Le 24 avril 2024, le Parlement européen a adopté le règlement sur l’espace européen des données de santé[1] (european health data space en anglais, ci-après l’« EHDS » ou le « Règlement »). Le Règlement devrait être formellement adopté et publié par le Conseil européen à l’automne 2024. Faisant état d’une nécessité impérieuse de protéger davantage et valoriser les données de santé, le Règlement entend garantir la sécurité et la libre circulation des données de santé au sein de l’Union européenne.
Dans le cadre de la Stratégie européenne des données, la Commission européenne a présenté le 3 mai 2022 son projet de règlement pour établir l’Espace européen des données de santé (EHDS). Ce Règlement s’inscrit au cœur d’une stratégie ambitieuse : construire un espace européen commun aux données de santé tout en cherchant à protéger les personnes physiques. L’établissement de ce marché unique permettrait de libérer le plein potentiel des données de santé en favorisant leur partage entre les États membres et ce, dans un objectif d’intérêt général.
Dans cette perspective, l’EHDS poursuit trois finalités principales :
- Tout d’abord, le Règlement entend fluidifier l’utilisation dite « primaire » des données de santé des citoyens européens[2] :
L’objectif est de renforcer les droits des personnes physiques afin d’améliorer l’accès des personnes physiques à leurs données de santé électroniques et leur contrôle sur ces données dans le contexte des soins de santé. Ainsi, dans la lignée du Règlement général sur la protection des données (ci-après « RGPD »), l’EHDS ouvre la possibilité pour chaque citoyen européen d’accéder gratuitement et immédiatement à ses données de santé, de recevoir une copie de celles-ci dans un format européen[3], d’ajouter des données de santé à son propre dossier médical ou encore d’accorder des accès au(x) destinataire(s) de son choix.
Dans le même temps, l’idée est de permettre aux professionnels de santé d’accéder à l’intégralité des dossiers médicaux de leurs patients, et ce, peu importe leur État membre d’origine. Les intérêts sont évidents : favoriser une meilleure prise en charge du patient, promouvoir la télémédecine et baisser les coûts de création des dossiers médicaux. Pour ce faire, le Règlement met en place une plateforme transfrontalière centralisée (MaSanté@UE) qui permettra d’assurer la continuité des soins et à laquelle tous les États membres auront l’obligation d’adhérer.
- Le Règlement aspire également à mieux encadrer les systèmes de dossier médicaux électroniques utilisés dans les différents États membres[4] :
D’après la définition donnée par le Règlement, le système de Dossier Médical Electronique (ci-après, les « Systèmes de DME ») s’entend comme « tout appareil ou logiciel destiné par son fabricant à être utilisé pour le stockage, l’intermédiation, l’importation, l’exportation, la conversion, l’édition ou la consultation des dossiers médicaux électroniques »[5]. Exemples : logiciel de dossier patient informatisé, logiciel de gestion de laboratoire, données collectées par un dispositif médical,…
Or, selon la Commission européenne, un « vide réglementaire »[6] aurait été décelé à propos de ces Systèmes de DME, justifiant de mieux les encadrer à l’échelle de l’Union européenne.
En ce sens, l’EHDS s’attèle à mettre en œuvre un système d’auto-certification obligatoire pour les Systèmes de DME afin d’en assurer la conformité, l’accessibilité et la sécurité :
- En termes de conformité et d’accessibilité, les fabricants de Systèmes de DME seront tenus de respecter des obligations communes, parmi lesquelles les obligations suivantes : établir une documentation technique de leurs systèmes aux autorités[7], rédiger une déclaration de conformité visant à attester du respect des exigences de l’EHDS[8] ou encore fournir une fiche d’information dans un format gratuit et compréhensible aux utilisateurs[9].
- En termes de sécurité, les États-membres auront l’obligation de désigner des autorités de contrôle chargées de surveiller le marché des Systèmes de DME[10]. Dès lors, chaque fois que l’autorité désignée constatera l’existence d’un risque provenant du Système de DME pour la santé ou la sécurité des personnes physiques, elle pourra demander au fabricant, ainsi qu’à tout opérateur économique concerné de faire cesser ce risque par des mesures correctives. Les fabricants de Systèmes de DME seront également tenus de signaler tout incident grave aux autorités.
- Enfin, le Règlement souhaite promouvoir l’utilisation dite « secondaire » des données de santé des citoyens européens[11] (ci-après l’« Utilisation secondaire »).
Encadrer l’Utilisation secondaire des données de santé s’est rapidement imposé comme une nécessité aux yeux de la Commission européenne pour favoriser la recherche et l’innovation en santé et dynamiser le marché intérieur.
L’EHDS bâtit ainsi un cadre juridique pour la réutilisation des données à des fins d’Utilisation secondaire.
En substance le Règlement :
- Impose au détenteur[12] de mettre à disposition certaines catégories de données de santé à des fins d’Utilisation secondaire[13] au sein d’une nouvelle infrastructure à créer « HealthData@EU » ;
- Commande aux États membres de désigner un ou plusieurs organismes responsables de l’accès[14]chargés d’accorder l’accès aux données de santé à des fins d’Utilisation secondaire[15].
- Permet à l’utilisateur[16] (entreprises, universités, chercheurs, etc.) de faire une demande d’accès aux données de santé auprès de l’organisme responsable de l’accès aux fins d’une Utilisation secondaire[17].
