B. LE PRINCIPE DE MINIMISATION DES DONNÉES
1. Un principe à mettre en oeuvre dans la proposition de règlement
Le principe de minimisation des données, prévu par le RGPD, est repris à l'article 4 de la proposition de règlement, pour le traitement à des fins d'utilisation primaire des données de santé et à l'article 44, pour le traitement à des fins d'utilisation secondaire. Selon ce principe, l'accès n'est accordé qu'aux seules données pertinentes pour la finalité du traitement.
Pour les rapporteurs, il importe que ce principe soit pleinement respecté, tant par les professionnels de santé que par les organismes responsables de l'accès aux données.
2. Des données anonymisées ou pseudonymisées
Dans le cadre d'un traitement à des fins d'utilisation secondaire, il est prévu que les organismes responsables de l'accès aux données de santé donnent accès aux données de santé électroniques dans un format anonymisé. La proposition de règlement relatif à l'espace européen des données de santé et le RGPD ne définissent pas la notion de données anonymisées. Le considérant 49 de la proposition de règlement précise toutefois qu'il s'agit de données dépourvues de tout caractère personnel, défini par le RGPD comme toute information se rapportant à une personne physique identifiée ou identifiable.
L'article 44 de la proposition de règlement prévoit également que lorsque la finalité du traitement ne peut être atteinte à l'aide de données anonymisées, les organismes responsables de l'accès aux données de santé donnent accès aux données de santé électroniques dans un format pseudonymisé.
Le RGPD précise que la « pseudonymisation » est le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles garantissant que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable.
Le considérant 64 de la proposition de règlement indique que, même en cas d'utilisation de techniques d'anonymisation de pointe, il subsiste un risque résiduel que la capacité de réidentification soit ou devienne disponible, au-delà des moyens raisonnablement susceptibles d'être utilisés. C'est le cas notamment pour les maladies rares.
Dès lors, les rapporteurs appellent à ce que la fourniture de données pseudonymisées reste l'exception. Ils invitent à prendre toutes les mesures nécessaires pour s'assurer que les utilisateurs ne puissent pas réidentifier les personnes, que les données aient été fournies dans un format anonymisé ou pseudonymisé. Enfin, en cas de tentative de réidentification, ils préconisent que l'utilisateur de données de santé auteur de cette tentative, soit interdit d'accès à de telles données pour une période de cinq ans, ce qui est la sanction maximale prévue par la proposition de règlement.