La proposition de règlement EHDS : nouvel instrument de l’Union à fort potentiel

La Proposition de règle­ment EHDS élabo­rée par la Commission euro­péenne ouvre la voie à un nouveau cadre de gouver­nance pour les données de santé. Le cadre juri­dique secto­riel qui y est défini a pour ambi­tion de créer un nouvel envi­ron­ne­ment de trai­te­ment sécu­risé paneu­ro­péen et de mettre en place des règles communes pour faci­li­ter les utili­sa­tions primaire et secon­daire de données de santé électroniques.

Introduction

La Commission euro­péenne a publié sa propo­si­tion de règle­ment sur le nouvel espace euro­péen des données de santé le 3 mai 2022 (ci-après « Proposition EHDS »), plus connu sous le nom de « European Health Data Space » (ci-après « EHDS »). Cette propo­si­tion légis­la­tive atten­due et annon­cée fait suite à la consul­ta­tion publique de 2021 au cours de laquelle 385 avis ont été recueillis en vue de propo­ser la concep­tion d’un cadre juri­dique spéci­fique pour l’accès, l’utilisation et la réuti­li­sa­tion des données de santé élec­tro­niques. Ce texte s’inscrit dans la stra­té­gie euro­péenne pour les données qui vise notam­ment à mettre en place un marché unique des données et à favo­ri­ser leur circu­la­tion au sein de l’Union européenne.

Les moti­va­tions de ce texte sont multiples et visent à appor­ter des solu­tions concrètes aux diffé­rentes carences et lacunes révé­lées au cours des études réali­sées dans le cadre de l’élaboration de la propo­si­tion EHDS. Celles-ci ont notam­ment mis en évidence l’effectivité limi­tée du droit des indi­vi­dus concer­nant l’accès à leurs données de santé élec­tro­niques, ainsi qu’une inter­opé­ra­bi­lité restreinte des systèmes d’information utili­sés dans le domaine de la santé.

La propo­si­tion EHDS pour­suit trois objec­tifs généraux :

  • renfor­cer les droits des personnes physiques en ce qui concerne la dispo­ni­bi­lité et le contrôle de leurs données de santé électroniques ;
  • permettre l’uti­li­sa­tion primaire et secon­daire de ces données de santé au sein de l’Union euro­péenne par diffé­rents acteurs en mettant en œuvre une nouvelle infra­struc­ture trans­fron­ta­lière ; et
  • établir des règles pour la mise sur le marché, la mise à dispo­si­tion sur le marché ou la mise en service de systèmes de dossiers médi­caux élec­tro­niques (ci-après « systèmes DME »).

Afin de garan­tir l’ap­pli­ca­tion d’un cadre uniforme et cohé­rent, la Commission euro­péenne a opté pour une approche iden­tique à celle du RGPD en adop­tant un projet de règle­ment d’application directe. Cette stra­té­gie doit en prin­cipe réduire les risques d’une mise en œuvre frag­men­tée au sein des États membres et favo­ri­ser la libre circu­la­tion des données de santé élec­tro­niques dans le secteur de la santé.

Le cadre juri­dique de la Proposition EHDS s’appuie à la fois sur un arse­nal légis­la­tif inter­sec­to­riel (cf. le RGPD, le règle­ment (UE) 2019/​881 sur la cyber­sé­cu­rité, le règle­ment (UE) 2022/​868 sur la gouver­nance des données), et mono­sec­to­riel propre à la santé (cf. la direc­tive (UE) 2011/​24 rela­tive aux soins trans­fron­ta­liers, le règle­ment (UE) 2014/​536 rela­tif aux essais  cliniques de médi­ca­ments à usage humain, le règle­ment (UE) 2017/​746 sur les dispo­si­tifs médi­caux de diag­nos­tics in vitro). Il s’appuie égale­ment sur les propo­si­tions légis­la­tives en cours de négo­cia­tions telles que la propo­si­tion de règle­ment sur l’intelligence arti­fi­cielle (AI Act) et la propo­si­tion de règle­ment sur les données (Data Act) (cf. art. 1 al. 4, 5 et 6 Proposition EHDS).