Le Règlement prévoit la possibilité pour les détenteurs et les organismes d’accès de percevoir des redevances pour la mise à disposition des données de santé à des fins d’Utilisation secondaire[18](ces redevances engloberont les coûts liés à la conduite de la procédure de la demande d’accès). Les redevances facturées aux utilisateurs de données devront être transparentes, proportionnées au coût de la collecte des données de santé et de leur mise à disposition en vue de leur utilisation secondaire, objectivement justifiées et non porteuses de restrictions de la concurrence.
Tout en s’efforçant d’assurer la disponibilité des données de santé au titre de l’Utilisation secondaire, la Commission européenne affirme son souhait de garantir que les droits fondamentaux en matière de protection des données soient protégés. En effet, les données personnelles de santé sont qualifiées de données sensibles au sens du RGPD et le risque de porter atteinte aux droits fondamentaux des personnes – notamment à la vie privée – est élevé.
À ce titre, l’EHDS a prévu un certain nombre de garanties pour encadrer l’accès aux données de santé à des fins d’Utilisation secondaire afin d’assurer en particulier la sécurité des personnes physiques.
- Premièrement, l’Utilisation secondaire des données de santé est autorisée uniquement à des fins spécifiques qui profitent aux individus et à la société. Ces finalités sont d’ailleurs listées dans le Règlement et comprennent notamment les finalités de recherche scientifique, d’éducation et d’enseignement dans le secteur de la santé[19].
- Deuxièmement, le Règlement fixe une liste de traitement et finalités expressément interdites en matière d’Utilisation secondaire[20]. Ainsi, l’usage détourné des données de santé par les compagnies d’assurance est à cet égard par exemple prohibé. Il en va de même pour la réutilisation des données de santé à des fins de publicité ou de marketing auprès des professionnels de santé.
- Troisièmement, et comme nous l’avons étudié dans notre précédent article[21], l’organisme responsable de l’accès aux données ne donnera accès qu’aux données pertinentes au regard des finalités du traitement et uniquement dans un format de données anonymisées ou à tout le moins pseudonymisées et ce afin d’éviter tout risque de réidentification des personnes[22].
En synthèse, l’EHDS tente d’établir un délicat équilibre entre deux enjeux apparemment contradictoires : la protection des données de santé des personnes physiques et la nécessité de favoriser l’émergence d’un marché unique de leurs données. La réussite du projet dépendra du degré de confiance qu’accorderont les citoyens européens à cette nouvelle infrastructure transfrontalière mais surtout de l’implication de l’ensemble des acteurs du domaine de la santé, détenteurs des données de santé…
[1] Règlement du Parlement européen et du conseil relatif à l’espace européen des données de santé
[2] CHAPITRE II du Règlement : utilisation primaire des données de santé électroniques
[3] Au sens du Règlement, on entend par « format européen d’échange des dossiers médicaux électroniques », un format structuré, couramment utilisé et lisible par machine qui permet la transmission de données de santé électroniques à caractère personnel entre différents dispositifs, applications logicielles et prestataires de soins de santé (article 2.2 g) du Règlement EHDS).
[4] CHAPITRE III du Règlement : Systèmes de DME et applications de bien-être
[5] Article 2 du Règlement EHDS.
[6] Page 5 de l’exposé des motifs du Règlement EHDS
[7] Article 24 du Règlement EHDS.
[8] Article 26 du Règlement EHDS.
[9] Article 25 du Règlement EHDS.
[10] Article 29 du Règlement EHDS.
[11] CHAPITRE IV du Règlement : Utilisation secondaire des données de santé électroniques
[12] Au sens du Règlement, on entend par « détenteur de données », toute personne physique ou morale qui est une entité ou un organisme du secteur de la santé ou des soins ou qui effectue des recherches dans ces secteurs, ainsi que les institutions, organes et organismes de l’Union qui ont le droit ou l’obligation, conformément au présent règlement, au droit de l’Union applicable ou à la législation nationale le mettant en œuvre, ou, dans le cas de données à caractère non personnel, par le contrôle de la FR 58 FR conception technique d’un produit et de services liés, la capacité de mettre à disposition certaines données, y compris de les enregistrer, de les fournir, d’en restreindre l’accès ou de les échanger » (Article 2.2 y) du Règlement EHDS).
[13] Article 33 du Règlement EHDS.
[14] Au sens du Règlement, on entend par « Organisme responsables de l’accès aux données de santé », un organisme désigné par l’Etat membre pour être chargé d’accorder l’accès aux données de santé à des fins d’Utilisation secondaire (cf. art. 36 à 44 de la Proposition). En France, le Health DataHub pourrait jouer ce rôle. Voir en ce sens : https://www.health-data-hub.fr/actualites/le-consortium-francais-constitue-par-le-health-data-hub-percevra-un-financement-europeen
[15] Article 36 du Règlement EHDS.
[16] Au sens du Règlement, on entend par « utilisateur », une personne physique ou morale qui dispose d’un accès licite aux données de santé électroniques à caractère personnel ou non personnel à des fins d’utilisation secondaire » (Article 2.2 z) du Règlement EHDS).
[17] Article 45 du Règlement EHDS.
[18] Article 42 du Règlement EHDS.
[19] Article 34 du Règlement EHDS.
[20] Article 35 du Règlement EHDS.
[21] Proposition de règlement relatif à l’Espace Européen des Données de Santé (« EHDS ») : Focus sur l’anonymisation des données dans le cadre de l’utilisation secondaire – Clairmont Novus (clairmont-novus.law)
[22] Article 44 du Règlement EHDS.