3 Juillet, 2024
L’Europe est actuellement le fer de lance de son approche de l’avenir des données de santé. Elle vise deux fonctions principales : promouvoir la numérisation des dossiers de santé et stimuler la recherche. Les premières seront archivées en facilitant l’accès des patients à leur dossier, tandis que les secondes permettront l’accès aux données de santé sous forme anonyme ou pseudonymisée, y compris d’autres utilisations “secondaires” dans l’intérêt du public. En outre, cela implique une myriade d’avantages, dont la consultation à l’étranger lorsque le patient le souhaite.
Notre article précédent présentait les éléments de base concernant l’Espace européen des données de santé (EHDS), tels que ses principaux objectifs, l’origine de la proposition, les éléments relatifs à ce cadre ainsi que ses principaux défis. La procédure réglementaire pour la mise en œuvre de l’EHDS est à un stade avancé. Le moment est donc venu d’analyser les développements de l’EHDS et les progrès réalisés tant par les institutions européennes que par les États membres.
Le parcours législatif
La pertinence de ce cadre ne peut passer inaperçue, et c’est l’une des principales raisons du temps écoulé entre la proposition faite par la Commission de l’Union européenne (UE) pour ce règlement (mai 2022) et le récent accord politique entre le Parlement européen et le Conseil sur la proposition de la Commission au printemps 2024.
Malgré les divergences et l’approche fragmentée au sein des États membres, concernant le cadre proposé pour les données de santé numériques dans l’UE, des progrès significatifs ont été réalisés au cours des derniers mois. Le Conseil et le Parlement européen sont parvenus à un accord provisoire sur le texte final de l’EHDS le 15 mars 2024, ce qui constitue un accueil chaleureux pour le secteur des sciences de la vie (et les secteurs connexes). Cela signifie que l’EHDS se trouve dans les dernières étapes de son adoption, les points les plus pertinents ayant été approuvés.
L’interopérabilité est essentielle
Même lorsque l’adoption du règlement a été finalisée, la nature du cadre prévu dépend de la participation active des États membres pour réussir. Certes, ce dernier n’impose pas actuellement d’obligation matérielle de mettre en place des systèmes ou d’aligner les systèmes existants pour le partage transfrontalier des dossiers médicaux électroniques (EHRs). Cela dit, certaines juridictions ont déjà pris l’initiative à cet égard, en dehors des négociations au niveau de l’UE. Cela pourrait être dû à de multiples facteurs. Par exemple, la prise de conscience par le marché des avantages que cela aurait pour la prestation des soins de santé nationaux, la recherche et l’innovation ou l’anticipation de l’approbation de l’EHDS au niveau de l’UE, ce qui a conduit à une approche proactive.
Par exemple, 13 États membres ont commencé à développer des systèmes nationaux plus centralisés pour faciliter l’accès aux données. Cependant, il n’y a actuellement aucune coordination au niveau de l’UE, ce qui se traduit par des systèmes fragmentés dont les tâches varient malgré des similitudes communes. Certains États membres ont mis en place des organismes d’accès aux données de santé comme Findata, le Data Hub français, les Forschungsdatenzentren allemands, entre autres.
Dans sa tentative de faire de la santé numérique une réalité et de rationaliser ces efforts dans tous les États membres, l’EHD reste une proposition ambitieuse. Cela dit, l’EHDS a un grand potentiel, à condition que sa mise en œuvre se fasse de manière appropriée dans l’ensemble des États membres.
En tout état de cause, l’interopérabilité normalisée est cruciale, et le texte approuvé contient plusieurs considérations pour y parvenir :
- Elle définit deux composantes logicielles obligatoires pour le traitement des EHRs lorsqu’ils sont utilisés à des fins principales. L’un est appelé “composant européen d’interopérabilité pour les systèmes de EHR” et l’autre “composant européen de journalisation pour les systèmes de EHR”
- Il établit une infrastructure transfrontalière, permettant ainsi l’utilisation des données électroniques de santé à des fins primaires et secondaires ; et
- Elle met en place une coordination et une gouvernance au niveau national et européen pour atteindre ses objectifs.
