swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

Création d’un Espace européen commun des données relatives à la santé – Opinion préliminaire du CEPD

Frédéric Erard, le 20 novembre 2020
Le 17 novembre 2020, le Contrôleur euro­péen à la protec­tion des données (CEPD) a rendu une opinion préli­mi­naire sur la créa­tion d’un Espace euro­péen commun des données rela­tives à la santé (EHDS). Si le CEPD soutient la créa­tion d’un tel espace, il met en lumière les éléments essen­tiels qui devront être pris en compte du point de vue de la protec­tion des données.

European Data Protection Supervisor, Preliminary Opinion 08/​2020 on the European Health Data Space

Dans sa commu­ni­ca­tion du 19 février 2020 établis­sant une stra­té­gie euro­péenne pour les données, la Commission euro­péenne avait annoncé qu’elle entre­pren­drait la construc­tion d’un espace euro­péen des données rela­tives à la santé (p. 27 et 35–36). La créa­tion de cet espace doit renfor­cer et étendre l’utilisation et la réuti­li­sa­tion des données de santé pour, notam­ment, permettre aux auto­ri­tés de prendre des déci­sions fondées sur des données probantes, amélio­rer l’accessibilité et l’efficacité des systèmes de soins (p. ex. : réduc­tion des coûts), maxi­mi­ser les capa­ci­tés de recherche ou encore contri­buer à renfor­cer la compé­ti­ti­vité de l’industrie de l’Union euro­péenne. Parmi les mesures annon­cées figu­raient l’établissement d’un cadre légis­la­tif secto­riel des données de santé ou le déploie­ment d’infrastructures et de ressources devant, à terme, faci­li­ter l’échange de données de santé (p. ex.: dossiers médi­caux élec­tro­niques ou données géno­miques) au sein de l’Union euro­péenne et dans le respect du RGPD.

Le 17 novembre 2020, le CEPD a rendu une opinion préli­mi­naire sur la mise en œuvre d’un Espace euro­péen commun des données rela­tives à la santé (EHDS). À titre limi­naire, le CEPD recon­naît l’importance que revêt la mise en œuvre de l’EHDS et des échanges de données au sein de l’Union euro­péenne pour la promo­tion de la santé publique et la recherche médi­cale. Il rappelle toute­fois l’impérieuse néces­sité d’intégrer dès le départ de sérieux garde-fous en matière de protec­tion des données.

Les trai­te­ments de données amenés à être effec­tués dans le contexte de l’EHDS devront repo­ser sur une base légale robuste. Ainsi, les trai­te­ments devront au moins être fondés sur l’une des bases légales exhaus­ti­ve­ment énon­cées à l’art. 6 par. 1 RGPD. Comme les données seront amenées à être utili­sées pour les déci­sions de poli­tique sani­taire repo­sant sur des données probantes, le consen­te­ment (art. 6 par. 1 let. a RGPD) ne consti­tue proba­ble­ment pas la base légale la plus appro­priée. L’art. 6 par. 1 let. e RGPD, selon lequel un trai­te­ment est licite si « le trai­te­ment est néces­saire à l’exé­cu­tion d’une mission d’in­té­rêt public ou rele­vant de l’exer­cice de l’au­to­rité publique dont est investi le respon­sable du trai­te­ment », est certai­ne­ment plus à même de justi­fier ce traitement.

En raison du carac­tère « parti­cu­lier » ou sensible des données de santé qui seront trai­tées dans le cadre de l’EHDS, leur trai­te­ment ne sera de surcroît auto­risé que si l’une des condi­tions posées par l’art. 9 par. 2 RGPD est remplie. Les trai­te­ments de données effec­tués en vue de la prise de déci­sions par les auto­ri­tés en matière sani­taire pour­raient possi­ble­ment repo­ser sur l’art. 9 par. 2 let. i RGPD (inté­rêt public). L’art. 9 par. 2 let. j RGPD (recherche scien­ti­fique) pour­rait, quant à lui, consti­tuer une base légale pour le trai­te­ment des données dans le cadre de la recherche.

En vertu du prin­cipe de fina­lité (art. 5 par. 1 let. b RGPD), la mise en œuvre de l’EHDS impli­quera de déter­mi­ner clai­re­ment (crys­tal-clear) à l’avance les limites de ce qui consti­tue un trai­te­ment licite des données. La légis­la­tion qui sera adop­tée devra au surplus déter­mi­ner les condi­tions spéci­fiques auxquelles les données pour­ront faire l’objet d’utilisations secon­daires et assu­rer que ces données ne seront pas utili­sées pour des buts qui ne sont pas initia­le­ment prévi­sibles. Le CEPD souligne la néces­sité d’adopter une légis­la­tion qui offre aux personnes concer­nées un impor­tant contrôle sur leurs données, ainsi qu’une grande trans­pa­rence. Ce dernier point implique d’identifier les acteurs amenés à trai­ter des données et leur statut (control­ler, proces­sor ou joint-control­ler).

