Après vous avoir présenté les contours généraux[1] du Règlement relatif à l’espace européen des données de santé[2] (ci-après, le « Règlement ») et notamment les questions d’anonymisation et de pseudonymisation des données de santé[3], nous évoquons au sein de cet article la question de l’utilisation primaire des données de santé telle que prévue par ce Règlement. En effet, adopté le 24 avril 2024 par le Parlement européen, le Règlement poursuit un objectif ambitieux en matière d’utilisation primaire des données de santé électroniques : améliorer l’accès des personnes physiques à leurs données de santé électroniques de manière uniforme au sein de l’Union Européenne et leur contrôle sur ces données dans le contexte des soins de santé[4].
Pour rappel, l’utilisation primaire des données de santé électroniques est définie à l’article 2 du Règlement comme : « le traitement de données de santé électroniques à caractère personnel pour la fourniture de services de santé visant à évaluer, maintenir ou rétablir l’état de santé de la personne physique à laquelle ces données se rapportent, y compris la prescription, la dispensation et la fourniture de médicaments et de dispositifs médicaux, ainsi que pour les services de sécurité sociale, administratifs ou de remboursement pertinents ».
- Faisant état d’une fragmentation des règles entre les États membres de l’Union européenne[5], le Règlement entend consolider les droits des personnes physiques quant à l’utilisation primaire de leurs données de santé électroniques.
En substance, le chapitre II du Règlement octroie un ensemble de droits aux personnes physiques, leur permettant de garder le contrôle sur leurs données de santé :
- Premièrement, chaque personne physique se verra octroyer un droit d’accès immédiat et gratuit à ses données de santé électroniques et pourra recevoir une copie électronique de ces dernières[6].
Néanmoins, ne seront concernées que les données de santé utilisées à titre primaire relevant d’une catégorie dite prioritaire telle que les dossiers des patients, les résultats et les comptes rendus de laboratoire, les rapports de sortie de l’hôpital, l’imagerie médicale et les rapports y afférents. Cette liste pourra être modifiée par la Commission européenne[7].
À noter que les États membres pourront limiter/retarder ce droit d’accès pendant une période limitée dès lors que cela sera nécessaire à la protection et à la sécurité de la personne physique[8]. Tel pourrait être le cas du patient atteint d’une maladie incurable qu’il conviendra d’informer lors d’une consultation uniquement[9].
- Deuxièmement, les personnes physiques pourront, grâce aux services de procuration gratuits et interopérables mis en place par les Etats-membres, autoriser d’autres personnes physiques (tuteurs ou autres représentants) à accéder à leurs données de santé électroniques[10].
- Troisièmement, les personnes physiques auront la possibilité d’ajouter des données de santé au sein de leur dossier médical électronique[11] mais aussi de les rectifier[12]. Toutefois, étant donné que les informations introduites par les personnes physiques ne sont pas toujours aussi fiables que celles introduites et vérifiées par des professionnels de santé, elles devront être identifiées/signalées comme telles avec la mention « ajoutées par la personne physique ou son représentant ».
- Quatrièmement, les personnes physiques auront la faculté de donner l’accès à leurs données de santé électroniques au destinataire du secteur médico-social de leur choix[13]. Elles pourront également limiter l’accès aux professionnels de santé de tout ou partie de leurs données de santé[14]. Dans ce cas, et sauf autorisation préalable de la personne physique, les professionnels de santé ne seront pas informés du contenu des données de santé dont l’accès est limité. Ils pourront néanmoins être informés de l’existence et de la nature desdites données[15].
Cependant, le Règlement indique que l’accès aux données de santé devra tout de même être rendu possible dans les cas où les intérêts vitaux de la personne physique le commandent.
Afin d’assurer l’effectivité de ces différents droits à l’échelle de l’Union européenne, le Règlement se doit d’assurer l’interopérabilité et la sécurité des données de santé dans le cadre de leur utilisation primaire.
2. À ce titre, le Règlement intègre trois mesures phares :
- la mise en place et généralisation de l’utilisation d’un format européen d’échange des dossiers médicaux électroniques[16]. Ce format commun, interopérable et lisible « par machine » a pour ambition d’aider les personnes physiques à accéder plus rapidement à leurs données de santé mais également à faciliter les soins de santé transfrontaliers dans l’Union européenne. Sur ce point, le Règlement poursuit l’objectif lancé par le programme politique « La voie à suivre pour la décennie numérique », à savoir faire en sorte que 100 % des citoyens de l’Union européenne aient accès à leur dossier médical électronique d’ici 2030[17] ;
- la désignation par chaque Etat membre d’une autorité de santé numérique[18]. Cette autorité sera chargée de mettre en œuvre les différentes dispositions du Règlement et notamment d’assurer, à l’échelon national, la mise en œuvre du format européen d’échange des dossiers médicaux électroniques[19]. Elle pourra également accueillir les réclamations individuelles ou collectives des personnes physiques ou morales et sera tenue d’y répondre dans les meilleurs délais[20] ;
- la création d’une infrastructure transfrontière pour l’utilisation primaire des données de santé (MaSanté@EU ou MyHealth@EU)[21]. Si cette plateforme était jusqu’alors établie sur la base du volontariat par les États-membres, leur participation y devient obligatoire à partir de 2025 et constitue une étape cruciale pour la continuité des soins. En effet, ce canal sécurisé permettra aux services nationaux de santé en ligne de se connecter et d’échanger des données sur la santé des patients de manière rapide, sûre et efficace. Dès lors, les citoyens européens pourront bénéficier de soins de santé de qualité qu’ils se situent dans leur pays de résidence ou dans un autre État membre.
On le comprend, le projet porté par le Règlement met un point d’honneur à garantir les droits et la sécurité des personnes physiques s’agissant de l’utilisation primaire de leurs données de santé. Le Règlement s’inscrit en ce sens dans le prolongement du Règlement général sur la protection des données[22] et devrait constituer une étape supplémentaire vers la création d’un marché unique des produits et services de santé numérique.
[1] L’ESPACE EUROPÉEN DES DONNÉES DE SANTÉ EST ADOPTÉ ! – Clairmont Novus (clairmont-novus.law)
[2] Règlement du Parlement européen et du Conseil du 03 mai 2022 relatif à l’espace européen des données de santé.
[3] Proposition de règlement relatif à l’Espace Européen des Données de Santé (« EHDS ») : Focus sur l’anonymisation des données dans le cadre de l’utilisation secondaire – Clairmont Novus (clairmont-novus.law)
[4] Considérant 1 (page 26) du Règlement.
[5] Considérant 7 (page 28) du Règlement.
[6] Article 3. 1) et 2) du Règlement.
[7] Article 5. 2) du Règlement.
[8] Article 3. 3) du Règlement.
[9] Considérant 9 (page 29) du Règlement.
[10] Article 3. 5) du Règlement.
[11] Article 3. 6) du Règlement.
[12] Article 3. 7) du Règlement.
[13] Article 3. 8) du Règlement.
[14] Article 3. 9) du Règlement.
[15] Article 4. 4) du Règlement.
[16] Article 6 du Règlement.
[17] Considérant 19 (page 33) du Règlement.
[18] Article 10. 1) du Règlement.
[19] Article 10. 2) g) du Règlement.
[20] Article 11 du Règlement.
[21] Article 12 du Règlement.
[22] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.