Champ d’application et définitions

Le premier chapitre (art. 1 à 2) expli­cite le champ d’application de la Proposition EHDS, énonce les diffé­rentes défi­ni­tions utili­sées et clari­fie sa rela­tion avec les autres instru­ments de l’Union euro­péenne. S’agissant du champ d’application, trois options stra­té­giques impli­quant des degrés variables d’in­ter­ven­tion régle­men­taire et deux variantes supplé­men­taires ont été évaluées. La Commission euro­péenne a retenu l’option 2 et 2+ qui corres­pond à une « inter­ven­tion d’intensité moyenne ». Cette stra­té­gie va au-delà de la simple coopé­ra­tion renfor­cée entre les États membres avec la mise en œuvre d’instruments volon­taires (option 1, inter­ven­tion de faible inten­sité). Il est inté­res­sant de noter que la Proposition EHDS opère des renvois partiels ou complets aux diffé­rentes défi­ni­tions utili­sées dans d’autres instru­ments tels que le RGPD, ce qui devrait favo­ri­ser la cohé­rence et l’interopérabilité entre les diffé­rents textes. La défi­ni­tion de données de santé élec­tro­niques telle qu’elle ressort de la Proposition EHDS est parti­cu­liè­re­ment large puisqu’elle englobe à la fois les données de santé élec­tro­niques à carac­tère person­nel et non personnel.

Utilisation primaire des données de santé électroniques

La Proposition EHDS rend obli­ga­toire la parti­ci­pa­tion à l’in­fra­struc­ture commune trans­fron­ta­lière MaSanté@UE pour l’uti­li­sa­tion primaire des données de santé élec­tro­niques (art. 12). Les États membres doivent dési­gner une auto­rité de santé numé­rique respon­sable de la mise en œuvre du chapitre II à l’éche­lon natio­nal. Ces auto­ri­tés auraient notam­ment pour mission de contri­buer au déve­lop­pe­ment du format euro­péen d’échange des dossiers médi­caux élec­tro­niques et à l’éla­bo­ra­tion de spéci­fi­ca­tions communes trai­tant des ques­tions d’in­te­ro­pé­ra­bi­lité (art. 10 par. 2 let. h). Elles seraient égale­ment char­gées de contri­buer à l’échelle natio­nale au déve­lop­pe­ment de solu­tions tech­niques pour garan­tir la mise en œuvre des droits spéci­fiques confé­rés aux personnes physiques par la Proposition EHDS (art. 10 par. 2 let. e).  À ce propos, chaque personne physique dispo­se­rait par exemple des droits suivants :

  • accé­der, immé­dia­te­ment, gratui­te­ment et dans un format faci­le­ment lisible, conso­lidé et acces­sible à ses données de santé élec­tro­niques à carac­tère person­nel trai­tées dans le cadre de l’utilisation primaire (cf. art. 3 par. 1) ;
  • rece­voir, dans le format euro­péen d’échange des dossiers médi­caux élec­tro­niques, une copie élec­tro­nique d’au moins ses données de santé élec­tro­niques rele­vant des caté­go­ries prio­ri­taires (cf. art. 3 par. 2) ;
  • ajou­ter des données de santé élec­tro­niques dans son propre dossier médi­cal élec­tro­nique ou dans celui des personnes physiques dont elle peut consul­ter les infor­ma­tions de santé (cf. art. 3 par. 6) ;
  • accor­der des accès à ses données de santé élec­tro­niques à un desti­na­taire de son choix du secteur de la santé ou de la sécu­rité sociale (cf. art. 3 par. 8).

Comme le relèvent à juste titre le Comité euro­péen de la protec­tion des données et le Contrôleur euro­péen de la protec­tion des données dans leur avis conjoint du 12 juillet 2022, les nouveaux droits intro­duits par la propo­si­tion EHDS néces­sitent des clari­fi­ca­tions supplé­men­taires afin d’as­su­rer une cohé­rence avec les dispo­si­tions géné­rales du RGPD rela­tives aux droits des personnes concer­nées. À titre d’exemple, les orga­nismes respon­sables de l’ac­cès aux données de santé élec­tro­niques trai­tées dans le cadre de l’uti­li­sa­tion secon­daire seraient exemp­tés de four­nir les infor­ma­tions néces­saires prévues par l’art. 14 RGPD (cf. art. 38 par. 2). La mise en œuvre du droit spéci­fique intro­duit par l’art. 3 par. 1 serait donc limi­tée unique­ment aux données de santé élec­tro­niques trai­tées dans le cadre de l’uti­li­sa­tion primaire. Une telle limi­ta­tion appa­raî­trait toute­fois peu compa­tible avec le droit d’ac­cès prévu par le RGPD et la volonté de renfor­cer le contrôle des indi­vi­dus sur leurs données (cf. art. 1 par. 2 let. a).

