- L’AESA et le CEPD saluent l’objectif de l’EHDS, mais mettent en garde contre le manque de clarté de la base juridique et la possibilité d’un abaissement du niveau de protection des données par rapport au RGPD.
- Critique des règles d’exception et de l’interprétation imprécise du RGPD, notamment en ce qui concerne les obligations d’information, les exceptions de l’article 9 et les critères d’accès aux données de santé.
- Exiger une gouvernance claire, une obligation de stockage UE/EEE pour les données de santé à caractère personnel et une exclusion ou une obligation de consentement pour les données des applications de bien-être.
Le Comité européen de la protection des données EDSA (Conseil européen de protection des données EDPB) et le Contrôleur européen de la protection des données (CEPD) (Superviseur européen de la protection des données EDPS) ont publié le 12 juillet 2022 un document de 30 pages avis commun publié (EDPB-EDPS Joint Opinion 03/2022 on the Proposal for a Regulation on the European Health Data Space (avis conjoint EDPB-EDPS 03/2022 sur la proposition de règlement relatif à l’espace européen des données de santé)) vers le Proposition pour une Règlement sur l’espace européen des données de santé (Espace européen des données de santé (EHDS) de la Commission européenne (Proposition de réglementation – L’espace européen des données de santée), qui a été publié le 3 mai 2022.
Elle avait expressément demandé à la Commission européenne de rendre un avis. L’EDSA et le CEPD saluent le Objectif de la proposition, d’améliorer l’échange de différents types de données électroniques relatives à la santé (notamment les dossiers médicaux électroniques, les données génomiques, les registres de patients) et l’accès à ces données, afin de soutenir non seulement l’utilisation primaire (soins de santé) mais aussi l’utilisation secondaire (recherche en matière de santé, innovation, élaboration des politiques, réglementation et médecine personnalisée) des données électroniques relatives à la santé.
Critique
Toutefois, l’AESA et le CEPD émettent également des critiques sur la proposition. Le succès de l’EHDS dépendrait d’une une base juridique solide qui sont liés à la fois à la Cadre juridique de l’UE en matière de protection des données qu’avec la Jurisprudence de la CJCE doit être conforme à la directive. Les références générales au RGPD sont insuffisantes. Il existe un risque d’interprétation erronée des dispositions centrales en matière de protection des données, ce qui pourrait entraîner un abaissement du niveau de protection actuellement accordé aux personnes concernées dans le cadre juridique européen existant en matière de protection des données.
“[…] les dispositions de la présente proposition ajouteront une nouvelle couche à la collection déjà complexe (multi-couches) de dispositions (que l’on trouve à la fois dans le droit de l’UE et des États membres) sur la
le traitement des données de santé (dans le secteur des soins de santé). Le site interplay entre ces différents éléments de la législation doit être (crystal) clear.“
Les critiques et propositions de modification formulées dans l’avis conjoint peuvent être résumées comme suit :
Description imprécise des droits liés au RGPD
Le fait que la proposition fasse référence aux droits prévus par le RGPD (par exemple, le droit d’accès gratuit et le droit à une copie des données) doit être salué. Cependant, leur description s’écarte du contenu du RGPD. Il convient de clarifier la relation entre ces dispositions.
Pas d’extension des exceptions aux garanties du RGPD
L’article 38, paragraphe 2, de la proposition pres points d’accès aux données de santé (désignés par les États membres ; ils donnent accès aux données électroniques de santé pour une utilisation secondaire) ne sont pas tenus de fournir à chaque personne physique les informations spécifiques visées à l’article 14 du RGPD concernant l’utilisation de ses données dans le cadre de projets pour lesquels une autorisation de données a été accordée. L’AESA et le CEPD considèrent qu’il s’agit d’une dérogation explicite au RGPD. Ils estiment que la nouvelle dérogation pourrait avoir des conséquences involontaires sur les libertés et droits fondamentaux des personnes concernées en raison de l’absence de conditions concrètes dans lesquelles la nouvelle dérogation serait applicable.
