractuelle comme un fichier client classique.
• Finalités déterminées et compatibles : la finalité doit être documentée et limitée à la recherche, l’étude ou l’évaluation en santé.
• Minimisation des données : seules les données strictement nécessaires sont collectées. Tout excès de collecte expose le responsable de traitement à un risque direct.
• Information des personnes concernées : les patients doivent être informés individuellement de l’existence de l’EDS, des données traitées et de leurs droits.
• Droit d’opposition effectif et facile à exercer : dès le premier contact.
• Durée de conservation justifiée et proportionnée.
• Sécurité technique et organisationnelle renforcée (voir section 7).

6.3 Quelles sont les formalités CNIL pour créer un EDS ?

Dans son rôle de régulateur, la CNIL contrôle la mise en œuvre effective de ces obligations, elle peut à tout moment demander des compléments, diligenter un contrôle sur place ou prononcer une mise en demeure si le dossier est incomplet ou si les pratiques s’écartent du cadre déclaré. Deux voies existent selon votre situation, et choisir la mauvaise expose votre organisation à des sanctions directes.

	Déclaration de conformité au référentiel	Autorisation individuelle CNIL
Condition	Projet conforme au référentiel relatif aux traitements de données de santé + mission d’intérêt public	Projet qui s’écarte du référentiel, EDS avec données du Système National des Données de Santé, ou entreprise privée sans mission d’intérêt public
Délai	Immédiat après déclaration	2 à 4 mois de traitement CNIL
Documents requis	AIPD, registre, documentation complète	Dossier complet incluant AIPD et formulaire d’autorisation
Contrainte	Respect du référentiel obligatoire tout écart doit être identifié et justifié auprès de la CNIL	Aucune collecte possible avant autorisation. La CNIL exigera dans tous les cas le respect du référentiel, ou à défaut une justification explicite de chaque point de non-conformité.

Cas particulier SNDS : toute inclusion de données du Système National des Données de Santé nécessite une autorisation individuelle, même si le consentement des personnes a été recueilli par ailleurs.

6.4 La base légale doit-elle être définie avant de lancer le projet ?

Oui, et c’est souvent l’étape que les organisations négligent le plus. La base légale conditionne tout le reste : la voie réglementaire choisie, le contenu de l’AIPD, les modalités d’information des patients et les obligations du responsable de traitement. Une base légale mal définie est la première cause de refus ou de demande de complément par la CNIL.

6.5 L’AIPD est-elle obligatoire pour un EDS ?

Oui, et c’est souvent l’étape que les organisations négligent le plus. La base légale conditionne tout le reste : la voie réglementaire choisie, le contenu de l’AIPD, les modalités d’information des patients et les obligations du responsable de traitement. Une base légale mal définie est la première cause de refus ou de demande de complément par la CNIL.

6.6 Faut-il obligatoirement un DPO pour un projet EDS ?

Oui, la désignation d’un Délégué à la Protection des Données (DPO) est légalement obligatoire pour tous les établissements publics de santé et pour tout organisme traitant des données de santé à grande échelle.

Pour un EDS, le DPO doit être impliqué dès la conception pas au moment de rédiger le dossier CNIL. Si votre organisation n’a pas de DPO en interne, c’est exactement là qu’un DPO externalisé déclaré à la CNIL comme Dipeeo intervient.

6.7 La certification HDS est-elle obligatoire pour héberger les données ?

Oui, sans exception. Les données de santé doivent obligatoirement être hébergées chez un prestataire certifié HDS (Hébergeur de Données de Santé), conformément à l’article L.1111-8 du Code de la santé publique. Vérifiez la validité de la certification HDS de votre prestataire auprès de l’Agence du numérique en santé (ANS), qui délivre et tient à jour la liste des hébergeurs certifiés, avant tout choix d’infrastructure.

À ne pas confondre : EDS ≠ HDS : L’EDS est le dispositif de traitement et de gouvernance des données. La certification HDS concerne l’infrastructure technique qui héberge ces données. Les deux sont obligatoires, mais ils répondent à des exigences différentes.

6.8 Quels comités de gouvernance faut-il mettre en place pour un EDS ?

Le référentiel relatif aux traitements de données de santé imposé par la CNIL prévoit deux instances distinctes :

• Le comité de pilotage : oriente les choix stratégiques et valide les règles d’accès
• Le comité scientifique et éthique : rend un avis préalable sur chaque projet souhaitant réutiliser les données. Il doit comprendre des représentants indépendants, des professionnels de santé et des chercheurs.