Principaux éléments de l’EHDS
Il est important de souligner que l’EHDS sera complémentaire du RGPD. Par conséquent, tous les rôles et acteurs de ce dernier joueront un rôle important dans ce nouveau paysage. Cela dit, le EDHS apportera de nouveaux paramètres à l’équation, ainsi que la nécessité d’une interaction efficace entre eux :
- Titulaire des données relatives à la santé : 2.2(y) de la proposition. Il s’agit principalement de toute personne physique ou morale, autorité publique, entité, agence ou autre organisme, y compris les institutions de l’Union, dans les secteurs des soins de santé ou de l’assistance, ainsi que les entités qui leur sont étroitement liées. Il s’agit notamment de ceux qui effectuent des recherches en rapport avec les secteurs des soins de santé ou de l’assistance, entre autres, qui soit :
- ont l’obligation légale de traiter des données électroniques à caractère personnel relatives à la santé, ou
- avoir la capacité de traiter des données électroniques de santé non personnelles en contrôlant la conception technique d’un produit et les services connexes.
Notamment, ce concept étendu est directement lié à l’art. 33 du texte, qui prévoit l’obligation pour ces organismes de rendre les données électroniques disponibles pour une utilisation secondaire dans les termes de cette clause.
- Utilisateur de données sur la santé : point 2.2 z) de la proposition. Il s’agit de toute personne physique ou morale, y compris les institutions de l’UE, qui s’est vu accorder un accès légal à des données de santé électroniques en vue d’une utilisation secondaire en vertu d’une autorisation de données, d’une demande de données ou d’une approbation d’accès par un participant autorisé à Health Data@EU. Bien que cette autorisation soit directement liée aux finalités légitimes énumérées à l’art. 34, le secteur d’activité auquel appartiennent ces utilisateurs n’est pas pertinent pour l’octroi d’une telle autorisation. Cela signifie que, contrairement au concept précédent, les utilisateurs de données ne doivent pas nécessairement faire partie du secteur des soins de santé ou d’un secteur connexe.
- Organisme d’accès aux données de santé (HDAB): 36-39 de la proposition. Il s’agit des organismes chargés d’accorder l’accès aux données électroniques de santé à des fins secondaires. Les États membres ont l’obligation d’en désigner un (ou plusieurs s’ils optent pour une approche régionale, bien qu’un coordinateur fédéral et un point de contact soient désignés dans ce cas) et de lui fournir les ressources nécessaires à son fonctionnement. En ce qui concerne leur interaction avec les comités d’éthique nationaux, la proposition limite cette interaction à deux situations : elle souligne l’obligation des HDAB de coopérer avec eux et de les impliquer dans l’évaluation des demandes relatives à des données de santé pseudonymisées lorsque la législation nationale l’exige.
- HealthData@EU: 52 de la proposition. Il s’agit de l’infrastructure transfrontalière pour l’utilisation secondaire des données électroniques de santé qui reliera le point de contact national et fournira une plateforme centralisée visant à offrir un environnement de traitement sécurisé. Elle sera gérée par la Commission européenne et permettra au point de contact national, aux participants autorisés (par exemple, les pays tiers ou les organisations internationales qui respectent les mesures nécessaires pour que les États membres renforcent leur capacité à interagir dans l’EHDS) et aux organismes de l’UE participant à la recherche ou à la politique de santé (par exemple, l’Agence européenne des médicaments, entre autres) de se connecter et de participer à HealthData@EU. Pour ce faire, ils doivent acquérir les capacités techniques requises.
