Le 3 mai 2022, la Commission européenne ("CE") a publié une proposition de Règlement du Parlement européen et du Conseil sur l'espace européen des données de santé ("EHDS"). Timelex a eu l'honneur d'aider la CE à préparer une étude contribuant à l'évaluation d'impact des options politiques pour une initiative de l'UE sur un EHDS.
L'objectif principal de la loi proposée est de renforcer les droits des patients sur les données de santé et d'ouvrir les registres contenant des données médicales afin d'en faire un meilleur usage, tant pour les patients que pour la communauté au sens large. Dans ce billet de blog, nous examinons l'approche de la Commission européenne pour exploiter le potentiel des données de santé dans le cadre du Règlement EHDS.
Les objectifs du Règlement EHDS
Le projet de Règlement EHDS est la première proposition d'un espace européen commun de données spécifiques à un domaine, comme l'a souligné la stratégie européenne pour les données. Il est important de noter que la proposition ne vise pas à réglementer la manière dont les soins de santé seront fournis par les différents États membres. Les objectifs spécifiques fixés par la proposition comprennent :
- le renforcement des droits des personnes physiques (patients) en ce qui concerne la disponibilité et le contrôle de leurs données de santé électroniques ;
- la fourniture de règles et de mécanismes soutenant la recherche et l'élaboration de politiques fondées sur les faits grâce à l'utilisation de données électroniques sur la santé ;
- l’établissant des exigences harmonisées pour les systèmes de dossiers médicaux électroniques ("DME") sur le marché de l'UE ;
- la mise en place d'une infrastructure transfrontalière obligatoire permettant l'utilisation primaire et secondaire des données électroniques sur la santé dans toute l'UE.
Les changements proposés par le Règlement EHDS concerneront toutes les parties prenantes du cycle de vie des données de santé, notamment les patients, les hôpitaux et les fournisseurs de solutions de DMEDME et d'applications de bien-être, ainsi que les chercheurs et les autorités qui accèdent aux données ("utilisateurs de données").
Utilisation primaire et secondaire des données électroniques de santé
Le terme central utilisé par le Règlement EHDS est celui de données de santé électroniques, qui couvre :
- les données électroniques personnelles de santé : les données concernant la santé et les données génétiques telles que définies dans le RGPD, ainsi que les données se référant aux déterminants de la santé, ou les données traitées dans le cadre de la fourniture de services de soins de santé traitées sous forme électronique ; et
- données électroniques non personnelles de santé: désigne les données concernant la santé et les données génétiques sous format électronique qui ne relèvent pas de la définition des données personnelles prévue par le RGPD.
Cette définition large vise à englober toutes les catégories de données médicales, quelle qu'en soit la source (patient ou autre personne, telle qu'un professionnel de la santé) et comprend également les données déduites et dérivées, telles que les diagnostics, les tests et les examens médicaux, ainsi que les données observées et enregistrées par des moyens automatiques (par exemple via des dispositifs médicaux).
La proposition de Règlement EHDS fait la distinction entre deux contextes généraux d'utilisation des données électroniques sur la santé :
Utilisation primaire des données électroniques de santé | Utilisation secondaire des données électroniques de santé |
- l'utilisation des données dans le cadre des soins de santé, notamment pour :
- traiter le patient
- la prescription et la délivrance de médicaments et de dispositifs médicaux
- les services de sécurité sociale, administratifs ou de remboursement
| - l'utilisation des données à d'autres fins qui profitent à la société, par exemple :
- recherche et innovation
- élaboration de politiques
- sécurité des patients
- médecine personnalisée
- statistiques officielles
- les activités réglementaires.
