Le Datatilsynet du Danemark est devenu un leader européen dans l'application des données de santé. En 2024, l'autorité a émis 31 décisions GDPR — dont 14 (45 %) impliquant directement des systèmes de données de santé. Pour un pays de 5,9 millions d'habitants, cette densité d'application reflète l'infrastructure avancée de santé numérique du Danemark et des attentes de conformité technique exigeantes.
Infrastructure des données de santé au Danemark
Le Danemark opère l'un des systèmes nationaux de données de santé les plus complets au monde. Chaque citoyen danois a un numéro CPR lié aux dossiers de santé électroniques, au registre national des prescriptions, au registre national des patients (suivant tous les contacts hospitaliers depuis 1977), et aux échantillons de biobanque à l'Institut Statens Serum.
Cette infrastructure intégrée rend les données de santé danoises parmi les plus précieuses pour la recherche — et les plus sensibles pour la vie privée. L'accent mis par le Datatilsynet sur l'application des données de santé reflète cette tension.
Numéro CPR : Le défi technique
Le numéro CPR (Det Centrale Personregister-nummer) est un numéro d'enregistrement civil à 10 chiffres au format DDMMYY-XXXX. Le dernier chiffre est un chiffre de contrôle validé à l'aide de l'arithmétique modulus-11.
Le numéro CPR est la base de toute l'administration publique danoise : santé, fiscalité, prestations sociales, vote, banque. Chaque document de santé l'inclut.
Le Datatilsynet exige une validation d'anonymisation documentée pour l'utilisation secondaire des données de santé. Le problème technique : 67 % des outils NLP génériques n'implémentent pas la validation par modulus-11 du numéro CPR. Sans validation de la somme de contrôle :
Faux positifs : Les chaînes ressemblant à des dates, les numéros de facture et les codes de référence sont signalés comme des numéros CPR, nécessitant une révision manuelle coûteuse.
Faux négatifs : Les numéros CPR avec des chiffres transposés qui échouent à la validation de la somme de contrôle sont manqués — laissant de véritables identifiants de patients dans des données qui semblent propres.
Exigences pour l'utilisation secondaire des données de santé
Les données du registre de santé danois soutiennent la recherche médicale de classe mondiale. Les directives du Datatilsynet de 2024 sur l'utilisation secondaire établissent des exigences techniques spécifiques :
Procédures d'anonymisation documentées : Les organisations doivent maintenir une documentation technique écrite décrivant exactement comment la dé-identification est effectuée — pas seulement le résultat, mais les processus, outils et étapes de validation spécifiques.
Validation de l'exhaustivité : La documentation doit inclure des preuves que l'anonymisation a été vérifiée. Cela inclut des résultats de tests démontrant la couverture de détection pour les numéros CPR et d'autres identifiants de santé danois.
Principe de minimisation des données nécessaires : Les ensembles de données de recherche contenant plus de données personnelles que ce que nécessite la question de recherche violent la proportionnalité du GDPR, même lorsqu'ils sont pseudonymisés. Les organisations doivent démontrer que la portée des données correspond à l'objectif de recherche documenté.
DPIA pour les systèmes d'IA : Tout système d'IA traitant des données de santé danoises nécessite une DPIA complétée en utilisant le cadre modèle du Datatilsynet.
Technologie de santé de Copenhague : Exigences de conformité spécifiques
Le secteur de la technologie de santé de Copenhague (Leo Pharma, Bavarian Nordic, et de nombreuses startups de santé numérique) fait face à un examen de l'application dans trois domaines :
Outils d'IA clinique : Les outils de diagnostic IA doivent démontrer la conformité à l'article 22 du GDPR et une anonymisation documentée pour les ensembles de données d'entraînement. Le Datatilsynet a trouvé plusieurs entreprises en 2024 utilisant des ensembles de données d'entraînement contenant des numéros CPR de patients identifiables sans base légale adéquate.
Transferts transfrontaliers : Plusieurs entreprises danoises de technologie de santé ont contracté des fournisseurs de cloud américains pour l'entraînement de modèles d'IA. Le Datatilsynet exige des évaluations d'impact de transfert et a trouvé que les SCC à eux seuls étaient insuffisants pour les données de santé sans mesures techniques complémentaires (chiffrement avec gestion des clés européenne).
Exigences de piste de vérification : Pour le traitement des données de santé, les journaux d'accès doivent permettre la reconstruction des dossiers de patients qui ont été consultés, par qui, et pour quel but documenté — conservés pendant au moins 5 ans.
56 % des violations de données de santé danoises en 2024 impliquaient une dé-identification inadéquate. Les organisations utilisant la détection validée par CPR avec un support linguistique danois éliminent le mode de défaillance technique le plus courant dans l'application du GDPR dans le secteur de la santé danois.
Sources :