Évolution au niveau national
Comme prévu au début de cet article, au cours des dernières années, certains pays ont développé leur infrastructure et leur fonctionnement en relation avec l’EHDS. Ce niveau de préparation nécessite diverses actions. Il s’agit notamment de l’infrastructure nécessaire au traitement des données de santé, des dispositions légales, des initiatives en matière de gouvernance des données, de l’affectation des ressources, de la création d’une autorité chargée des données de santé et du renforcement des capacités en vue de la connexion avec HealthData@EU (tant pour l’utilisation primaire que secondaire). Dans le cadre de cet article, nous nous concentrerons sur les étapes de la création d’une autorité sanitaire ou d’un point de contact et sur l’état de l’infrastructure permettant d’interagir avec la plateforme centrale de partage des données pour un usage secondaire.
Impact sur les entreprises et les particuliers
Les amendes substantielles ont un effet dissuasif puissant et témoignent de l’engagement de l’ICO à sanctionner les entreprises qui ne respectent pas la réglementation en matière de protection de la vie privée. Ces amendes sont un message clair pour les entreprises, qui doivent réévaluer leurs stratégies de marketing et s’aligner sur les lignes directrices du PECR afin d’éviter de nuire à leur réputation et de conserver la confiance de leurs clients.
Les entreprises en infraction s’exposent non seulement à des sanctions financières, mais aussi à une atteinte potentielle à leur réputation, qui pourrait affecter la confiance des consommateurs et l’image de marque. Il est conseillé aux entreprises de mettre l’accent sur le respect des normes de protection de la vie privée afin de minimiser les conséquences négatives, car le respect de ces normes est essentiel pour préserver une image positive de l’entreprise.
Les amendes renforcent le droit des consommateurs à la vie privée et à la protection contre les communications commerciales non sollicitées. Une application plus stricte de la législation encourage les consommateurs à croire que les organismes de réglementation protègent activement leurs intérêts, ce qui contribue à créer un environnement numérique plus fiable et plus sûr.
L’accent mis sur le consentement donne aux consommateurs plus de pouvoir sur leurs données personnelles et garantit leur contrôle sur les communications qu’ils reçoivent. Les sanctions soulignent à quel point il est important que les entreprises valorisent et respectent les choix des clients afin de créer un environnement numérique où la protection de la vie privée est une priorité absolue.
Récemment, en janvier, la Belgique a accueilli l’inauguration de son agence nationale des données de santé (HDA), créée à la lumière de la loi du 14 mars 2023. Elle vise à établir un paysage de santé numérique sécurisé et respectueux de la vie privée, y compris des méthodes et des politiques pour l’échange de données.
Quelques points d’intérêt liés à l’HDA :
- L’HDA facilitera l’accès aux données sur les soins de santé (objectif principal) pour la recherche, l’élaboration des politiques et l’innovation (traitement secondaire).
- Elle collaborera avec l’écosystème belge des soins de santé pour favoriser le partage des données entre les régions.
- Il gérera un catalogue de données fournissant aux parties intéressées (par exemple, les sociétés pharmaceutiques, les chercheurs, les professionnels de la santé) les détails permettant d’accéder à ces données, tels que le dépositaire, le type de données, la description, entre autres.
- En outre, son cadre opérationnel est conçu pour assurer l’interopérabilité avec le futur EHDS et, selon le rapport 2023 de la HAD, elle jouera le rôle d’organisme d’accès aux données de santé.
La Finlande a été l’un des pionniers en Europe avec une législation spécifique concernant l’utilisation secondaire des données de santé, adoptée en mai 2019 ; la loi sur l’utilisation secondaire des données sociales et de santé qui concerne le traitement des données personnelles pour une utilisation secondaire. La loi réglemente un processus national de demande d’accès (par exemple, environnements sécurisés pour le traitement des données, fourniture de la quantité minimale de données nécessaires dans chaque cas, suppression des identifiants des données) et les tâches de l’Autorité finlandaise d’autorisation des données sociales et de santé (“Findata”).