Il convient de noter que ce terme n'est pas identique à la notion de "traitement ultérieur" des données à caractère personnel au titre de l'article 6, paragraphe 4, du RGPD. En vertu du Règlement EHDS, il sera possible que les données de santé électroniques soient spécifiquement collectées pour une utilisation secondaire. |
Nouveaux droits des patients concernant l'accès et le contrôle de leurs données de santé
La proposition de Règlement EHDS renforcera les droits des patients sur leurs données de santé électroniques au-delà de ceux déjà prévus par le RGPD. En s'appuyant sur les concepts du droit d'accès, du droit à la portabilité et du droit de rectification, les patients seront habilités à :
- accéder à leurs données électroniques personnelles de santé traitées dans le cadre de l'utilisation primaire. Ces données devraient leur être fournies immédiatement, gratuitement et sous une forme facilement lisible, consolidée et accessible. Toutefois, pour protéger le bien-être des patients (par exemple, en ce qui concerne les informations relatives à un diagnostic grave, qui doivent être expliquées par le médecin), il peut y avoir quelques exceptions à cette règle ;
- insérer leurs données de santé électroniques dans leur propre DME, mais ces données seront clairement indiquées comme étant fournies par les patients. Cela peut être utile pour rectifier des informations incorrectes ou ajouter des données provenant d'une application de bien-être ;
- de donner accès aux données ou de demander un transfert de données à un destinataire de leur choix, immédiatement, gratuitement et sans entrave. Si le destinataire des données est un autre État membre, la plupart des informations de santé pertinentes (y compris, par exemple, les résumés des patients, les rapports de sortie, les prescriptions électroniques et les résultats de laboratoire, ce que l'on appelle les "catégories prioritaires") devraient être transférées dans le format européen d'échange de dossiers médicaux électroniques. Cette mesure sera utile aux patients qui traversent les frontières des États membres pour travailler, étudier ou rendre visite à des proches, ou qui voyagent et doivent mettre leur DME à la disposition des médecins d'un autre pays de l'UE ;
- restreindre l'accès des professionnels de la santé à tout ou partie de leurs données de santé électroniques. En d'autres termes, le patient peut décider dans quelle mesure son dossier médical sera divulguée à son médecin. Les États membres peuvent établir les règles et les garde-fous spécifiques concernant ces mécanismes de restriction ;
- obtenir desinformations sur les prestataires de soins de santé et les professionnels de la santé qui ont accédé à leurs données de santé électroniques dans le cadre des soins de santé.
D'autre part, les professionnels de la santé :
- auront accès aux données électroniques de santé des personnes physiques qu'ils traitent, quel que soit l'État membre d'affiliation et l'État membre de traitement ;
- veilleront à ce que les données de santé électroniques personnelles des personnes physiques qu'ils traitent soient mises à jour avec les informations relatives aux services de santé fournis.
Pour atteindre ces objectifs, l'UE prévoit d'étendre l'infrastructure transfrontalière existante pour soutenir l'utilisation primaire des données (MyHealth@EU). Le projet de Règlement habilite la Commission à publier une série d'actes d'exécution sur divers aspects de MyHealth@EU. L'infrastructure renforcée sera constituée d'une plateforme centrale et de points de contact nationaux établis par les États membres, auxquels les prestataires de soins de santé seront connectés pour échanger les données. Enfin, les autorités chargées de la santé numérique seront responsables de la mise en œuvre et de la surveillance dans le cadre de l'utilisation primaire.
Normes relatives aux systèmes de dossiers médicaux électroniques (DME) et à l'interopérabilité des dispositifs médicaux et des systèmes d'IA
Les systèmes de DME constituent l'épine dorsale du système d'échange de données envisagé par la proposition de Règlement EHDS SDSE et leur interopérabilité avec d'autres systèmes est essentielle. C'est pourquoi la proposition de Règlement fixe des règles pour les systèmes de DME destinés à l'utilisation primaire de catégories prioritaires de données électroniques de santé. Ainsi, ces systèmes de DME ne pourront être mis sur le marché de l'UE ou mis en service que s'ils sont conformes aux exigences essentielles fixées par le Règlement. Les fabricants devront rédiger une déclaration de conformité UE et apposer le marquage CE avant de mettre un système DME sur le marché.
