D. UNE MISE EN oeUVRE DU RGPD À GARANTIR PRÉCISÉMENT
1. Permettre aux personnes physiques d'accéder à leurs données de santé, de les contrôler et de les transmettre dans le cadre d'une utilisation primaire
Le RGPD prévoit des droits pour les personnes dont les données à caractère personnel font l'objet d'un traitement. La proposition de règlement tend à conforter ces droits voire à les renforcer. C'est le cas du droit d'accès puisque la proposition de règlement prévoit un droit d'accès immédiat, gratuit et dans un format facilement lisible et consolidé aux données de santé électroniques à caractère personnel, alors qu'au titre du RGPD, cet accès n'est pas nécessairement immédiat et gratuit. Il en va de même pour le droit à la portabilité des données qui permettra la transmission des données de santé électroniques, quelle que soit la base juridique de leur traitement, alors que la garantie de ce droit à la portabilité prévue par le RGPD est fonction de la base juridique du traitement.
La proposition de règlement prévoit également le droit de demander aux professionnels de santé la rectification des données en ligne, sans toutefois prévoir les suites qui pourraient être données à cette demande.
Pour les rapporteurs, il est nécessaire de préciser que les professionnels de santé seront tenus d'apporter une réponse argumentée aux demandes de rectification formulées par les patients lorsqu'ils refusent ces demandes.
2. Des droits mis en balance avec l'efficacité du dispositif dans le cadre de l'utilisation secondaire des données
a) L'utilisation secondaire qui doit être considérée comme un usage ultérieur
Le RGPD ne distingue pas entre le traitement de données à des fins d'utilisation primaire ou à des fins d'utilisation secondaire. Il définit le traitement de données comme « toute opération ou tout ensemble des opérations effectuées ou non à l'aide de procédés automatisés et appliqués à des données ou des ensembles de données à caractère personnel, tels que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction de données ». En outre, le RGPD envisage le traitement autre que celui pour lequel les données ont été collectées comme un traitement ultérieur ou une utilisation ultérieure sans plus de définition.
Pour les rapporteurs, il apparaît utile de préciser que le traitement à des fins d'utilisation secondaire des données de santé est assimilé à un traitement ultérieur au sens du RGPD.
b) Les finalités du traitement à des fins d'utilisation secondaire limitées
L'article 34 de la proposition de règlement énumère les finalités pour lesquelles des données de santé électroniques peuvent être traitées à des fins d'utilisation secondaire. Il s'agit notamment des activités présentant un intérêt public dans le domaine de la santé publique et de la santé au travail, des activités liées à la production de statistiques et à la recherche scientifique, des activités d'enseignement en lien avec la santé et des activités relatives à la fourniture de soins de santé personnalisés. L'article 35 précise, quant à lui, les utilisations secondaires interdites telles que la prise de décision préjudiciable à une personne physique ou les activités de publicité ou de marketing.
Les rapporteurs estiment que ces deux articles peuvent être source de confusion dans la mesure où l'on ne saurait pas dans quelle catégorie classer des finalités qui ne seraient pas énumérées dans l'un de ces deux articles. Dès lors, ils proposent de préciser que les finalités qui ne figurent pas à l'article 34 de la proposition de règlement sont interdites et de supprimer l'article 35.
c) Un droit d'information qui doit être maintenu
L'article 38, paragraphe 2, de la proposition de règlement prévoit que les organismes responsables de l'accès aux données de santé ne sont pas tenus de fournir à chaque personne physique les informations spécifiques prévues à l'article 14 du RGPD en cas d'utilisation de ses données pour des projets de traitement soumis à autorisation. Certes, le paragraphe 5 de l'article 14 du RGPD prévoit qu'il peut être dérogé à cette règle lorsque la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés. Néanmoins, le Comité européen de la protection des données et le Contrôleur européen de la protection des données recommandent que cette exemption ne puisse être mise en oeuvre que lorsqu'une justification adéquate est fournie.
Les rapporteurs, quant à eux, demandent que l'obligation d'information prévue à l'article 14 du RGPD s'applique sans exception dans le cas du traitement des données de santé à des fins d'utilisation secondaire, de manière à garantir aux personnes concernées la fourniture d'une information individualisée sur l'utilisation de leurs données dans ce cadre.