L'ESSENTIEL
La Commission européenne a présenté le 3 mai 2022 la proposition de règlement relatif à l'espace européen des données de santé - COM(2022) 197 final. Celle-ci a pour objectif de déterminer dans quelles conditions les données de santé électroniques pourront être traitées, d'une part, à des fins d'utilisation primaire, c'est-à-dire dans le but de fournir des services de santé à la personne physique concernée, et d'autre part, à des fins d'utilisation secondaire précisées à l'article 34 de la proposition de règlement parmi lesquelles la recherche.
La commission des affaires européennes du Sénat a examiné cette proposition de règlement, sur le rapport de Mmes Pascale Gruny et Laurence Harribey, et a conclu au dépôt de la proposition de résolution n° 849 (2022-2023) du 5 juillet 2023.
Après avoir mis en évidence l'intérêt d'un espace européen des données de santé, Mmes Pascale Gruny et Laurence Harribey ont formulé des propositions pour, d'une part, garantir la cohérence de la proposition de règlement avec le règlement général sur la protection des données (RGPD) et, d'autre part, assurer la circulation et la sécurité des données de santé au sein de l'Union. Enfin, elles ont plaidé pour une gouvernance partagée de cet espace européen des données de santé.
1/ S'assurer de l'intérêt de la proposition de règlement pour les patients
a/ Un intérêt incontestable du traitement à des fins d'utilisation primaire
Le dossier médical électronique (DME) présente de nombreux avantages. Il permet aux professionnels de santé de disposer d'un accès immédiat aux données de santé de leurs patients, facilitant ainsi leur prise en charge notamment lors d'une première consultation ou en cas d'urgence. Il permet également d'éviter les interactions médicamenteuses et de répéter des examens déjà prescrits, ce qui améliore la qualité des soins. Dans le cadre de soins transfrontières, les patients pourront accéder à leurs données de santé et les transmettre dans un format électronique susceptible d'être reconnu et accepté par tous les professionnels de santé dans l'Union.
b/ Un traitement à des fins d'utilisation secondaire qui devra bénéficier au secteur de la santé
Le traitement des données de santé à des fins d'utilisation secondaire présente, selon les organismes en charge de la recherche, des avantages considérables. Étant donné que les données de santé sont mises à disposition gratuitement par les patients au travers de systèmes financés par les États membres et l'Union européenne, ces derniers devraient pouvoir demander des contreparties aux utilisateurs qui accèdent aux données de santé dans le but de générer un bénéfice commercial. C'est le cas notamment des entreprises du médicament qui devront en conséquence faciliter l'accès à de nouveaux traitements. Par ailleurs, la proposition de règlement prévoit la création d'un système de redevances destiné à couvrir les coûts de mise à disposition des données. Le montant de ces redevances devra être modulé selon que la finalité du traitement présente un intérêt commercial ou non.
c/ Une proposition de règlement qui n'a pas pour objectif d'organiser la fourniture de soins de santé
La proposition de règlement relatif à l'espace européen des données de santé a pour but d'assurer la circulation des données de santé au sein de l'Union européenne. Elle établit les règles permettant l'interopérabilité des données et des systèmes de DME. Elle n'a donc pas pour objectif d'organiser la fourniture de soins de santé et notamment la télémédecine. En outre, cette compétence relève des États membres aux termes de l'article 168, paragraphe 7, du traité sur le fonctionnement de l'Union européenne. En conséquence, les rapporteurs demandent la suppression de l'article 8 de la proposition de règlement relatif à la télémédecine.
2/ Veiller à la primauté des règles de protection des données à caractère personnel
Pour les rapporteurs, il est nécessaire que les personnes physiques dont les données de santé sont traitées puissent pleinement bénéficier des droits que leur octroie le RGPD.
La question du consentement est au coeur de cette proposition de règlement. Dans le cadre d'un traitement de données à des fins d'utilisation primaire, les rapporteurs estiment qu'il appartient aux États membres, en charge de la fourniture de services de soins de santé, de déterminer si le consentement des personnes physiques concernées est nécessaire pour la création d'un DME.
Dans le cadre du traitement des données à des fins d'utilisation secondaire, les rapporteurs estiment qu'il est nécessaire de s'assurer que les personnes physiques concernées ne s'opposent pas à ce traitement. Leur consentement pourra prendre la forme d'une absence d'opposition au traitement, après qu'elles ont été dûment informées.
Les rapporteurs appellent également à ce que, dans le cadre d'un traitement à des fins d'utilisation secondaire de leurs données, les personnes physiques concernées puissent bénéficier d'une information personnalisée sur ce traitement, conformément au RGPD.