La proposition prévoit également un système d'étiquetage volontaire pour les applications de bien-être et les systèmes d'IA à haut risque qui prétendent à l'interopérabilité avec les systèmes de DME.
Rendre les données de santé disponibles pour la recherche et des objectifs politiques
Les dispositions relatives à l’utilisation secondaire visent à alimenter la recherche et l’innovation en matière de santé, tant pour des initiatives privées que publiques, ainsi que l'élaboration de politiques éclairées. Le système proposé reposera sur trois acteurs : les organismes d'accès aux données de santé, les détenteurs de données et les utilisateurs de données. Leurs rôles sont décrits ci-dessous.
Organismes d'accès aux données de santé | Détenteurs de données | Utilisateurs de données |
- mis en place par les États membres pour garantir un accès prévisible et simplifié aux données électroniques sur la santé à des fins secondaires ;
- servent d'intermédiaires entre les détenteurs de données, les utilisateurs potentiels des données et - dans certains cas - les patients ;
- examinent les demandes des utilisateurs potentiels et délivrent des autorisations de données, c'est-à-dire des décisions administratives qui permettent à un utilisateur de données d'accéder à des données, si cet accès est nécessaire à des fins décrites dans le Règlement EHDS ;
- peuvent facturer des frais pour leurs services ;
- peuvent également prétraiter lesdonnées demandées afin de les préparer pour une utilisation secondaire ;
- si, au cours de la recherche, il est découvert un élément susceptible d'avoir un impact sur la santé d'une personne physique, l'organisme d'accès aux données relatives à la santé peut informer cette personne et son médecin de cette constatation ;
- tenir un catalogue de métadonnées avec une liste des ensembles de données disponibles, dans lequel chaque ensemble de données sera décrit, y compris : la source des données, la portée des données, ses principales caractéristiques et les conditions de mise à disposition des données. Les catalogues nationaux seront reliés par le catalogue de données de l'UE ;
- le pouvoir d'infliger une amende à un détenteur de données qui ne fournit pas ses ensembles de données pour une utilisation secondaire.
| - est un terme général qui englobe les personnes et organismes qui seront obligés de mettre à disposition des données électroniques à des fins d'utilisation secondaire, par exemple : les hôpitaux, les instituts de recherche en santé, les organes de l'UE, mais aussi les entreprises privées qui contrôlent certaines données, telles que : le contenu des DME, les déterminants comportementaux sociaux et environnementaux de santé, les données électroniques de santé provenant de biobanques et de bases de données spécialisées, les données administratives liées à la santé ;
- peuvent facturer des frais raisonnables pour la mise à disposition de données électroniques sur la santé à des fins d'utilisation secondaire ;
- doivent s'abstenir de retenir les données en exigeant des frais injustifiés qui ne sont ni transparents ni proportionnels aux coûts de mise à disposition des données ;
- devront informer les organismes d'accès aux données de santé de leurs ensembles de données et de leurs caractéristiques ;
- peuvent également apposer un label de qualité et d'utilité des données de l'Union sur leurs ensembles de données, si ces ensembles répondent aux principes définis par le Règlement et les actes délégués. Pour certains ensembles de données (par exemple ceux qui ont été créés grâce à un financement public), le respect de ces principes sera obligatoire ;
- peuvent accorder directement l'autorisation d'accès aux données si la demande d'accès concerne un seul détenteur de données. Ils permettent à l'utilisateur d'accéder aux données dans un environnement de traitement sécurisé (décrit ci-dessous).
| - sont, par exemple, les chercheurs ou les entreprises qui souhaitent utiliser les données pour leur R&D, ainsi que les autorités qui ont besoin de données pour mener à bien leurs missions (certaines règles différentes leur sont applicables) ;
- peuvent demander l'accès aux données soit directement au détenteur des données, soit par l'intermédiaire d'organismes d'accès aux données de santé. Pour ce faire, ils devront demander la délivrance d'un permis de données.
