Plongeons-nous aujourd’hui dans le Règlement relatif à l’espace européen des données de santé (ci-après « le Règlement »), adopté par les députés européens le 24 avril 2024 et dont nous avons déjà esquissé les grandes lignes[1]. Ce projet ambitieux s’articule autour de deux volets majeurs de la stratégie européenne des données. Le premier volet, abordé dans notre newsletter du 9 juillet 2024[2], se concentre sur l’utilisation primaire des données de santé. Aujourd’hui, nous allons approfondir le second volet : l’utilisation secondaire des données, que nous avions déjà survolé, notamment en ce qui concerne l’anonymisation des données[3].
Si l’utilisation primaire des données de santé renvoie aux traitements de données intervenant dans le cadre de la prise en charge des patients, l’utilisation secondaire des données de santé désigne quant à elle, la réutilisation de ces données pour d’autres finalités, telles que la recherche, l’innovation, l’amélioration de la qualité des soins et l’élaboration de politiques en matière de santé (article 2.2 règlement).
La volonté de développer l’utilisation secondaire des données de santé naît d’un constat : la fragmentation des règles et infrastructures actuelles entrave l’accès des chercheurs, des décideurs et des autorités de règlementation à ces données, limitant ainsi, les possibilités d’innovation en matière de santé et l’efficacité des politiques de soins (considérant 38).
C’est pourquoi, le Règlement crée un cadre européen commun afin de favoriser la réutilisation des données de santé (1) tout en mettant en place des garde-fous pour protéger les détenteurs de ces données sensibles (2).
- Le principe de mise à disposition des données pour leur réutilisation
L’espace européen des données de santé fixe un cadre européen commun autorisant la réutilisation des données de santé pour les besoins de la recherche, de l’innovation, de l’élaboration des politiques en santé publique ou encore de la médecine personnalisée.
Ainsi, le Règlement établit une liste des données de santé que les détenteurs doivent mettre à disposition pour leur utilisation secondaire (article 33). Ils doivent les fournir aux organismes responsables de l’accès aux données de santé (ci-après « les organismes ») dans un délai de deux mois et sont tenus de coopérer de bonne foi avec ces organismes (article 41). Or, si les détenteurs retiennent des données dans l’intention manifeste d’en entraver la réutilisation, les organismes peuvent leur infliger une amende pour chaque jour de retard (article 43).
Ce principe de partage s’inscrit dans un objectif d’intérêt général (considérant n°1). À cet égard, le règlement formule une liste de finalités pour lesquelles les données de santé électroniques peuvent être traitées à des fins d’utilisation secondaire (article 34) ainsi qu’une liste d’utilisations secondaires interdites (article 35).
Parmi les finalités admises on retrouve : la production de statistiques officielles, les activités d’éducation ou d’enseignement dans le secteur de la santé, la recherche scientifique ou encore les activités de développement et d’innovation pour les produits ou services contribuant à la santé publique. A contrario, sont proscrites les utilisations secondaires de données de santé visant à la prise de décisions préjudiciables à une personne physique; à la restriction de la couverture assurantielle ou encore à faire de la publicité ou du marketing ciblé.
Compte tenu du caractère sensible des données de santé et afin de protéger le droit des ressortissants européens à la protection de leurs données, le Règlement a mis en place des garde-fous.
- L’encadrement de la mise à disposition des données de santé par les détenteurs
Afin de contrôler le partage des données de santé, le Règlement prévoit la désignation par chaque État membre d’un ou plusieurs organismes responsables de l’accès aux données de santé (article 36, considérant 42). Ces organismes jouent un rôle d’intermédiaire indispensable à la coopération des détenteurs et à la protection de leurs données.
Ainsi, si en principe toute personne physique ou morale peut présenter une demande d’accès aux données de santé (article 45), cette demande fera l’objet d’un examen par les organismes (article 37). Avant d’autoriser et délivrer les autorisations, les organismes doivent impérativement vérifier si la finalité est autorisée par le règlement et si les données demandées sont nécessaires à la finalité indiquée (article 46).
Le règlement stipule également un principe de minimisation et d’anonymisation des données. En ce sens, l’organisme doit veiller à ce que l’accès soit accordé uniquement aux données de santé demandées pertinentes pour la finalité du traitement. De plus l’organisme donne accès aux données dans un format anonymisé. Il faut toutefois que ce format permette à l’utilisateur d’atteindre la finalité du traitement, si tel n’est pas le cas, l’organisme pourra donner accès aux données dans un format pseudonymisé (article 44). Or cette différence n’est pas négligeable puisqu’au contraire de l’anonymisation, la pseudonymisation permet la réidentification de la personne concernée ([1]).
De plus, le règlement prévoit une précaution supplémentaire puisque les données ne peuvent être consultées et traitées que dans des environnements fermés et sécurisés, mis en place par les organismes responsables de l’accès aux données de santé (article 50).
D’autre part, le règlement prévoit un mécanisme de compensation à destination des organismes responsables de l’accès aux données de santé et des détenteurs de données (article 42). Le versement de ces redevances constitue une contrepartie de la mise à disposition des données de santé et permet de couvrir les coûts induits par la collecte et le traitement des données. Ces redevances doivent être transparentes et proportionnées aux coûts réels (les critères et la méthode de calcul devant être fixés et publiés par les Etats membres (article 6 règlement sur la gouvernance des données)).
- Le calendrier de mise en application du règlement
- Entrée en vigueur : Automne 2024 : promulgation du règlement (publication au Journal Officiel de l’Union Européenne)
- Entrée en application : échelonnée sur plusieurs années.
- + 2ans pour les actes d’exécutions adoptés par la Commission européenne
- + 4 à 6 ans pour la plupart des articles relatifs à l’usage primaire des données
- + 4 ans pour la plupart des articles relatifs à l’utilisation secondaire des données
- + 6 ans pour la procédure de certification des dossiers médicaux électroniques
- + 2 ans délai d’entrée en application par défaut (pour les autres dispositions).
On le comprend, le Règlement entend favoriser le partage des données de santé pour une utilisation pour le bien commun. Le règlement s’inscrit ainsi dans la lignée de la stratégie européenne pour les données qui vise à créer un marché unique des données qui garantira la compétitivité mondiale et la souveraineté de l’Europe en matière de données.
L’utilisation secondaire des données de santé représente une opportunité significative pour la recherche, l’innovation et les politiques de soins. Toutefois, pour en tirer pleinement parti, il est essentiel de surmonter les défis techniques, juridiques, économiques et citoyens associés à la réutilisation de ces données sensibles. Le rapport de l’Institut Montaigne[1] offre à cet égard un éclairage précieux sur ce sujet.
[1] Note d’action de l’Institut Montaigne – février 2024 : « Données de santé : libérer leur potentiel »
[1] https://www.clairmont-novus.law/publications/actualites/proposition-de-reglement-relatif-a-lespace-europeen-des-donnees-de-sante-ehds-focus-sur-lanonymisation-des-donnees-dans-le-cadre-de-lutilisation-secondaire
[1] https://www.clairmont-novus.law/publications/actualites/lespace-europeen-des-donnees-de-sante-est-adopte
[2] https://www.clairmont-novus.law/publications/actualites/espace-europeen-des-donnees-de-sante-quid-de-lutilisation-primaire-des-donnees-de-sante
[3] https://www.clairmont-novus.law/publications/actualites/proposition-de-reglement-relatif-a-lespace-europeen-des-donnees-de-sante-ehds-focus-sur-lanonymisation-des-donnees-dans-le-cadre-de-lutilisation-secondaire