Un EDS exige une gouvernance robuste :

• Responsable de traitement clairement désigné ;
• DPO impliqué dès la conception ;
• Comité scientifique et éthique chargé d’évaluer chaque projet de réutilisation des données ;
• Politique d’accès documentée et tracée ;
• Procédure de gestion des droits des patients opérationnelle (information, opposition, accès).

6.9 Quels droits les patients ont-ils sur leurs données dans un EDS ?

Vos patients ont des droits sur leurs données dans l’EDS : droit d’information, droit d’accès, droit de rectification, et droit d’opposition qui doit pouvoir s’exercer facilement, dès le premier contact. La CNIL vérifie la mise en œuvre effective de ces droits, ces droits ne sont pas optionnels.

7. Sécurité, hébergement et conservation : les standards à respecter pour un EDS conforme

7.1 Quelles sont les exigences techniques de sécurité pour un EDS conforme ?

Un EDS conforme ne repose pas uniquement sur un dossier réglementaire bien ficelé. Il repose aussi sur un socle technique exigeant, dont chaque élément découle directement des principes de sécurité imposés par le RGPD et le référentiel CNIL.

• Hébergement certifié HDS, en France ou dans l’Union européenne : une attention particulière doit être portée aux risques d’accès extra-européens : le Cloud Act américain, par exemple, permet aux autorités américaines d’accéder aux données stockées par des entreprises américaines, même hébergées en Europe. Ce risque doit être évalué et documenté dans votre AIPD.
• Pseudonymisation systématique : les données nominatives sont remplacées par des identifiants techniques dès leur entrée dans l’entrepôt. La table de correspondance permettant de retrouver l’identité réelle est gérée séparément, sous contrôle strict, et son accès est limité à un nombre restreint de personnes habilitées.
• Cloisonnement par projet de recherche : chaque équipe accède uniquement aux données dont elle a besoin pour son projet spécifique pas à l’ensemble de l’entrepôt. Ce principe de minimisation des accès est une exigence directe du RGPD.
• Traçabilité complète : tous les accès, exports et modifications sont journalisés et auditables. En cas de contrôle CNIL ou d’incident, vous devez être en mesure de reconstituer précisément qui a accédé à quoi et à quel moment.
• Durée de conservation justifiée : elle est généralement comprise entre 10 et 20 ans selon les usages, mais elle doit être explicitement justifiée dans votre documentation de conformité et faire l’objet d’une revue périodique. Conserver des données plus longtemps que nécessaire est une violation du principe de limitation de la durée de conservation du RGPD.
• Plan de réponse aux incidents : violation de données, demande d’accès judiciaire, attaque par ransomware, tout cela doit être anticipé avant que cela n’arrive. Un plan de réponse aux incidents est obligatoire au titre de la sécurité imposée par le RGPD, et son absence est systématiquement relevée lors des contrôles CNIL.

7.2 Sanction CNIL EDS : l’affaire IQVIA décryptée

📌 Cas réel de sanction CNIL contre IQVIA (2025)
IQVIA est une multinationale américaine spécialisée dans les données et les technologies de santé. Dans le cadre de ses activités en France, la société avait constitué un entrepôt de données de santé alimenté par des données issues de pharmacies partenaires à des fins d’analyse et de valorisation commerciale des données patients. En 2025, la CNIL a prononcé une sanction à son encontre, retenant deux manquements majeurs :

• Premier manquement : obligation d’information des patients déléguée mais non vérifiée. IQVIA avait confié l’information des patients à des pharmacies partenaires. La CNIL a estimé qu’en tant que responsable de traitement, IQVIA aurait dû s’assurer que cette information était effectivement délivrée et pas seulement prévoir l’obligation dans un contrat. Déléguer une obligation ne dispense pas le responsable de traitement de vérifier qu’elle est respectée.
• Deuxième manquement : absence de contrôle effectif des traces d’accès. Un contrôle manuel des journaux d’accès était prévu mais n’était pas réalisé en pratique. La CNIL a également relevé l’absence de SIEM un système capable d’analyser automatiquement les traces d’accès pour détecter des anomalies en temps réel. Ce type d’outil est désormais considéré comme un standard attendu pour tout EDS traitant des données de santé à grande échelle.

Chez Dipeeo, nous vérifions systématiquement que les obligations déléguées à vos partenaires sont non seulement prévues contractuellement, mais effectivement exécutées et traçables.