Il reste à noter que le chapitre II prévoit que de nombreuses spéci­fi­ci­tés tech­niques devront être préci­sées par la Commission euro­péenne aux moyens d’actes d’exé­cu­tion. C’est notam­ment le cas des spéci­fi­ca­tions tech­niques rela­tives au format euro­péen d’échange des dossiers médi­caux élec­tro­niques (art. 6) et des exigences rela­tives à la gestion de l’iden­ti­fi­ca­tion élec­tro­nique des utili­sa­teurs (art. 7 et 9).

Utilisation secon­daire des données de santé électroniques

La réuti­li­sa­tion de données de santé est soumise à la fois aux dispo­si­tions du Chapitre IV et aux règles et méca­nismes du RGPD.

La Proposition EHDS défi­nit de manière parti­cu­liè­re­ment large les caté­go­ries de données qui peuvent être réuti­li­sées (p. ex. les données issues des DME, d’essais cliniques ou celles géné­rées par des dispo­si­tifs médi­caux, cf. art. 33) ainsi que les fina­li­tés possibles de ces réuti­li­sa­tions (p. ex. le déve­lop­pe­ment de produits de santé et l’IA pour de l’innovation, cf. art. 34). L’art. 35 établit en outre une liste de fina­li­tés pour lesquelles la réuti­li­sa­tion de données de santé élec­tro­niques est inter­dite, parmi lesquelles figurent les pratiques discri­mi­na­toires contre les personnes, la publi­cité commer­ciale ou d’assurance et le déve­lop­pe­ment de produits dangereux.

Un système de gouver­nance est égale­ment proposé (art. 36 ss), en vertu duquel les États membres dési­gnent un ou plusieurs organisme(s) responsable(s) de l’accès aux données de santé pour leur réuti­li­sa­tion. Dans ce contexte, trois éléments sont parti­cu­liè­re­ment inté­res­sants. Tout d’abord, la plupart des déten­teurs seraient par prin­cipe soumis à une obli­ga­tion de mettre les données à dispo­si­tion pour une utili­sa­tion secon­daire dans le cadre de l’EHDS, à l’exception notam­ment des microen­tre­prises (art. 33). Ensuite, les données devront être remises, lorsque cela est possible, sous forme anony­mi­sée et, à défaut, sous forme pseu­do­ny­mi­sée, étant précisé que la clef de cryp­tage ne pourra être déte­nue que par l’organisme d’accès aux données de santé (consid. 49). Enfin, en vertu de la Proposition EHDS, les orga­nismes respon­sables ont le statut de respon­sables conjoints du trai­te­ment de données de santé élec­tro­niques trai­tées confor­mé­ment aux auto­ri­sa­tions de trai­te­ment de données (art. 51). Les utili­sa­teurs de données devront soumettre auprès de ceux-ci leurs demandes d’accès confor­mé­ment aux exigences prévues par les art. 44 et 45 qui reprennent en partie celles du RGPD (prin­cipes de mini­mi­sa­tion des données et de limi­ta­tion de la fina­lité). L’organisme statuera sur les demandes et pourra notam­ment sanc­tion­ner les déten­teurs de données qui retien­draient des données de santé élec­tro­niques des orga­nismes respon­sables dans l’intention mani­feste d’en entra­ver l’utilisation ou lorsqu’ils ne respec­te­raient pas les délais qui leur sont impar­tis pour commu­ni­quer leurs données (art. 43). Finalement, la notion d’altruisme des données et ses moda­li­tés sont établies dans ce chapitre égale­ment (art. 40).

En paral­lèle de la Proposition EHDS, le RGPD instaure déjà un cadre légal pour la réuti­li­sa­tion de données. L’art. 5 par. 1 let. b RGPD énonce le prin­cipe de limi­ta­tion des fina­li­tés auquel l’art. 6 par. 4 RGPD permet de déro­ger en permet­tant la réuti­li­sa­tion des données à une fin autre que celle pour laquelle les données ont été collec­tées, à condi­tion notam­ment que la nouvelle fina­lité soit compa­tible avec la fina­lité initiale. Les données concer­nant la santé sont par ailleurs soumises à l’art. 9 RGPD, qui inter­dit en prin­cipe leur trai­te­ment (par. 1), mais qui le permet excep­tion­nel­le­ment à certaines condi­tions (par. 2), notam­ment à des fins de recherche scientifique.

Ainsi, à la teneur du consi­dé­rant 37 de la Proposition EHDS, celle-ci four­ni­rait une nouvelle base juri­dique confor­mé­ment à l’art. 9 par. 2 let. g, h, i et j RGPD pour l’uti­li­sa­tion secon­daire des données de santé en établis­sant les garan­ties requises pour le trai­te­ment de données à des fins licites.

