L'espace européen des données de santé : Quelle place pour les droits et libertés des citoyens dans la proposition de Règlement ?
Avec la publication en mai dernier de la proposition de Règlement sur l’espace européen des données de santé (EEDS), la Commission européenne ambitionne la création d’un système de gouvernance des données de santé au niveau européen.
Dans ce cadre, cet espace européen serait composé d’infrastructures numériques nationales et européennes dotées d’une forte interopérabilité, pour l’utilisation primaire (à des fins de diagnostic et de traitement) et secondaire (à des fins de recherche scientifique, d’innovation, de statistiques publiques, d’élaboration de politiques publiques) des données de santé au format électronique. En somme, on pourrait considérer l’EEDS comme un écosystème sécurisé au sein duquel l’accès, l’échange et l’exploitation de données de santé électroniques, pseudonymisées ou anonymisées, serait facilité dans l’intérêt du plus grand nombre.
L’un des enjeux poursuivi par la Commission européenne, notamment via la création d’un cadre favorable à l’utilisation secondaire de données de santé, est d’encourager la production et l’amélioration de connaissances médicales.
La proposition de règlement prévoit que les données secondaires seront accessibles aux chercheurs, aux innovateurs et aux décideurs. Concernant les personnes physiques, il est prévu qu’elles puissent contrôler l’accès à leurs données de santé électroniques et que l’exercice de leurs droits, notamment le droit d’accès et de transmission, soit facilité au niveau national et européen.
Quelle est véritablement la place prévue pour les droits et libertés des citoyens dans la proposition de règlement ?
A l’article 1er, il est inscrit que le règlement renforce les droits des personnes physiques en ce qui concerne la disponibilité et le contrôle de leurs données de santé électroniques. Pourtant, on observe une disparité des droits et libertés des personnes physiques entre l’utilisation primaire et secondaire des données.
Les droits et libertés des personnes dans le cas de l’utilisation primaire de leurs données
La proposition de règlement prévoit que les personnes physiques possèdent le droit d’être informées de l’identité des professionnels de santé qui ont accédé à leurs données de santé. Néanmoins, cette information est donnée a posteriori. Pour rendre effectif le contrôle des personnes physiques sur leurs données de santé électroniques, il serait opportun d’envisager une information des personnes a priori c’est-à-dire avant que le professionnel accède aux données, plus particulièrement s’il s’agit d’un professionnel extérieur à l’équipe de soins.
Le règlement sur l’EEDS prévoit également que les personnes ont un droit d’accès immédiat et gratuit, dans un format lisible, consolidé et accessible à leurs données de santé personnelles. Néanmoins, le texte ne précise pas si ce droit s’articule avec le droit d’accès prévu dans le Règlement général sur la protection des données (RGPD) ou si ces droits sont distincts.
Pourtant, la proposition prévoit que ce droit d’accès peut être limité si cela est nécessaire à la protection des personnes physiques conformément à ce qui est prévu dans le RGPD. L’absence de précision sur l’articulation entre la proposition de règlement sur l’EEDS et le RGPD entraîne un manque de lisibilité qui peut être préjudiciable pour les droits et libertés des personnes physiques.
Les droits et libertés des personnes dans le cas de l’utilisation secondaire de leurs données
Malgré ce qui est énoncé par la Commission européenne à l’article 1er de la proposition de règlement, les personnes physiques n’ont pas de contrôle renforcé sur l’utilisation secondaire de leurs données de santé.
Tout d’abord, il n’y a aucun article consacré aux droits des personnes physiques concernant l’utilisation secondaire de leurs données de santé contrairement à l’utilisation primaire de ces données.
Ensuite, le texte prévoit expressément une dérogation au droit à l’information des personnes concernées par un traitement de données personnelles qui figure dans le RGPD. En effet, l’article 38 de la proposition prévoit que “les organismes responsables de l’accès aux données de santé ne sont pas tenus de fournir à chaque personne physique les informations spécifiques (...) concernant l’utilisation de leurs données dans le cadre de projets soumis à une autorisation de traitement de données”. Autrement dit, dans la majorité des cas de réutilisation des données de santé, les personnes physiques n’en seront pas informées.
Dès lors, comment les personnes concernées pourraient-elles exercer un contrôle sur leurs données de santé et exercer leurs droits si elles ignorent que leurs données personnelles sont réutilisées ?
Cet article 38 est en totale contradiction avec le droit à l’autodétermination informationnelle qui dispose que “toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant (...)”. Cela signifie qu’il est reconnu aux personnes physiques un droit de regard et de maîtrise sur leurs données en toutes circonstances.
Quels sont les avis des organes de l’Union européenne sur la proposition de règlement ?
Dans leur avis conjoint du 12 juillet 2022, le Contrôleur de la protection des données et le Comité européen de la protection des données énoncent que les dispositions prévues peuvent “affaiblir la protection la protection des droits à la vie privée et à la protection des données”. En substance, les deux organes demandent à ce que les interactions entre la proposition de règlement et le RGPD soient clarifiées et à ce que la dérogation à l’obligation d’information des personnes physiques ne soit pas maintenue dans la version finale du texte.
Plus récemment, le Comité économique et social européen a exprimé de fortes craintes liées à l’utilisation secondaire des données de santé dans son avis du 22 septembre 2022. Le Comité demande à la Commission européenne d’apporter plus de clarté sur l’utilisation secondaire des données, ses limites, l’identification précise de l’organisme de contrôle et de validation et enfin, les sanctions applicables en cas de non-respect des dispositions de la proposition de règlement.
Une chose est sûre : nous n’avons pas fini d’entendre parler de ce texte, la suite au prochain épisode !