7.1 Pourquoi la sécurité technique est-elle indissociable de la conformité RGPD d’un EDS ?

Parce que le RGPD ne sépare pas les deux. L’article 32 du RGPD impose au responsable de traitement de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Dans le contexte d’un EDS qui traite des données de santé à grande échelle ce niveau d’exigence est particulièrement élevé.

Un dossier CNIL irréprochable ne suffit pas si l’infrastructure sous-jacente présente des failles. C’est pourquoi Dipeeo intervient à la fois sur la conformité réglementaire et sur l’évaluation des mesures de sécurité, pour que les deux soient alignés.

8. Comment créer un EDS conforme : la méthode en 7 étapes

Étape 1 — Définir les finalités et la base légale

Pour quoi faire, pour qui, sur quelle durée ? Ces réponses déterminent directement votre voie réglementaire, le contenu de votre AIPD et les obligations du responsable de traitement.

En pratique : listez les cas d’usage envisagés, identifiez les catégories de données concernées et vérifiez que chaque usage s’inscrit dans ce que la CNIL autorise. Une finalité mal formulée est la première cause de refus ou de demande de complément.

Étape 2 — Réaliser l’AIPD

L’analyse d’impact est le document socle. Elle documente les risques pour les droits des patients, les mesures techniques et organisationnelles prévues (dont la pseudonymisation), et justifie la proportionnalité du traitement. Elle est obligatoire sans exception et doit être finalisée avant toute collecte.

En pratique : l’AIPD d’un EDS couvre le dispositif dans sa globalité, comptez plusieurs semaines de travail, avec l’implication d’un DPO et des équipes techniques.

Étape 3 — Mettre en place la gouvernance

Constituer le comité de pilotage et le comité scientifique et éthique, rédiger les chartes d’accès, définir les règles de traçabilité et les procédures d’habilitation. Cette gouvernance doit être opérationnelle avant que les premières données soient chargées. 

En pratique : constituer un comité scientifique et éthique indépendant et crédible prend du temps il faut l’anticiper.

Étape 4 — Choisir l’hébergeur certifié HDS

L’infrastructure doit être certifiée HDS par un organisme accrédité. Vérifiez la validité et le périmètre exact de la certification auprès de l’Agence du numérique en santé (ANS) certains prestataires sont certifiés uniquement pour certaines activités d’hébergement. Ne choisissez pas votre infrastructure avant d’avoir défini vos finalités et votre architecture de données. Vérifiez également l’exposition au Cloud Act si votre prestataire est une entreprise américaine ou une filiale d’un groupe américain.

Étape 5 — Accomplir les formalités CNIL

Déclaration de conformité au référentiel relatif aux traitements de données de santé, ou dépôt d’une demande d’autorisation individuelle selon votre situation. Dans les deux cas, le dossier doit être complet avant toute collecte. Une demande d’autorisation individuelle implique un délai de 2 à 4 mois, intégrez-le dans votre planning dès le départ.

Étape 6 — Informer les patients et organiser l’exercice de leurs droits

Mettre en place les dispositifs d’information et les procédures permettant aux patients d’exercer leur droit d’opposition simplement. La CNIL vérifie systématiquement ce point. L’information doit être claire et accessible, faites-la relire par un DPO expérimenté avant diffusion.

Étape 7 — Documenter et maintenir la conformité dans la durée

Un EDS n’a pas de date de fin. La conformité se maintient : registre à jour, AIPD révisée à chaque évolution significative, formalités spécifiques pour chaque nouveau projet de réutilisation des données. Prévoyez une revue annuelle avec votre DPO et des sessions de formation régulières pour vos équipes car les exigences réglementaires dans le domaine de la santé évoluent, et les erreurs de manipulation restent l’une des premières causes de non-conformité.

À retenir : Les organisations qui sautent les étapes 1 à 3 se retrouvent soit bloquées par la CNIL, soit contraintes de supprimer des données déjà collectées avec les conséquences opérationnelles et juridiques que cela implique pour le responsable de traitement.

9. L’EHDS : ce que le règlement européen change pour votre EDS

9.1 Qu’est-ce que l’EHDS et pourquoi est-ce important pour un EDS ? 

Le règlement européen sur l’Espace Européen des Données de Santé EHDS, pour European Health Data Space est entré en vigueur le 26 mars 2025. C’est une évolution majeure pour tous les acteurs qui gèrent des données de santé en France et en Europe.