En outre, Findata dirige la création de formulaires communs pour les demandes concernant l’utilisation secondaire des données de santé pour l’EHDS. Ces formulaires fourniront aux HDAB les informations nécessaires pour évaluer si l’autorisation d’utiliser les données peut être accordée, conformément aux exigences du futur EHDS et du RGPD. Ces formulaires ont été élaborés sur la base des formulaires de demande internes et de l’expérience acquise au cours des cinq années de fonctionnement.
Le Luxembourg National Data Service (LNDS) a été créé en 2022 en tant qu’organisation nationale fournissant des services de données fiables aux instituts publics et gouvernementaux, y compris des données sur la santé. Grâce à cela, le Luxembourg s’est avéré assez avancé en termes d’alignement sur l’EHDS. En outre, il a été chargé de la mise en œuvre nationale de la loi européenne sur la gouvernance des données et collaborera avec le ministère de la santé à la conception de l’organisme d’accès aux données de santé pour le Luxembourg. Elle contribue aussi activement au Data Spaces Support Centre, qui coordonne le développement des neuf espaces de données européens prévus et travaille à l’élaboration de normes communes et à l’interopérabilité entre ces espaces.
L’Allemagne a adopté plusieurs lois pour soutenir la numérisation et l’utilisation des données de santé. Il s’agit notamment de la loi sur le numérique (DigiG), de la loi sur la transparence des hôpitaux et de la loi sur l’amélioration de l’utilisation des données de santé (“GDNG”) (qui vise à développer une infrastructure de données de santé décentralisée). Cette dernière a déjà été approuvée et entrera en vigueur le 1er janvier 2025. Elle prévoit la création d’un laboratoire de données de santé (“Forschungsdatenzentrum Gesundheit”), qui sera un dépôt central de données et un point de coordination permettant d’accéder aux données de recherche provenant de diverses sources, tout en fournissant des données via un environnement de traitement sécurisé. Cette loi vise en particulier à préparer l’Allemagne à l’espace européen des données de santé.
La France a mis en place plusieurs plateformes d’accès aux informations de santé. La plus notable est le Health Data Hub. Créé en 2019, il a centralisé et structuré le processus permettant aux chercheurs et aux organismes publics d’obtenir l’accès aux données du système de santé français, le Système national des données de santé (SNDS). Le Health Data Hub pilote actuellement l’infrastructure d’utilisation secondaire HealthData@EU pour la mise en œuvre de l’EHDS.
Afin d’harmoniser davantage la gouvernance des données de santé au niveau local, un Comité stratégique pour les données de santé a été créé en 2023, qui fournit aux établissements de santé des données de santé normalisant les demandes d’accès et l’évaluation conformément aux règles de gouvernance nationales (EIT Health France, 2024).
Les services partagés du ministère de la santé (SPMS) ont le statut d’agence nationale de santé en ligne au Portugal et gèrent les systèmes d’information qui soutiennent l’activité quotidienne des professionnels de la santé dans le système national de santé portugais.
Au sein du SPMS, un groupe de coordination des demandes d'”utilisation secondaire des données de santé” a été créé pour gérer les demandes de données de santé à des fins d’utilisation secondaire. Ce groupe examine les demandes à soumettre au délégué à la protection des données, en garantissant un point d’entrée unique et une méthodologie transparente pour les chercheurs. Il gère et supervise l’ensemble du processus, de la demande au partage des données. Enfin, une action financée par l’UE vise à la mise en œuvre technique de l’organisme d’accès aux données de santé au Portugal (HealthData@PT).
La volonté des États membres d’anticiper la mise en œuvre de l’EHDS est bien accueillie. Dans l’ensemble, les avantages de l’EHDS pour les patients et les parties prenantes sont largement acceptés. Ces avantages vont de la facilité d’accès, d’une part, à la confiance, à la transparence et au respect des règles, d’autre part. Nonobstant ce qui précède, des discussions sont toujours en cours concernant l’interaction entre le RGPD et d’autres législations liées à la santé.