Suppression des applications de bien-être et d’autres applications numériques de santé des chapitres III et IV
Chapitre III de la proposition traite de la mise en œuvre d’un système obligatoire d’autocertification des systèmes de DSE dans les situations où ces systèmes doivent satisfaire à des exigences essentielles en matière d’interopérabilité et de sécurité. Le chapitre contient également des dispositions relatives à l’étiquetage volontaire des applications de bien-être interopérables avec les systèmes de DSE. Le chapitre IV facilite l’utilisation secondaire des données de santé électroniques, par exemple pour la recherche, l’innovation, l’élaboration de politiques, la sécurité des patients ou les activités de réglementation. Il définit un certain nombre de types de données qui peuvent être utilisées à des fins spécifiques et établit des finalités interdites (par exemple, utilisation de données contre des personnes, publicité commerciale, augmentation de l’assurance, développement de produits dangereux). L’AESA et le CEPD recommandent de supprimer les applications de bien-être et les applications numériques de santé de ces chapitres.
“L’OEDT et le CEPD reconnaissent les dispositions du chapitre III qui visent à améliorer l’interopérabilité des dossiers médicaux électroniques et à faciliter la connectivité des applications de bien-être avec ces dossiers médicaux électroniques. Toutefois, les […] derniers ne devraient pas être inclus dans l’utilisation secondaire des données de santé au titre du chapitre IV de la proposition. Premièrement, parce que les données de santé générées par les applications de bien-être et autres applications numériques de santé n’ont pas les mêmes exigences en matière de qualité des données et les caractéristiques de celles générées par les dispositifs médicaux. De plus, ces applications génèrent un une quantité énorme de données et peut être très invasive, car elle se rapporte à chaque étape que les individus franchissent dans leur vie quotidienne.“
Si ces données devaient être maintenues, le traitement serait nécessaire pour la Utilisation secondaire uniquement avec consentement préalable au sens du RGPD est admissible. La proposition devrait être complétée en conséquence. Deuxièmement, les conditions spécifiques pour le traitement ultérieur de ces données à caractère personnel soient clairement définies conformément à la législation sur la protection des données et que des mesures appropriées soient prises pour assurer la protection des données à caractère personnel. Mécanismes afin de garantir le respect de la volonté des personnes concernées en ce qui concerne le traitement ultérieur de leurs données à caractère personnel relatives à la santé (générées par des applications de bien-être et autres applications numériques). En outre, un tel traitement relève du champ d’application de la directive “vie privée et communications électroniques”.
Lien peu clair avec les exceptions du RGPD à l’interdiction de traiter des données sensibles
L’article 9, paragraphe 2, point h), du RGPD prévoit des exceptions dans lesquelles le traitement de données sensibles est nécessaire à des fins de prévention sanitaire ou de médecine du travail, d’évaluation de la capacité de travail du travailleur, de diagnostic médical, de soins ou de traitements médicaux ou de gestion des systèmes et services de santé sur la base du droit de l’Union ou du droit des États membres. La proposition devrait prévoir des conditions et des garanties pour le traitement des données électroniques.
données relatives à la santé par les prestataires de soins de santé et les professionnels de la santé, conformément à cette exception. Le CEPD et le CEPD déplorent que cela ne se reflète pas dans les critères selon lesquels les autorités compétentes accordent l’accès aux données relatives à la santé demandées (articles 45 et suivants de la proposition). Ils estiment que la manière dont ces dispositions se rapportent aux principes et aux dispositions du RGPD, et notamment à l’article 9, paragraphe 2, du RGPD, n’est pas claire.
Complément demandé concernant le stockage dans l’UE/EEE
Le chapitre V propose d’autres mesures de soutien au renforcement des capacités par les États membres afin d’accompagner le développement du SEAE. Il s’agit notamment de l’échange d’informations sur les services publics numériques, le financement, etc. En outre, ce chapitre réglemente l’accès international aux données non personnelles dans le cadre du EHDS. En raison du volume important de données à traiter, de leur caractère hautement sensible, du risque d’accès illicite et de la nécessité d’assurer un suivi efficace de ces données, le CEPD et le CEPD demandent que cette proposition soit complétée par une disposition prévoyant le stockage des données de santé électroniques à caractère personnel dans l’UE/EEE, sans préjudice d’autres transferts conformément au chapitre V du RGPD.
Gouvernance
Enfin, en ce qui concerne le modèle de gouvernance mis en place par la proposition, les tâches et les responsabilités des nouveaux organismes publics doivent être soigneusement adaptées, en tenant compte notamment des tâches et des responsabilités des autorités nationales de contrôle, du CEPD et de l’AESPD dans le domaine du traitement des données (de santé) à caractère personnel. Il convient d’éviter les chevauchements de compétences et de spécifier les domaines et les exigences en matière de coopération.