Le Comité euro­péen de la protec­tion des données et le Contrôleur euro­péen de la protec­tion des données estiment à ce sujet que l’interaction de la Proposition EHDS avec l’en­semble déjà complexe de dispo­si­tions à la fois dans la légis­la­tion de l’Union euro­péenne et dans celle des États membres n’est pas suffi­sam­ment claire en l’état. Ils recom­mandent égale­ment de ne pas étendre le champ d’ap­pli­ca­tion des excep­tions du RGPD concer­nant les droits des personnes concer­nées dans la Proposition EHDS car cela rédui­rait la possi­bi­lité pour celles-ci d’exer­cer un contrôle effec­tif sur leurs données à carac­tère person­nel. L’avis conjoint souligne en outre que la descrip­tion des droits qui figure dans la Proposition EHDS n’est pas cohé­rente avec celle du RGPD, ce qui risque de géné­rer des incer­ti­tudes juri­diques et de la confu­sion. Il relève égale­ment un manque de déli­mi­ta­tion claire s’agissant des fina­li­tés auto­ri­sées énumé­rées à l’art. 34 par. 1 de la Proposition EHDS et en parti­cu­lier celles figu­rant aux points (f) – déve­lop­pe­ment de produits ou services contri­buant notam­ment à la santé publique ou à la sécu­rité sociale – et (g) –forma­tion, test et évalua­tion de systèmes d’IA – dont la formu­la­tion est trop large.

Systèmes de dossiers médi­caux électroniques

Le chapitre III (art. 14 à 32) s’attèle à mettre en œuvre un système d’autocertification obli­ga­toire pour les systèmes DME. Ces systèmes DME comprennent tout type d’ap­pa­reil ou logi­ciel permet­tant le stockage et le partage de dossiers médi­caux. Pour être mis à dispo­si­tion sur le marché, ils devront être conformes aux exigences formu­lées à l’an­nexe II du projet de règle­ment EHDS ainsi qu’aux spéci­fi­ci­tés tech­niques préci­sées à l’art. 23. Les États membres seront char­gés de dési­gner des auto­ri­tés de surveillance du marché qui devront veiller au respect des exigences posées dans le chapitre 3 (art. 28). Il reste à noter que les appli­ca­tions de bien-être ne seront pas tenues de se confor­mer à ces exigences. Une label­li­sa­tion volon­taire de telles appli­ca­tions sera possible sous réserve qu’elles soient jugées inter­opé­rables avec les systèmes DME et conformes aux exigences du projet de règle­ment EHDS (art. 31).

Conclusion

Bien que le projet EHDS consti­tue l’une des prio­ri­tés de l’agenda euro­péen, le texte fait toujours l’ob­jet de propo­si­tions d’amen­de­ment devant le Parlement et le Conseil euro­péen. L’objectif est de parve­nir à un compro­mis avant la fin de l’an­née 2023. Toutefois, la propo­si­tion de règle­ment élabo­rée par la Commission euro­péenne suscite un certain nombre de critiques. Certaines préoc­cu­pa­tions juri­diques ont déjà été rele­vées dans l’avis conjoint du 12 juillet 2022, notam­ment en ce qui concerne les inter­ac­tions avec d’autres instru­ments tels que le RGPD. Le texte présente égale­ment des contours assez flous en matière de garan­tie de sécu­rité. Bien que les béné­fices finan­ciers esti­més soient consé­quents (envi­ron 11 milliards d’éco­no­mies sur dix ans), la mise en œuvre du projet EHDS néces­site des moyens humains et finan­ciers consé­quents alors que le contexte écono­mique reste incer­tain avec des prévi­sions de réces­sion au niveau de la zone euro. Malgré les incer­ti­tudes tech­niques, les préoc­cu­pa­tions sur le plan juri­dique et celui de la cyber­sé­cu­rité, le nouveau cadre de gouver­nance des données de santé présente un fort poten­tiel pour faire progres­ser les soins de santé. Son succès dépen­dra toute­fois de la confiance que place­ront les citoyens euro­péens et citoyennes euro­péennes dans cette nouvelle infra­struc­ture transfrontalière.



Proposition de citation : Mathilde Heusghem / Clément Parisato, La proposition de règlement EHDS : nouvel instrument de l’Union à fort potentiel, 17 mai 2023 in www.swissprivacy.law/227


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
swissprivacy.law