Skip to main content
News

L’utilisation secondaire des données de santé dans la proposition d’espace européen des données de santé

L’utilisation secondaire des données de santé dans la proposition d’espace européen des données de santé

Article

L’utilisation secondaire des données de santé dans la proposition d’espace européen des données de santé

21 Novembre 2022

L’essence de la proposition EHDS : Le 3 mai 2022, la Commission européenne a publié son projet de règlement sur l’espace européen des données de santé (EHDS). Cette proposition vise à atteindre deux objectifs principaux. Le premier est d’améliorer la prestation de soins de santé transfrontaliers dans l’UE, quelle que soit la localisation du patient dans les États membres (EM). Le second objectif, qui nous intéresse davantage, vise à permettre l’utilisation secondaire des données de santé électroniques par les chercheurs, les entreprises, les innovateurs et les institutions publiques (les utilisateurs de données) à d’autres fins nouvelles qui profitent à la société.

La proposition de EHDS s’appuie sur le Règlement général sur la protection des données (RGPD) et le complète en établissant des règles harmonisées spécifiques pour l’utilisation secondaire des données de santé et renforce la portabilité des données. L’exigence de règles harmonisées au niveau de l’UE découle des limites du cadre actuel fourni par le RGPD, ainsi que des lois nationales actuelles des États membres qui ont adopté des dispositions spécifiques concernant l’utilisation secondaire des données de santé.

Le cadre actuel de l’utilisation secondaire des données sur la santé et les défis pour les utilisateurs de données

Le cadre actuel de l’accès transfrontalier aux données de santé initialement collectées dans un but complètement différent (utilisation secondaire des données) dans le contexte de la recherche scientifique internationale est très fragmenté en raison de plusieurs spécificités nationales.
Cette fragmentation trouve son origine dans une disposition du RGPD accordant aux EM la possibilité d’adopter des lois plus strictes concernant le traitement des données de santé.

L’absence d’une définition commune au niveau de l’UE de ce qui est considéré comme une “utilisation secondaire” des données accroît la capacité des EM à établir des cadres différents. Une étude réalisée dans le cadre du projet TEHDAS (Towards the European Health Data Space) sur les obstacles au partage transfrontalier des données de santé à des fins d’utilisation secondaire souligne que cette difficile démarcation entre l’utilisation primaire et secondaire des données rend plus complexe la délimitation de ce à quoi la personne concernée a réellement consenti lors de la recherche initiale, lorsque celle-ci était fondée sur son consentement.

Une deuxième source de fragmentation concerne certains EM, comme l’Italie, qui imposent le consentement des participants comme seule base juridique pour l’utilisation primaire des données de santé, malgré la réticence du Comité européen de protection des données (EDPB) à utiliser cette base juridique. En fait, l’existence de bases juridiques différentes appliquées dans différents EM a rendu les études transnationales très difficiles, car les utilisateurs de données doivent se conformer à des exigences différentes dans chaque juridiction. Selon le rapport TEHDAS, cela a augmenté les coûts de conformité et de recherche. Par conséquent, lorsque la collecte initiale des données est fondée sur le consentement des participants, l’utilisation secondaire des données ne peut être possible qu’avec un nouveau consentement de la personne concernée ou en conformité avec une obligation légale en tant que base juridique distincte.

Un autre obstacle important réside dans les spécificités nationales concernant l’information des personnes concernées sur les recherches futures, notamment lorsque l’obligation d’informer est impossible ou exige un effort disproportionné. Certains États membres, comme la France et l’Italie, ont introduit dans leur législation nationale une procédure permettant de demander l’autorisation de l’autorité de protection des données en cas d’impossibilité ou d’effort disproportionné pour fournir des informations aux personnes concernées.

Health Data Space

L’EHDS fournit les éléments d’un cadre alternatif

Une définition commune de l’utilisation secondaire. En effet, le règlement EHDS définit l’utilisation secondaire des données électroniques de santé comme étant le traitement de données électroniques de santé particulièrement générées lors de la prestation de soins de santé dans le but de soutenir la recherche, l’innovation, l’élaboration de politiques, les activités réglementaires et d’autres utilisations, telles que la prestation de soins de santé à un patient, sur la base des données concernant d’autres patients. Plus concrètement, la SDSE met en évidence au chapitre IV certaines finalités compatibles avec sa définition de l’utilisation secondaire. Parmi les finalités énumérées dans ce chapitre IV, on trouve :
– les activités de développement et d’innovation pour des produits ou services contribuant à la santé publique ou à la sécurité sociale ou assurant des niveaux élevés de qualité et de sécurité des soins de santé, des médicaments ou des dispositifs médicaux ; et
– la formation, le test et l’évaluation d’algorithmes, notamment dans les dispositifs médicaux, les systèmes d’IA et les applications de santé numérique.

Ces catégories de finalités peuvent être poursuivies par des organisations privées, comme au sein de l’industrie pharmaceutique.
Le règlement EHDS va plus loin et énumère une série de finalités interdites, telles que :

La prise de décisions préjudiciables à une personne physique sur la base de ses données de santé électroniques ;
les activités de publicité ou de marketing à l’égard des professionnels de la santé, des organisations de la santé ou des personnes physiques ; et
le développement de produits ou de services susceptibles de nuire aux personnes et aux sociétés en général.

