European Data Protection Supervisor, Preliminary Opinion 08/​2020 on the European Health Data Space

Dans sa commu­ni­ca­tion du 19 février 2020 établis­sant une stra­té­gie euro­péenne pour les données, la Commission euro­péenne avait annoncé qu’elle entre­pren­drait la construc­tion d’un espace euro­péen des données rela­tives à la santé (p. 27 et 35–36). La créa­tion de cet espace doit renfor­cer et étendre l’utilisation et la réuti­li­sa­tion des données de santé pour, notam­ment, permettre aux auto­ri­tés de prendre des déci­sions fondées sur des données probantes, amélio­rer l’accessibilité et l’efficacité des systèmes de soins (p. ex. : réduc­tion des coûts), maxi­mi­ser les capa­ci­tés de recherche ou encore contri­buer à renfor­cer la compé­ti­ti­vité de l’industrie de l’Union euro­péenne. Parmi les mesures annon­cées figu­raient l’établissement d’un cadre légis­la­tif secto­riel des données de santé ou le déploie­ment d’infrastructures et de ressources devant, à terme, faci­li­ter l’échange de données de santé (p. ex.: dossiers médi­caux élec­tro­niques ou données géno­miques) au sein de l’Union euro­péenne et dans le respect du RGPD.

Le 17 novembre 2020, le CEPD a rendu une opinion préli­mi­naire sur la mise en œuvre d’un Espace euro­péen commun des données rela­tives à la santé (EHDS). À titre limi­naire, le CEPD recon­naît l’importance que revêt la mise en œuvre de l’EHDS et des échanges de données au sein de l’Union euro­péenne pour la promo­tion de la santé publique et la recherche médi­cale. Il rappelle toute­fois l’impérieuse néces­sité d’intégrer dès le départ de sérieux garde-fous en matière de protec­tion des données.

Les trai­te­ments de données amenés à être effec­tués dans le contexte de l’EHDS devront repo­ser sur une base légale robuste. Ainsi, les trai­te­ments devront au moins être fondés sur l’une des bases légales exhaus­ti­ve­ment énon­cées à l’art. 6 par. 1 RGPD. Comme les données seront amenées à être utili­sées pour les déci­sions de poli­tique sani­taire repo­sant sur des données probantes, le consen­te­ment (art. 6 par. 1 let. a RGPD) ne consti­tue proba­ble­ment pas la base légale la plus appro­priée. L’art. 6 par. 1 let. e RGPD, selon lequel un trai­te­ment est licite si « le trai­te­ment est néces­saire à l’exé­cu­tion d’une mission d’in­té­rêt public ou rele­vant de l’exer­cice de l’au­to­rité publique dont est investi le respon­sable du trai­te­ment », est certai­ne­ment plus à même de justi­fier ce traitement.

En raison du carac­tère « parti­cu­lier » ou sensible des données de santé qui seront trai­tées dans le cadre de l’EHDS, leur trai­te­ment ne sera de surcroît auto­risé que si l’une des condi­tions posées par l’art. 9 par. 2 RGPD est remplie. Les trai­te­ments de données effec­tués en vue de la prise de déci­sions par les auto­ri­tés en matière sani­taire pour­raient possi­ble­ment repo­ser sur l’art. 9 par. 2 let. i RGPD (inté­rêt public). L’art. 9 par. 2 let. j RGPD (recherche scien­ti­fique) pour­rait, quant à lui, consti­tuer une base légale pour le trai­te­ment des données dans le cadre de la recherche.

En vertu du prin­cipe de fina­lité (art. 5 par. 1 let. b RGPD), la mise en œuvre de l’EHDS impli­quera de déter­mi­ner clai­re­ment (crys­tal-clear) à l’avance les limites de ce qui consti­tue un trai­te­ment licite des données. La légis­la­tion qui sera adop­tée devra au surplus déter­mi­ner les condi­tions spéci­fiques auxquelles les données pour­ront faire l’objet d’utilisations secon­daires et assu­rer que ces données ne seront pas utili­sées pour des buts qui ne sont pas initia­le­ment prévi­sibles. Le CEPD souligne la néces­sité d’adopter une légis­la­tion qui offre aux personnes concer­nées un impor­tant contrôle sur leurs données, ainsi qu’une grande trans­pa­rence. Ce dernier point implique d’identifier les acteurs amenés à trai­ter des données et leur statut (control­ler, proces­sor ou joint-control­ler).

