3 Juillet, 2024
L’Europe est actuellement à la pointe de son approche de l’avenir des données de santé. Celle-ci vise deux objectifs principaux : promouvoir la numérisation des dossiers médicaux et stimuler la recherche. L’archivage des données permettra notamment aux patients d’y accéder plus facilement, tandis que l’accès aux données de santé sera facilité par leur anonymisation ou pseudonymisation, y compris pour d’autres utilisations secondaires d’intérêt public. De plus, cela présente de nombreux avantages, notamment la possibilité de consulter des patients à l’étranger si le patient le souhaite.
Notre article précédent présentait les grandes lignes de l’Espace européen des données de santé (EHDS), notamment ses principaux objectifs, l’origine de la proposition, les éléments relatifs à ce cadre et ses principaux défis. La procédure réglementaire de mise en œuvre de l’EHDS est à un stade avancé. Il est donc temps d’analyser son évolution et les progrès réalisés par les institutions européennes et les États membres.
Le parcours législatif
La pertinence de ce cadre ne peut passer inaperçue, et c’est l’une des principales raisons du délai écoulé entre la proposition de règlement de la Commission européenne (mai 2022) et le récent accord politique entre le Parlement européen et le Conseil sur la proposition de la Commission au printemps 2024.
Malgré les divergences et les approches fragmentées au sein des États membres concernant le cadre proposé pour les données de santé numériques dans l’UE, des progrès significatifs ont été réalisés ces derniers mois. Point crucial: le Conseil et le Parlement européen sont parvenus à un accord provisoire sur le texte final de l’EHDS le 15 mars 2024, accueillant chaleureusement les industries des sciences de la vie (et connexes). L’EHDS est donc en phase finale d’adoption, et les points les plus pertinents ont été convenus.
L’interopérabilité est essentielle
Même après l’adoption du règlement, la réussite du cadre repose sur la participation active des États membres. Certes, cette dernière n’impose actuellement aucune obligation matérielle de mettre en place des systèmes ou d’harmoniser les systèmes existants pour le partage transfrontalier des dossiers médicaux électroniques. Cela dit, certaines juridictions ont déjà pris des initiatives en ce sens, en dehors des négociations au niveau européen. Cela pourrait s’expliquer par plusieurs facteurs. Par exemple, la sensibilisation du marché aux avantages que cela apporterait à la prestation de soins de santé nationale, à la recherche et à l’innovation, ou l’anticipation de l’approbation du dossier médical électronique au niveau européen, ce qui a conduit à une approche proactive.
Par exemple, 13 États membres ont lancé le développement de systèmes nationaux plus centralisés pour faciliter l’accès aux données. Cependant, l’absence de coordination au niveau européen entraîne actuellement des systèmes fragmentés, aux missions variées malgré des similitudes. Certains États membres ont créé des organismes d’accès aux données de santé, tels que Findata, le Data Hub français et le Forschungsdatenzentren allemand, entre autres.
Dans sa volonté d’améliorer la santé numérique et de rationaliser ces efforts dans tous les États membres, la directive européenne sur la santé numérique (EHDS) demeure une proposition ambitieuse. Cela dit, l’EHDS recèle un potentiel considérable, à condition que sa mise en œuvre soit généralisée et appropriée.
Quoi qu’il en soit, l’interopérabilité normalisée est cruciale, et le texte approuvé contient plusieurs éléments pour y parvenir:
Il définit deux composants logiciels obligatoires pour la gestion des dossiers médicaux électroniques utilisés à des fins principales. L’un est appelé « composant d’interopérabilité européenne pour les systèmes de dossiers médicaux électroniques » et l’autre « composant d’enregistrement européen pour les systèmes de dossiers médicaux électroniques »;
Il établit une infrastructure transfrontalière, permettant ainsi l’utilisation des données de santé électroniques à des fins principales et secondaires ; et
Il établit une coordination et une gouvernance aux niveaux national et européen pour atteindre ses objectifs.
Principaux éléments de la fiche de données de santé
Il est important de souligner que la fiche de données de santé sera complémentaire du RGPD. Par conséquent, tous les rôles et acteurs de ce dernier joueront un rôle important dans ce nouveau contexte. Cela dit, la fiche de données de santé apportera de nouveaux paramètres, ainsi que la nécessité d’une interaction efficace:
- Titulaire de données de santé: alinéa 2.2(y) de la proposition. Il s’agit principalement de toute personne physique ou morale, autorité publique, entité, agence ou autre organisme, y compris les institutions de l’Union, œuvrant dans le secteur des soins de santé ou des soins, ainsi que des entités qui leur sont étroitement liées. Cela inclut notamment les personnes effectuant des recherches dans le secteur des soins de santé ou des soins, qui:
o Sont soumises à l’obligation légale de traiter des données de santé électroniques à caractère personnel;
o Sont en mesure de traiter des données de santé électroniques non personnelles grâce au contrôle de la conception technique d’un produit et des services associés
Ce concept étendu est notamment directement lié à l’article 33 du texte, qui prévoit l’obligation pour ces organismes de mettre à disposition des données électroniques pour une utilisation secondaire, conformément à cette clause.