- La candidature doit fournir, par exemple, les éléments suivants :
- les finalités pour lesquelles les données seraient utilisées,
- description des données nécessaires et des sources de données possibles,
- une description des outils nécessaires au traitement des données, ainsi que des caractéristiques de l'environnement sécurisé (décrit plus en détail ci-dessous) qui sont nécessaires ;
- lorsque des données sont demandées sous forme pseudonymisée, le demandeur de données doit expliquer pourquoi cela est nécessaire et pourquoi des données anonymes ne suffiraient pas, et indiquer la base juridique du traitement (conformément à l'article 6, paragraphe 1, du RGPD) ;
- auront le droit d'accéder aux données électroniques de santé et de les traiter conformément à l'autorisation qui leur a été délivrée sur la base du Règlement ;
- au plus tard 18 mois après l'achèvement du traitement des données électroniques de santé, seront tenu de rendre publics les résultats ou la production de l'utilisation secondaire des données électroniques de santé. Il s'agit potentiellement d'un facteur important à prendre en compte lors de la demande d'autorisation, en particulier pour les entreprises privées ;
- devront reconnaître les sources de données de santé électroniques et le fait que les données de santé électroniques ont été obtenues dans le contexte de l'EHDS ;
- si les données sont enrichies, l'ensemble de données avec de telles améliorations ainsi qu’une description des changements seront mis gratuitement à la disposition du détenteur original des données.
|
Garanties pour la protection de la vie privée des patients et coopération transfrontalière au sein de l'UE
Les données destinées à une utilisation secondaire peuvent être fournies sous forme anonyme ou sous forme pseudonymisée (uniquement si la finalité du traitement de l'utilisateur des données ne peut être atteinte avec des données anonymisées). Les informations nécessaires pour annuler la pseudonymisation ne sont accessibles qu'à l'organisme d'accès aux données de santé.
Les organismes d'accès aux données relatives à la santé ne donneront accès aux données électroniques de santé que par le biais d'un environnement de traitement sécurisé, qui comprend des mesures techniques et organisationnelles et répond aux exigences de sécurité et d'interopérabilité. Les utilisateurs de données ne pourront télécharger que des données desanté électroniques non personnelles à partir de l'environnement de traitement sécurisé. Pour les spécialistes du droit de la protection des données, il sera intéressant de lire que pour le traitement de données électroniques de santé dans le cadre d’un permis accordé, les organismes d'accès aux données de santé et les utilisateurs de données seront des responsables conjoints du traitement au sens de l'article 26 du RGPD. Comme mentionné ci-dessus, les détenteurs de données peuvent également héberger des environnements de traitement sécurisés dans lesquels ils fournissent un accès aux utilisateurs à la suite d'une demande unique du détenteur.
Chaque État membre devra désigner un point de contact national pour l'utilisation secondaire des données électroniques de santé. Le point de contact national peut être l'organisme d'accès aux données de santé. Les États membres et la Commission créeront HealthData@EU, qui servira à soutenir et à faciliter l'accès transfrontalier aux données électroniques de santé à des fins d'utilisation secondaire, à connecter les points de contact nationaux pour l'utilisation secondaire des données électroniques de santé de tous les États membres et à habiliter les participants à cette infrastructure.
Prochaines étapes
Le projet de Règlement EHDS vient d'être publié par la Commission européenne et, suivant la procédure législative ordinaire, il va maintenant être envoyé et discuté par le Parlement européen et le Conseil. Une fois adopté, le Règlement EHDS entrera en vigueur le vingtième jour suivant celui de sa publication. Il sera applicable à partir de 12 mois après son entrée en vigueur, mais l'application de certaines dispositions sera davantage repoussée.
Vous voulez en savoir plus ?
Vous avez une question spécifique ou souhaitez du soutien en la matière ? Nous serons heureux de vous aider. Réservez un appel gratuit de 15 minutes avec Magdalena à magdalena.kogut.lawyer.brussels (réservé aux organisations).