3/ Permettre la circulation des données dans un cadre sécurisé
Les articles 5 et 33 de la proposition de règlement précisent respectivement les catégories prioritaires de données de santé électroniques à caractère personnel qui devront faire l'objet d'un traitement à des fins d'utilisation primaire et les catégories minimales de données de santé électroniques qui sont destinées à une utilisation secondaire.
Pour la première catégorie, les rapporteurs proposent de rajouter les résultats des tests médicaux tels que les électrocardiogrammes et les tests de souffle effectués dans un cadre médical, compte tenu de leur intérêt pour la prise en charge du patient. Pour la seconde catégorie, les rapporteurs demandent à ne pas inclure les données issues des applications de bien-être dont la qualité est douteuse.
- Un accès aux données strictement encadré
L'accès aux données de santé doit être particulièrement encadré. Dans le cadre d'un traitement à des fins d'utilisation primaire, les rapporteurs estiment que les professionnels de santé ne devront accéder aux données que lorsqu'ils auront besoin d'en connaître pour établir un diagnostic ou proposer un traitement. Pour ce qui concerne le traitement à des fins d'utilisation secondaire, les rapporteurs estiment qu'une demande d'accès aux données ne sera satisfaite qu'après avoir été dûment examinée par un organisme responsable de l'accès aux données. Ainsi, une demande d'accès aux données ne pourrait pas être réputée délivrée si le demandeur n'a pas reçu de réponse dans un délai déterminé. En outre, les rapporteurs jugent que l'accès aux données d'un détenteur unique devrait nécessairement avoir été autorisé par un organisme responsable de l'accès aux données. Enfin, les organismes du secteur public et les institutions, organes et organismes de l'Union devront également formuler une demande d'accès aux données sur laquelle un organisme responsable de l'accès aux données sera chargé de statuer, sauf urgence de santé publique telle que définie au règlement (UE) 2022/2371.
- Des moyens renforcés pour assurer la sécurité des données
Les rapporteurs estiment que la mise à disposition des données à des fins d'utilisation secondaire dans un environnement de traitement sécurisé est essentielle pour la sécurité des données. En outre, les rapporteurs saluent le choix de la Commission de ne pas créer de bases de données regroupant les données de santé des citoyens de l'Union. En effet, les infrastructures MyHealth@EU et HealthData@EU ne sont pas des bases de données regroupant des données de santé des patients européens, la première étant un outil d'échange de données, et la seconde un catalogue de données de santé.
En outre, les rapporteurs demandent que les systèmes de DME fassent l'objet d'une certification par un tiers, organisme notifié et enregistré au niveau de l'Union européenne.
Enfin, elles préconisent que l'hébergement des données de santé, et les services associés, soient effectués sur le territoire de l'Union par une entreprise européenne dans laquelle les participations étrangères cumulées directes ou indirectes ne soient pas majoritaires.
4/ Mettre en oeuvre une gouvernance partagée et cohérente
La Commission prévoit de définir les règles techniques permettant d'assurer l'interopérabilité et la sécurité des données par le biais d'actes d'exécution, adoptés dans le cadre d'une procédure où les États membres sont simplement consultés. Pour les rapporteurs, il est nécessaire que les États membres soient davantage associés à la définition de ces règles et que la procédure retenue pour l'adoption de ces actes d'exécution prévoie un vote des représentants des États membres. De même, les rapporteurs déplorent que certains actes délégués prévus par la proposition de règlement tendent à en fixer des dispositions essentielles qui devraient être déterminées par le législateur européen. .
Par ailleurs, la proposition de règlement prévoit, au sein de chaque État membre, la désignation d'une autorité de santé numérique responsable de la mise en oeuvre des droits et obligations des patients dans le cadre du traitement à des fins d'utilisation primaire de leurs données de santé et la désignation d'un organisme responsable de l'accès aux données de santé dans le cadre du traitement à des fins d'utilisation secondaire. À l'échelle européenne, la proposition de règlement prévoit également la mise en place d'un comité de l'espace européen des données de santé chargé de coordonner les pratiques de ces deux type d'organismes. Les rapporteurs estiment que les associations de patients, les détenteurs de données et les associations de professionnels de la santé doivent être représentées au sein de ces trois entités, en raison de leurs contributions essentielles et complémentaires à l'espace européen des données de santé.
Enfin, les rapporteurs appellent à garantir les conditions d'une coopération efficace entre les entités qui seront créées à la suite de l'adoption de la proposition de règlement et les autorités de contrôle prévues par l'article 51 du RGPD (CNIL pour la France).