Le 3 mai 2022, la Commission européenne a présenté une proposition de règlement européen (ci-après la « Proposition ») visant à construire un espace européen des données de santé (ci-après « EDHS »)[1]. Ce texte – qui n’a pas encore été adopté – a vocation à harmoniser à l’échelle européenne tous les aspects de la collecte, du traitement et de l’utilisation des données de santé dans le double objectif :
- D’une part, améliorer l’accès des personnes physiques à leurs données de santé électroniques à caractère personnel et leur contrôle sur ces données dans le contexte des soins de santé ( ci-après « Utilisation primaire ») ;
- D’autre part, favoriser l’utilisation des données de santé pour d’autres finalités d’intérêt général telles que les finalités de recherche scientifique, d’innovation, d’élaboration des politiques et de réglementation, de production de statistiques officielles, etc. (ci-après « Utilisation secondaire »).
En ce qui concerne spécifiquement l’utilisation secondaire, l’objectif est clair : permettre à un « utilisateur [2]» (entreprises, universités, chercheurs, etc.) de demander l’accès à des données de santé à l’organisme responsable de l’accès aux données désigné par chaque Etat membre[3] en vue de poursuivre l’une des finalités spécifiques visées par la Proposition[4]. Après examen de la demande d’accès, l’organisme responsable de l’accès aux données pourra délivrer une autorisation aux termes de laquelle le détenteur des données[5] devra mettre à disposition lesdites données (sous réserve de la mise en place d’un mécanisme de compensation, le cas échéant). Tout en s’efforçant d’augmenter la disponibilité des données au titre de l’Utilisation secondaire, les organismes d’accès aux données devront garantir la confidentialité de ces dernières[6].
C’est la raison pour laquelle la Proposition prévoit des règles et mécanismes pour encadrer l’Utilisation secondaire. En particulier, l’article 44 de la Proposition prévoit que l’organisme responsable de l’accès aux données ne donnera accès qu’aux données pertinentes au regard des finalités du traitement et uniquement dans un format anonymisé afin d’éviter toute possibilité de réidentification des personnes.
Cela étant, la Proposition prévoit également que lorsque la finalité du traitement de l’utilisateur ne peut être atteinte à l’aide de données anonymisées, les organismes responsables des données peuvent donner accès aux données dans un format pseudonymisé[7].
Cette nuance est importante puisque les notions d’anonymisation et de pseudonymisation ne revêtent pas les mêmes réalités. En effet, pour rappel, l’anonymisation est un processus irréversible empêchant la réidentification des individus. Et, pour être conforme, toute solution d’anonymisation doit notamment respecter une grille d’évaluation reposant sur trois critères cumulatifs : la non-individualisation, la non-corrélation et la non-inférence[8].Contrairement à l’anonymisation, l’opération de pseudonymisation est réversible et consiste à « remplacer des données directement identifiantes par des données indirectement identifiantes » mais il reste possible de retrouver l’identité des personnes concernées notamment en croisant des données tierces (âge, adresse, sexe de la personne, etc.)[9].
Compte tenu des risques sur le plan de la vie privée des personnes, la Proposition a entendu encadrer plus strictement l’hypothèse de l’accès aux données dans un format pseudonymisé, à savoir :
- L’accès aux données pseudonymisées constitue une exception et à cet égard il incombe à l’utilisateur de justifier en quoi des données anonymisées ne permettraient pas de satisfaire son traitement et sa finalité [10];
- la clé de cryptage des données et les informations nécessaires pour annuler la pseudonymisation ne sont accessibles qu’à l’organisme responsable de l’accès aux données de santé et non aux utilisateurs. Il est d’ailleurs précisé que le non-respect par l’utilisateur des mesures de pseudonymisation l’expose à des sanctions[11].
Pour autant, force est de constater qu’en pratique et dans des cas particuliers, certaines données de santé électroniques demeureraient sensibles et ce, malgré leur anonymisation. En effet, en dépit des techniques d’anonymisation de pointe, le texte souligne qu’il peut subsister un risque résiduel de réidentification de certaines données sensibles. Ainsi que le souligne la Proposition, ce risque résiduel est particulièrement présent en ce qui concerne les maladies rares pour lesquelles le nombre limité de cas réduit la possibilité d’agréger intégralement les données[12] , impliquant la mise en place de mesures de protection complémentaires et proportionnées.
Enfin, la Proposition indique que l’anonymisation ou la pseudonymisation ne seraient pas de nature à priver l’utilisateur des données de la possibilité de fournir des informations relatives à ces dernières à l’organisme d’accès[13]. À ce titre, si l’utilisateur est amené à découvrir que les données qu’il traite présentent un avantage ou peuvent avoir une incidence sur la santé des personnes (notamment l’accès à de nouveaux protocoles de soins), il pourrait avoir la possibilité d’en informer l’organisme d’accès, qui à son tour pourra informer la ou les personnes physiques concernées.
La Proposition est actuellement débattue au sein du Parlement européen et la question de l’Utilisation secondaire des données suscite encore de nombreuses discussions .
En l’état, il est difficile de prévoir une date d’adoption du texte. Notons néanmoins que la Proposition fait partie des priorités législatives communes annoncées par les instances européennes pour 2023 et 2024 et qu’une session plénière du Parlement est prévue le 11 décembre 2023. L’espace européen des données de santé n’a donc pas fini de faire parler de lui et nous ne manquerons pas de revenir vers vous à ce sujet
[1] Proposition de règlement relatif à l’espace européen des données de santé
[2] On entend par «utilisateur de données», une personne physique ou morale qui dispose d’un accès licite aux données de santé électroniques à caractère personnel ou non personnel à des fins d’utilisation secondaire (Proposition, article 2 z)).
[3] Au sens de la Proposition, on entend par « Organisme responsables de l’accès aux données de santé », un organisme désigné par l’Etat membre pour être chargé d’accorder l’accès aux données de santé à des fins d’Utilisation secondaire (cf. art. 36 à 44 de la Proposition). En France, le Health DataHub pourrait jouer ce rôle. Voir en ce sens : https://www.health-data-hub.fr/actualites/le-consortium-francais-constitue-par-le-health-data-hub-percevra-un-financement-europeen
[4] Proposition, art. 34.
[5] On entend par « détenteur de données», toute personne physique ou morale qui est une entité ou un organisme du secteur de la santé ou des soins ou qui effectue des recherches dans ces secteurs, ainsi que les institutions, organes et organismes de l’Union qui ont le droit ou l’obligation, conformément au présent règlement, au droit de l’Union applicable ou à la législation nationale le mettant en œuvre, ou, dans le cas de données à caractère non personnel, par le contrôle de la conception technique d’un produit et de services liés, la capacité de mettre à disposition certaines données, y compris de les enregistrer, de les fournir, d’en restreindre l’accès ou de les échanger;
[6] Considérant 43 de la Proposition.
[7] Article 44 – Minimisation des données et limitation des finalités.
[8] Avis n°05/2014 du G29 sur les Techniques d’anonymisation.
[9] Voir note CNIL « L’anonymisation des données personnelles » du 19 mai 2020
[10] Proposition, Considérant 50.
[11] Proposition, art. 43.
[12] Considérant 64
[13] Considérant 49