Pour le CEPD le seul fait qu’un trai­te­ment soit licite, notam­ment parce que les données auraient été vala­ble­ment anony­mi­sées, ne résout pas à lui seul toutes les ques­tions éthiques qui pour­raient se poser. Il faudra par exemple tenir compte des objec­tions émises par les personnes qui ne souhaitent pas que leurs données soient utili­sées pour certaines acti­vi­tés privées (secteurs des assu­rances ou des phar­mas). La légis­la­tion future devrait égale­ment inté­grer l’existence et le rôle des commis­sions d’éthique natio­nales existantes.

En vertu des prin­cipes de propor­tion­na­lité et de néces­sité, le CDEP estime que les données qui inté­gre­ront l’EHDS devraient en géné­ral être four­nies par les États membres sous forme anony­mi­sée et agré­gée. Si cela n’est pas possible, les données devront au moins être pseudonymisées.

Au-delà du cadre pure­ment légis­la­tif, l’EHDS devra repo­ser sur des méca­nismes solides de gouver­nance qui garan­ti­ront que les trai­te­ments de données sont effec­tués de manière licite, respon­sable et éthique. Cela impli­quera de déter­mi­ner avec préci­sion le rôle de tous les acteurs impli­qués, qu’il s’agisse des enti­tés qui collectent et mettent à dispo­si­tion les données, des utili­sa­teurs de l’EHDS (p. ex.: cher­cheurs) ou des auto­ri­tés qui feront office de points de contact nationaux.

De manière inté­res­sante, le CDEP explique que s’il ne soutient pas la créa­tion de fron­tières géogra­phiques arti­fi­cielles, il émet cepen­dant une préfé­rence à ce que les données soient trai­tées par des enti­tés qui partagent les valeurs euro­péennes, y compris sous l’angle de la vie privée et de la protec­tion des données. À cet égard, les respon­sables de trai­te­ments qui expor­te­ront des données dans le contexte de l’EHDS devront le faire de manière conforme au RGPD, en parti­cu­lier à la lumière des consi­dé­ra­tions de la CJUE dans l’affaire Schrems II.

Enfin, le CDEP salue la volonté expresse de la Commission euro­péenne de garan­tir aux personnes concer­nées le droit à la porta­bi­lité de leurs données de santé dans le contexte de l’EHDS, qui passera notam­ment par la mise en œuvre d’un système de dossier élec­tro­nique médi­cal transfrontière.

La mise sur pied d’un Espace euro­péen commun des données rela­tives à la santé est un projet pour le moins ambi­tieux, dont les avan­tages escomp­tés n’ont certai­ne­ment pas besoin d’être démon­trés. Aujourd’hui, la crise sani­taire du coro­na­vi­rus montre bien la néces­sité de dispo­ser d’un accès élargi aux données de santé pour prendre les déci­sions les plus adap­tées en matière de poli­tique sani­taire. Il en va de même pour le secteur de la recherche biomé­di­cale. Un tel projet comporte toute­fois des risques impor­tants pour la sécu­rité de données qui se rapportent au bien le plus précieux de chacun : la santé. Un système d’échange de données de santé qui serait mal pensé ou lacu­naire verrait non seule­ment son effi­ca­cité réduite, mais sape­rait surtout la confiance du public à l’égard des auto­ri­tés sani­taires. Le CDEP ne se trompe donc pas lorsqu’il insiste sur la néces­sité d’adopter dès la concep­tion des bases légales robustes, une trans­pa­rence accrue et un système de gouver­nance éten­due. La prise en compte de telles exigences pren­dra du temps (certai­ne­ment bien plus qu’en­vi­sagé par la Commission euro­péenne), mais c’est une étape cruciale pour la réus­site du projet. L’affaire du Health Data Hub fran­çais, aujourd’hui retardé par ses problèmes de sous-trai­tance avec Microsoft, est là pour nous le rappeler.



Proposition de citation : Frédéric Erard, Création d’un Espace européen commun des données relatives à la santé – Opinion préliminaire du CEPD, 20 novembre 2020 in www.swissprivacy.law/31


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Documentation externe et interne aux entreprises en matière de protection de données
  • Jeu, set et match : tour d’horizon des récentes avancées législatives
  • Une DPO peut-elle être licenciée pour une raison autre que celle liée à ses qualités professionnelles ?
  • Souveraineté numérique et altruisme des données (« Data Altruism ») : proposition UE de « Data Governance Act…
Derniers articles
  • Contenu de l’information sur le licenciement d’un employé à l’interne
  • L’administration publique responsable dans l’utilisation de services en nuage
  • Une DPO peut-elle être licenciée pour une raison autre que celle liée à ses qualités professionnelles ?
  • La mise en place de mesures de sécurité techniques et organisationnelles : not just a checklist !
Abonnement à notre newsletter
swissprivacy.law