- Utilisateur des données de santé: Article 2.2(z) de la proposition. Il s’agit de toute personne physique ou morale, y compris les institutions de l’UE, à qui un accès légal aux données de santé électroniques a été accordé pour une utilisation secondaire, conformément à une autorisation, une demande ou une approbation d’accès par un participant autorisé à Health Data@EU. Bien que cette autorisation soit directement liée aux finalités légales énumérées à l’article 34, le secteur d’activité auquel appartiennent ces utilisateurs n’est pas pertinent pour une telle autorisation. Cela signifie que, contrairement au concept précédent, les utilisateurs de données ne doivent pas nécessairement appartenir au secteur de la santé ou à un secteur connexe.
- Organisme d’accès aux données de santé (HDAB): Articles 36 à 39 de la proposition. Il s’agit des organismes chargés d’accorder l’accès aux données de santé électroniques à des fins secondaires. Les États membres ont l’obligation d’en désigner un (ou plusieurs s’ils optent pour une approche régionale, un coordinateur fédéral et un point de contact devant toutefois être désignés dans ce cas) et de leur fournir les ressources nécessaires à leur fonctionnement. En ce qui concerne leur interaction avec les comités d’éthique nationaux, la proposition limite cette interaction à deux situations: elle souligne l’obligation des HDAB de coopérer avec eux et de les impliquer dans l’évaluation des demandes relatives aux données de santé pseudonymisées lorsque la législation nationale l’exige.
- Données de santé@UE: Article 52 de la proposition. Il s’agit de l’infrastructure transfrontalière pour l’utilisation secondaire des données de santé électroniques. Elle reliera le point de contact national et fournira une plateforme centralisée visant à garantir un environnement de traitement sécurisé. Elle sera gérée par la Commission européenne et permettra au point de contact national, aux participants autorisés (par exemple, les pays tiers ou les organisations internationales respectant les mesures nécessaires pour que les États membres renforcent leur capacité à interagir dans le cadre du système européen de données de santé) et aux organismes de l’UE participant à la recherche ou à la politique de santé (par exemple, l’Agence européenne des médicaments, entre autres) de se connecter et de participer au système HealthData@EU. Pour cela, ils devront acquérir les compétences techniques requises.
Évolution au niveau national
Comme annoncé au début de cet article, certains pays ont développé ces dernières années leur infrastructure et leur fonctionnement en lien avec l’EHDS. Ce niveau de préparation nécessite diverses actions. Celles-ci incluent l’infrastructure de traitement des données de santé, les dispositions légales, les initiatives de gouvernance des données, l’affectation des ressources, la création d’une Autorité des données de santé et le renforcement des capacités pour la connexion à HealthData@EU (pour une utilisation primaire et secondaire). Dans le cadre de cet article, nous nous concentrerons sur les étapes de création d’une Autorité de santé ou d’un point de contact et sur l’état de l’infrastructure permettant d’interagir avec la plateforme centrale de partage de données pour une utilisation secondaire.
Impact sur les entreprises et les particuliers
Les amendes substantielles ont un effet dissuasif puissant et témoignent de l’engagement de l’ICO à sanctionner les entreprises qui ne respectent pas les réglementations en matière de confidentialité. Ces sanctions constituent un message clair pour les entreprises : elles doivent réévaluer leurs stratégies marketing et s’assurer de leur conformité avec les directives du PECR afin d’éviter toute atteinte à leur réputation et de préserver la confiance de leurs clients.
Les entreprises reconnues coupables d’infraction s’exposent non seulement à des sanctions financières, mais également à une atteinte potentielle à leur réputation, ce qui pourrait nuire à la confiance des consommateurs et à leur image de marque. Il est conseillé aux entreprises de mettre l’accent sur le respect des normes de confidentialité afin de minimiser les conséquences négatives, car le respect de ces normes est essentiel à la préservation d’une image de marque positive.
Les amendes renforcent le droit des consommateurs à la vie privée et à la protection contre les communications marketing non sollicitées. Une application plus stricte de la loi encourage les consommateurs à avoir confiance dans la protection active de leurs intérêts par les organismes de réglementation, contribuant ainsi à créer un environnement numérique plus fiable et plus sûr.
L’accent mis sur le consentement donne aux consommateurs davantage de pouvoir sur leurs données personnelles et garantit leur contrôle sur les communications qu’ils reçoivent. Ces sanctions soulignent l’importance pour les entreprises de valoriser et de respecter les choix des clients afin de créer un environnement numérique où la confidentialité est une priorité absolue.
En janvier dernier, la Belgique a inauguré son Agence nationale des données de santé (ADS), créée conformément à la loi du 14 mars 2023. Son objectif est d’établir un environnement de santé numérique sécurisé et respectueux de la vie privée, incluant des méthodes et des politiques d’échange de données.
