Blog Sciences du vivant

La Commission européenne présente son projet de règlement sur l’espace européen des données de santé (EEDS)

Présenté le mardi 3 mai 2022 par la Commissaire européenne à la santé et à la sécurité alimentaire Stella Kyriakydes, le projet de règlement sur l’espace européen des données de santé [1] (« European Health Data Space »), est le dernier ajout en date à la stratégie digitale élaborée par la Commission en 2020 et la première des initiatives sectorielles annoncées par le projet de règlement sur la gouvernance des données, récemment adopté par le Parlement Européen [2].

Ses dispositions concernent aussi bien l’usage dit « primaire » des données de santé, par les personnes elles-mêmes ou dans un environnement de soin, que leur usage dit « secondaire », notamment à des fins de recherche scientifique. Il met en place les infrastructures communes, les normes d’interopérabilité et de sécurité et méthodes de certification nécessaires au traitement, à l’utilisation et au partage des données de santé au sein des Etats-membres.

Un renforcement de l’accès et du contrôle des données de santé dans un environnement de soin

L’article 3 du projet de règlement prévoit l’adaptation des droits d’accès [3], de rectification [4], de portabilité [5] des données de santé détenues sous format électronique dans le cadre du soin. A cette fin, il impose aux Etats membres la création de services dédiés à l’exercice de ces droits.

Les articles 4, 5 et 6 sont dévolus à la mise en place d’un accès transfrontalier aux données par les professionnels de santé. Les Etats membres devront mettre en place de façon prioritaire l’accès et l’échange de certaines catégories de données de santé, dossiers médicaux, prescriptions, imageries, détenues sous format électronique [6].

Une plateforme centrale dédiée à ces échanges transfrontaliers de données de santé (« MyHealth@EU ») sera mise en place et prendra appui sur différents points de contact nationaux [7]. Afin que cet accès transfrontalier soit effectif, l’article 6 prévoit un format commun d’échange des dossiers médicaux dont les caractéristiques devraient être fixées par la Commission.

D’autre part, l’article 12 du projet prévoit que les points de contact nationaux agissent en tant que responsables conjoints du traitement, la Commission étant désignée en tant que sous-traitant.

Création d’un cadre européen pour la réutilisation des données de santé

La réutilisation des données de santé, notamment à des fins de recherche scientifique ou pour raisons d’intérêt public, est encadrée par le chapitre IV du projet de règlement. A ce titre, plusieurs types d’accès aux données sont envisagés. Dans tous les cas, les articles 33, 34 et 35 du projet de règlement fixent les données communicables, les usages secondaires autorisés ainsi que ceux interdits.

Les Etats membres devront mettre en place une « autorité d’accès » chargée d’examiner les demandes détaillées des organismes souhaitant procéder à une réutilisation et le cas échéant, de leur délivrer un permis [8]. Une fois octroyé, le permis fait l’objet d’une reconnaissance mutuelle au sein de l’Union [9] et l’autorité met à disposition les données concernées dans un environnement sécurisé [10], moyennant anonymisation ou lorsque cette dernière est impossible, pseudonymisation [11]. Notons par ailleurs que l’autorité d’accès et les organismes réutilisateurs auront tous deux la qualification de responsables conjoints au sens du RGPD [12]. Dans le cas où les données visées sont entre les mains d’un seul détenteur, le projet de règlement prévoit que ce dernier, et non l’autorité d’accès, réceptionne et traite la demande [13].

En retour, le réutilisateur devra se conformer aux conditions énoncées par le permis, en termes de finalité, de durée, de sécurité ou autres conditions spécifiques fixées par lors de la délivrance. Dans le cas contraire, l’autorité d’accès est habilitée à infliger des sanctions, qui vont de la révocation du permis à l’interdiction de tout accès en vertu du présent règlement pendant une période ne pouvant excéder 5 ans [14].

Si l’organisme réutilisateur aura toujours à démontrer qu’il dispose d’une base légale en vertu de l’article 6 du RGPD, le projet de règlement entend constituer cette base légale pour tous les traitements de mise à disposition des données de santé, y compris lorsque tout ou partie des données concernées ont été collectées avec recueil du consentement tel qu’exigé par le droit d’un état membre [15].

L’article 52 du projet de règlement prévoit la mise en place d’une infrastructure d’interconnexion des autorités d’accès nationales, dédiée aux projets transfrontaliers de réutilisation (« HealthData@EU »). Cette structure sera largement placée sous la supervision de la Commission européenne.

Conditions de mise sur le marché de systèmes et logiciels de dossiers patient informatisés

Alors que le projet initial devait comporter un système de certification par des tiers pour les systèmes et logiciels de dossiers patient informatisés, les concepteurs du projet ont souhaité proposer un système d’auto-certification moins contraignant [16].

Leurs fabricants auront l’obligation de soumettre ces systèmes à un examen préalablement à toute mise sur le marché, visant à garantir leur qualité, sécurité et interopérabilité. Ils effectueront eux-mêmes les déclarations de conformité, les formalités d’enregistrement et l’apposition du marquage CE [17].

Une autorité désignée par les Etats membres devra assurer la surveillance du marché [18].


[1Projet de règlement sur l’espace européen des données de santé (« European Health Data Space »), COM (2022) 197.

[2Projet de règlement sur la gouvernance des données (« Data Governance Act »), COM (2020) 767.

[3Article 15 du RGPD.

[4Article 16 du RGPD.

[5Article 20 du RGPD.

[6Article 5 du projet de règlement.

[7Article 12 du projet de règlement.

[8Articles 45 et 46 du projet de règlement.

[9Article 54 du projet de règlement.

[10Article 50 du projet de règlement.

[11Article 44 du projet de règlement.

[12Article 51 du projet de règlement.

[13Article 49 du projet de règlement.

[14Article 43 du projet de règlement.

[15Article 33 et considérant 37 du projet de règlement.

[16Chapitre III du projet de règlement.

[17Articles 26, 27 et 32 du projet de règlement.

[18Article 28 du projet de règlement.