Pour le CEPD le seul fait qu’un trai­te­ment soit licite, notam­ment parce que les données auraient été vala­ble­ment anony­mi­sées, ne résout pas à lui seul toutes les ques­tions éthiques qui pour­raient se poser. Il faudra par exemple tenir compte des objec­tions émises par les personnes qui ne souhaitent pas que leurs données soient utili­sées pour certaines acti­vi­tés privées (secteurs des assu­rances ou des phar­mas). La légis­la­tion future devrait égale­ment inté­grer l’existence et le rôle des commis­sions d’éthique natio­nales existantes.

En vertu des prin­cipes de propor­tion­na­lité et de néces­sité, le CDEP estime que les données qui inté­gre­ront l’EHDS devraient en géné­ral être four­nies par les États membres sous forme anony­mi­sée et agré­gée. Si cela n’est pas possible, les données devront au moins être pseudonymisées.

Au-delà du cadre pure­ment légis­la­tif, l’EHDS devra repo­ser sur des méca­nismes solides de gouver­nance qui garan­ti­ront que les trai­te­ments de données sont effec­tués de manière licite, respon­sable et éthique. Cela impli­quera de déter­mi­ner avec préci­sion le rôle de tous les acteurs impli­qués, qu’il s’agisse des enti­tés qui collectent et mettent à dispo­si­tion les données, des utili­sa­teurs de l’EHDS (p. ex.: cher­cheurs) ou des auto­ri­tés qui feront office de points de contact nationaux.

De manière inté­res­sante, le CDEP explique que s’il ne soutient pas la créa­tion de fron­tières géogra­phiques arti­fi­cielles, il émet cepen­dant une préfé­rence à ce que les données soient trai­tées par des enti­tés qui partagent les valeurs euro­péennes, y compris sous l’angle de la vie privée et de la protec­tion des données. À cet égard, les respon­sables de trai­te­ments qui expor­te­ront des données dans le contexte de l’EHDS devront le faire de manière conforme au RGPD, en parti­cu­lier à la lumière des consi­dé­ra­tions de la CJUE dans l’affaire Schrems II.

Enfin, le CDEP salue la volonté expresse de la Commission euro­péenne de garan­tir aux personnes concer­nées le droit à la porta­bi­lité de leurs données de santé dans le contexte de l’EHDS, qui passera notam­ment par la mise en œuvre d’un système de dossier élec­tro­nique médi­cal transfrontière.

La mise sur pied d’un Espace euro­péen commun des données rela­tives à la santé est un projet pour le moins ambi­tieux, dont les avan­tages escomp­tés n’ont certai­ne­ment pas besoin d’être démon­trés. Aujourd’hui, la crise sani­taire du coro­na­vi­rus montre bien la néces­sité de dispo­ser d’un accès élargi aux données de santé pour prendre les déci­sions les plus adap­tées en matière de poli­tique sani­taire. Il en va de même pour le secteur de la recherche biomé­di­cale. Un tel projet comporte toute­fois des risques impor­tants pour la sécu­rité de données qui se rapportent au bien le plus précieux de chacun : la santé. Un système d’échange de données de santé qui serait mal pensé ou lacu­naire verrait non seule­ment son effi­ca­cité réduite, mais sape­rait surtout la confiance du public à l’égard des auto­ri­tés sani­taires. Le CDEP ne se trompe donc pas lorsqu’il insiste sur la néces­sité d’adopter dès la concep­tion des bases légales robustes, une trans­pa­rence accrue et un système de gouver­nance éten­due. La prise en compte de telles exigences pren­dra du temps (certai­ne­ment bien plus qu’en­vi­sagé par la Commission euro­péenne), mais c’est une étape cruciale pour la réus­site du projet. L’affaire du Health Data Hub fran­çais, aujourd’hui retardé par ses problèmes de sous-trai­tance avec Microsoft, est là pour nous le rappeler.