Le thème commun de cette liste est d’interdire toutes les utilisations secondaires qui pourraient nuire à une personne physique.

Un autre changement majeur est lié à la procédure d’accès aux données de santé. Les utilisateurs privés de données souhaitant mener des études cliniques internationales pourront avoir accès aux données de patients établis dans différents EM en envoyant une demande d’autorisation unique à une autorité appelée Organisme d’accès aux données de santé (HDAB). Les utilisateurs de données n’auront plus à supporter les coûts de mise en conformité avec les différentes législations nationales pour avoir accès aux données. Étant donné que la base européenne de données électroniques sur la santé sera également alimentée par des détenteurs de données établis dans différents États membres, plusieurs organismes d’accès aux données de santé seront compétents. Par conséquent, les utilisateurs de données auront le choix de soumettre la demande d’autorisation unique à n’importe quel HDAB, qui communiquera à son tour la demande d’autorisation aux autres HDAB concernés, qui décideront d’accorder ou non l’autorisation d’accès aux données de leurs ressortissants.

health data

Les règles relatives à l’utilisation secondaire des données de santé prévues par la proposition de SDDH ne visent pas à supplanter celles prévues par le RGPD et les législations nationales. Au contraire, l’objectif du règlement EHDS est de créer un cadre complémentaire pour l’utilisation secondaire des données de santé conforme au RGPD.

La proposition de règlement EHDS ne viole pas la base juridique établie par le RGPD concernant le traitement des données de santé. Trois bases juridiques issues du RGPD sont fournies par le règlement EHDS pour l’utilisation secondaire des données de santé.

  • La première base juridique concerne le traitement des données effectué par les détenteurs de données lorsqu’ils reçoivent des données des personnes concernées. Pour le traitement des données de santé électroniques détenues par le détenteur de données, la proposition du RGPD fait référence à une obligation légale au sens de l’article 6, paragraphe 1, point c) du RGPD combiné à l’article 9, paragraphe 2, points h), i) ou j) du RGPD pour la divulgation des données par le détenteur de données aux organismes d’accès aux données de santé.
  • La deuxième base juridique concerne le traitement des données effectué par les HDAB lorsqu’ils demandent l’accès aux données aux détenteurs de données dans le but de les fournir aux utilisateurs de données. Ici, le règlement proposé fonde le traitement sur l’exécution de tâches d’intérêt public par les HDAB (gestion de l’environnement de traitement sécurisé, traitement des données avant leur utilisation, etc.) au sens de l’article 6, paragraphe 1, point e), du RGPD, et répond aux exigences de l’article 9, paragraphe 2, points h), i) ou j), du RGPD.
  • La troisième base juridique concerne l’accès aux données par l’utilisateur des données, une organisation privée dans notre cas. Les utilisateurs privés de données peuvent avoir accès aux données de santé sur la base d’une combinaison de leur intérêt légitime (article 6 (1), f. du RGPD) et de la nécessité du traitement à des fins de recherche scientifique sur la base d’un règlement européen, ici le SDDH (article 9 (2), (j) du RGPD).

Afin de s’aligner sur les lois nationales imposant le consentement du patient comme base légale pour le traitement des données de santé, la proposition de la DEDD souligne que lorsque le consentement de la personne concernée est requis par la loi nationale, les organismes d’accès aux données de santé sont chargés de remplir certaines obligations.

Parmi ces obligations énumérées à l’article 38 de la proposition de règlement, il y a l’obligation de fournir des informations générales par le biais du site web de l’HDAB sur :

  • la base juridique en vertu de laquelle l’accès est accordé ;
  • les mesures techniques et organisationnelles prises pour protéger les droits des personnes physiques ;
  • les droits applicables des personnes physiques en ce qui concerne l’utilisation secondaire des données électroniques sur la santé ;
  • les modalités d’exercice par les personnes physiques de leurs droits conformément au chapitre III du RGPD ;
  • les résultats ou les aboutissements des projets pour lesquels les données électroniques de santé ont été utilisées.

Défis pour la proposition EHDS

Le EHDS fournit un cadre réglementaire favorable à la conduite de la recherche clinique transfrontalière, car il facilitera la création de bases de données sur la santé à partir de détenteurs de données établis dans toute l’UE. Cependant, certains défis doivent être surmontés.

L’un des principaux défis de l’accès à ces données dans le cadre de l’EHDS est d’ordre pratique. Au-delà de l’harmonisation juridique, il sera nécessaire d’assurer l’interopérabilité technique entre les dossiers électroniques de santé nationaux, notamment en ce qui concerne l’interopérabilité entre les dispositifs numériques et les applications de santé numériques.

Bien que l’EHDS stipule déjà qu’en cas de contradiction avec le RGPD, ce dernier prévaut, la coopération entre les HDAB et les autorités de protection des données est également d’une importance capitale. Cependant, le HDAB ne précise pas quelle forme cette coopération prendra en pratique. Cette question devra être correctement traitée par le biais de directives.

AUTHORS

Winnie

Winnie F. Dongbou Wamba

Data Protection Lawyer

alice

Alice Leroy

Data Protection Manager Associate

REVIEWER

Anastassia Negrouk

DPO & Chief Operating Officer

Si vous voulez nous contacter

Contactez nous