Pour aller plus loin sur l’EHDS et ses implications pratiques pour votre conformité RGPD, consultez le support complet du webinar Dipeeo

9.2 L’EHDS remplace-t-il le cadre réglementaire existant ?

Non. L’EHDS ne remplace pas les EDS nationaux ni le cadre CNIL existant. Il les fait entrer dans un écosystème européen harmonisé. Son application est progressive :

• Applicabilité générale à partir du 26 mars 2027
• Entrée en application des règles d’utilisation secondaire des données de santé à partir du 26 mars 2029
• Extension à d’autres catégories de données à partir de 2031

9.3 Quelles obligations concrètes l’EHDS crée-t-il pour les responsables d’EDS ?

Pour les détenteurs de données (dont les responsables d’EDS) l’EHDS signifie qu’à terme, une partie de leurs données devra être mise à disposition d’un cadre européen de réutilisation à des fins de recherche, d’innovation et de politique publique.

Concrètement, anticiper dès maintenant l’EHDS c’est :

• S’assurer que votre documentation de conformité RGPD est à jour et structurée elle sera la base de votre conformité EHDS
• Vérifier que vos formats et standards de données sont interopérables avec les exigences européennes
• Intégrer l’EHDS dans votre feuille de route de gouvernance des données dès la conception de votre EDS

L’EHDS ne crée pas d’obligation immédiate pour votre EDS aujourd’hui. Mais les organisations qui construisent leur EDS sans en tenir compte devront vraisemblablement revoir leur architecture et leur documentation dans les prochaines années. C’est un coût évitable si l’anticipation est faite dès maintenant.

10. Comment Dipeeo peut vous accompagner dans votre projet EDS ?

Un projet EDS déclenche simultanément des obligations qui s’articulent entre elles. Chacune des étapes précédemment citées a ses propres exigences, ses propres délais, ses propres risques. Et c’est exactement ce que Dipeeo prend en charge à votre place.

Dipeeo a déjà accompagné des établissements de santé, des cliniques et des porteurs de projets dans le domaine de la santé à toutes les étapes d’un projet EDS de la définition des finalités jusqu’à l’obtention des formalités CNIL à l’utilisation des données dans l’EDS. Nous connaissons les points de blocage, les questions que pose la CNIL, et ce qui permet d’avancer vite sans prendre de risques ni perdre du temps.

En pratique, voici ce que nous faisons pour vous :

• Définition de la base légale et des finalités : nous auditons votre projet et vous aidons à formuler des finalités conformes dès le départ, pour éviter les allers-retours avec la CNIL.
• Réalisation et maintien de l’AIPD : nous rédigeons l’analyse d’impact dans sa globalité, en couvrant tous les cas d’usage envisagés, et nous la mettons à jour à chaque évolution du projet.
• Structuration de la gouvernance : nous vous aidons à constituer les deux comités obligatoires, à rédiger les chartes d’accès et à mettre en place la traçabilité des consultations.
• Pilotage des formalités CNIL : déclaration de conformité au référentiel relatif aux traitements ou demande d’autorisation individuelle selon votre situation : nous préparons le dossier, nous le déposons et nous gérons les échanges avec la CNIL.
• Dispositifs d’information des patients : nous rédigeons les notices d’information et mettons en place les procédures d’exercice des droits.
• Formation et sensibilisation des équipes : nous formons vos collaborateurs (équipes médicales, IT, administratives) aux obligations RGPD et aux bonnes pratiques spécifiques au traitement des données de santé, pour que la conformité ne repose pas uniquement sur le DPO.
• Veille réglementaire continue : les exigences dans le domaine de la santé évoluent. Nous assurons le suivi pour que votre EDS reste conforme dans la durée, sans que vous ayez à surveiller chaque évolution du référentiel.

Autrement dit : Si votre organisation travaille déjà sur sa conformité RGPD avec Dipeeo, vous avez déjà accompli une grande partie du chemin. Nous capitalisons sur ce travail pour avancer plus vite sur votre projet EDS sans repartir de zéro.

FAQ : vos questions sur les EDS 

Conclusion

Un entrepôt de données de santé est une opportunité réelle pour votre organisation dans le domaine de la santé en France, à condition de le construire sur des bases solides. Dans ce cadre, la conformité RGPD n’est pas un obstacle : elle couvre déjà une grande partie des exigences réglementaires d’un EDS, et c’est souvent là que le travail le plus structurant a déjà été fait.

Chez Dipeeo, nous prenons en charge l’ensemble de votre conformité, du diagnostic initial jusqu’au suivi continu, pour que vous puissiez vous concentrer sur votre cœur de métier.

Prendre rendez-vous avec un expert Dipeeo → Si votre organisation envisage un projet EDS, contactez-nous : nous vous dirons rapidement où vous en êtes et ce qu’il reste à faire.