Points importants concernant l’ADS:
- L’ADS facilitera l’accès aux données de santé (objectif principal) pour la recherche, l’élaboration des politiques et l’innovation (traitement secondaire)
- Elle collaborera avec l’écosystème belge des soins de santé afin de favoriser le partage de données entre les régions
- Elle gérera un catalogue de données fournissant aux parties intéressées (entreprises pharmaceutiques, chercheurs, professionnels de santé, etc.) les informations nécessaires à l’accès à ces données, telles que le dépositaire, le type de données, la description, etc.
- De plus, son cadre opérationnel est conçu pour assurer l’interopérabilité avec le futur EHDS et, selon le rapport 2023 de l’ADS, elle jouera le rôle d’organisme d’accès aux données de santé
La Finlande a été l’un des pays pionniers en Europe avec une législation spécifique relative à l’utilisation secondaire des données de santé, adoptée en mai 2019: la Loi sur l’utilisation secondaire des données de santé et sociales, qui concerne le traitement des données personnelles à des fins secondaires. Cette loi régit la procédure nationale de demande d’accès (par exemple, la sécurisation des environnements de traitement des données, la fourniture du minimum de données nécessaires dans chaque cas, la suppression des identifiants des données) et les missions de l’Autorité finlandaise des autorisations relatives aux données sociales et de santé (« Findata[1] »).
De plus, Findata pilote la création de formulaires communs pour les demandes d’utilisation secondaire des données de santé pour l’EHDS. Ces formulaires fourniront aux organismes de gestion des données les informations nécessaires pour évaluer si l’autorisation d’utilisation des données peut être accordée, conformément aux exigences de l’EHDS à venir et du RGPD. L’élaboration de ces formulaires s’appuie sur leurs formulaires de demande internes et sur l’expérience acquise au cours de leurs cinq années d’existence.
Le Service national des données luxembourgeois (LNDS) a été créé en 2022 en tant qu’organisation nationale fournissant des services de données fiables aux instituts publics et gouvernementaux, y compris les données de santé. Grâce à cela, le Luxembourg a prouvé être assez avancé en termes d’alignement avec l’EHDS. En outre, il a été chargé de la mise en œuvre nationale de la loi européenne sur la gouvernance des données et collaborera avec le ministère de la Santé à la conception de l’organisme d’accès aux données de santé pour le Luxembourg. Il contribue également activement au Centre de soutien aux espaces de données, qui coordonne le développement des neuf espaces de données européens prévus et œuvre à l’élaboration de normes communes et à l’interopérabilité entre eux.
L’Allemagne a adopté plusieurs lois pour soutenir la numérisation et l’utilisation des données de santé. Il s’agit notamment de la loi sur le numérique (DigiG), de la loi sur la transparence hospitalière et de la loi visant à améliorer l’utilisation des données de santé (« GDNG ») (visant à développer une infrastructure décentralisée de données de santé). Cette dernière a déjà été approuvée et entrera en vigueur le 1er janvier 2025. Elle prévoit la création d’un laboratoire de données de santé (« Forschungsdatenzentrum Gesundheit »), qui sera un référentiel de données central et un point de coordination pour permettre l’accès aux données de recherche provenant de diverses sources, tout en fournissant des données via des environnements de traitement sécurisés. Cette loi vise notamment à préparer l’Allemagne à l’espace européen des données de santé.
La France a mis en place plusieurs plateformes d’accès aux informations de santé. La plus notable est le Health Data Hub. Créé en 2019, il centralise et structure le processus d’accès des chercheurs et des organismes publics aux données du Système national de données de santé (SNDS). Le Health Data Hub pilote actuellement l’infrastructure d’utilisation secondaire HealthData@EU pour la mise en œuvre du SNDS.
Afin d’harmoniser davantage la gouvernance des données de santé au niveau local, un Comité stratégique des données de santé a été créé en 2023. Il fournit aux établissements de santé une base de données standardisée pour les demandes d’accès et leur évaluation, conformément aux règles de gouvernance nationales (EIT Santé France, 2024).
Les Services Partagés du Ministère de la Santé (‘SPMS’) ont le statut d’Agence Nationale de Santé en ligne au Portugal et gèrent les systèmes d’information qui soutiennent l’activité quotidienne des professionnels de la santé du Système National de Santé Portugais.
Au sein du SPMS, un groupe de coordination pour les demandes « d’utilisation secondaire des données de santé » a été créé afin de gérer les demandes d’utilisation secondaire des données de santé. Ce groupe examine les demandes soumises au délégué à la protection des données, garantissant ainsi un point d’entrée unique et une méthodologie transparente pour les chercheurs, de la demande au partage des données. Il gère et supervise l’ensemble du processus, de la demande au partage des données. Enfin, une action financée par l’UE vise à la mise en œuvre technique de l’organisme d’accès aux données de santé au Portugal (HealthData@PT).
La volonté des États membres d’anticiper la mise en œuvre de l’EHDS est bien accueillie. Globalement, les avantages de l’EHDS sont largement reconnus, tant pour les patients que pour les parties prenantes. Ces avantages vont de la facilité d’accès, d’une part, à la confiance, la transparence et la conformité, d’autre part. Malgré ce qui précède, des discussions d’actualité sont toujours en cours concernant l’interaction entre le RGPD et d’autres législations relatives à la santé.
Author: Victoria Derumier
