Un référentiel sur les entrepôts de données de santé vient d'être publié par la CNIL. Ce référentiel n'est pas une norme obligatoire : il est possible de créer des entrepôts de données de santé ne respectant pas ce référentiel. Cependant, la constitution d'un tel entrepôt de données de santé suppose une autorisation préalable tandis qu'un entrepôt strictement conforme au référentiel peut être mis en oeuvre avec une simple déclaration de conformité, ce qui allège considérablement le formalisme réglementaire.

Le périmètre de ce référentiel est restreint. Tout ce qui relève des dossiers patients est ainsi expressément exclu. Les entrepôts encadrés par le référentiel sont mis en oeuvre afin de permettre la réutilisation des données qu'ils contiennent, autrement il s'agit de hubs de données de santé. Des traitements peuvent également être réalisés directement sur les datas si elles relèvent de la recherche (études, évaluations, construction d'aides au diagnostic médical...), du pilotage, de l'optimisation de la codification des actes, etc. Des exigences précises concernent les personnes accédant aux données, avec l'obligation au minimum d'une supervision par un médecin directeur de l'information médicale. Le référentiel comprend une liste exhaustive des finalités possibles ainsi que des données pouvant être traitées.

Un chapitre entier (le 10) du référentiel est consacré aux précautions à prendre en matière de sécurité des données. Le référentiel insiste ainsi lourdement sur l'isolement de l'entrepôt de données, la pseudonymisation des enregistrements et le chiffrement des datas avec une pluralité de clés, parfois même des clés spécifiques à certaines catégories de données (comme des données génétiques par exemple). Les modalités de traitement, d'extraction et d'accès sont précisément détaillées. Toutes les actions menées sur cet entrepôt doivent être journalisées.