Vendredi 22 mars 2024, le Conseil de l’Union (par l’intermédiaire des représentants permanents des 27 Etats membres du COREPER) a voté massivement en faveur du texte du Règlement résultant de l’accord politique conclu le 14 mars dernier entre le Conseil, le Parlement et la Commission.
Pour rappel, le Règlement pour un espace européen des données de santé (ci-après désigné « Règlement EEDS ») élabore un cadre réglementaire pour le premier des espaces de données sectoriels prévus dans la stratégie européenne en matière de données qui vise, in fine, à créer un marché unique des données dans l’UE. Cette stratégie s’inscrit elle-même dans le cadre de la Décennie numérique pour l’Europe 2020-2030, présentée par la Commission européenne en mars 2021.
Le Règlement EEDS a pour principaux objectifs de réguler le partage des données de santé en Europe pour le soin transfrontalier (utilisation primaire des données de santé) ; créer un marché unique pour les dossiers médicaux électroniques (ci-après désignés « DME ») ; permettre la réutilisation des données de santé pour l’élaboration des politiques publiques, la recherche et l’innovation (utilisation secondaire des données de santé) ; renforcer les droits des personnes concernées sur leurs données de santé ; et mettre en place une gouvernance européenne du numérique en santé.
Le Règlement vise à mettre en place un cadre juridique sécurisé visant à développer le traitement de données de santé électroniques pour la fourniture de services de santé (l’utilisation primaire) visant à évaluer, maintenir ou rétablir l’état de santé des personnes, y compris la prescription, la dispensation et la fourniture de médicaments et de dispositifs médicaux et le recours aux services de sécurité sociale, administratifs ou de remboursement.
Il vise à faciliter l’accès des personnes aux données de santé électroniques, qu’elles se trouvent dans leur pays d’origine ou dans un autre Etat membre. Pour ce faire, il crée un espace où les personnes physiques pourront facilement accéder à leurs données de santé, les partager et les gérer, dans le cadre de leur mobilité au sein de l’Union européenne, à l’occasion de leur prise en charge par des professionnels de santé. Il établit alors que chaque personne physique a le droit d’accéder immédiatement, gratuitement et sous une forme facilement lisible et accessible à ses données personnelles de santé électroniques dans un dossier de santé électronique unifié. Ce dossier couvre les données de santé fournies par l’individu, par d’autres personnes ou traitées par des moyens automatisés en rapport avec la santé ou le bien-être de la personne.
Le Règlement fixe les catégories de données de santé à intégrer en priorité dans ce dossier, établit un cadre commun d’interopérabilité et introduit un format européen d’échange des dossiers médicaux électroniques afin de garantir l’accès aux données de santé des individus par les professionnels de santé dans le cadre des soins transfrontaliers. Il définit également les modalités d’accès des professionnels de santé aux données de santé, imposant une authentification forte.
Par ailleurs, le Règlement rend obligatoire la participation des Etats membres à l’infrastructure européenne commune de partage des données de santé MyHealth@EU et leur impose ainsi de fournir à l’échelle nationale des services d’accès aux données de santé sur la base de cette infrastructure.
Enfin, il consacre un ensemble de droits pour les patients à l’égard de leurs données personnelles de santé électroniques, notamment les droits d’accès, de rectification, de modification, mais également le droit à la portabilité des données et le droit d’intégrer directement des données dans leur dossier patient. De plus, le Règlement leur accorde également un droit de masquage, leur permettant de s’opposer à l’accès par certains professionnels de santé à leurs données de santé ou encore d’opter pour des informations restreintes. Dans une telle situation, les professionnels de santé ne pourront alors accéder aux données de santé que dans des situations d’importance vitale (accès « bris de glace »).
Le Règlement impose aux Etats membres de désigner une « Autorité nationale de santé » qui sera chargée de veiller à la bonne application à l’échelle nationale de ses dispositions relatives à l’utilisation primaire des données de santé.
Pour les chercheurs, les acteurs de l’innovation, et les responsables de politiques publiques en santé, le Règlement garantit un cadre commun de réutilisation des données de santé pertinentes (l’utilisation secondaire). Il vise à mettre en place un dispositif cohérent, fiable et efficace qui permet l’échange et la réutilisation massive des données de santé à des fins de recherche, d’innovation, d’élaboration des politiques et de réglementation.
Il définit ainsi les catégories minimales de données de santé que les détenteurs devront obligatoirement mettre à disposition à des fins d’utilisation secondaire, dresse une liste exhaustive des finalités de réutilisation autorisées et précise les modalités de la mise à disposition de ces données de santé dans une procédure fondée sur le rôle central accordé à des organismes d’accès aux données de santé. Ces derniers seront désignés par les Etats membres et auront notamment pour mission d’étudier la recevabilité des demandes d’accès aux données à des fins de réutilisation et, le cas échéant, de réclamer aux détenteurs de données la fourniture de ces données puis de les mettre à disposition des utilisateurs dans un environnement de traitement sécurisé.
Par ailleurs, le Règlement consacre la création de la plateforme HealthData@EU, une infrastructure transfrontalière dédiée à l’utilisation secondaire des données de santé, à laquelle les Etats membres seront également tenus de participer.
Enfin, le Règlement renforce les droits des personnes concernées à l’égard de leurs données de santé dans le contexte de l’utilisation secondaire. Il renforce dans un premier temps leur droit à l’information, imposant aux organismes d’accès aux données et aux détenteurs de données de respecter les obligations du Règlement général sur la protection des données (articles 13 et 14) mais aussi d’adresser aux personnes concernées des informations supplémentaires relatives au traitement de leurs données de santé à des fins d’utilisation secondaire. De plus, dans un second temps, le Règlement accorde aux personnes un droit Sui generis d’opposition à l’utilisation secondaire de leurs données de santé. Ce droit est uniformisé à l’échelle de l’Union et doit obligatoirement être mis en place dans tous les Etats membres de façon à permettre aux personnes de s’opposer facilement, à tout moment, sans justification et de manière réversible. Ce droit n’est toutefois pas absolu, le Règlement permet en effet aux Etats membres d’écarter son application - sous certaines conditions strictes - dès lors que l’accès aux données est essentiel pour des raisons d’intérêt public (en lien avec la santé publique ou la santé au travail) ; la recherche scientifique d’intérêt public, l’élaboration de politiques et de réglementations relatives à la santé ou aux soins ; ou la production de statistiques liées à la santé ou aux soins.
En outre, le Règlement crée pour les fournisseurs et industriels un véritable marché unique européen des produits et services de santé numériques, en harmonisant les règles en vigueur afin de favoriser l’efficacité du système de santé. Il fixe alors des obligations à la charge des opérateurs économiques de DME et précise les exigences de leur mise en conformité. Il crée également des autorités de surveillance du marché ainsi qu’une base de données européenne pour les DME certifiés et les applications de bien-être labellisées.
Enfin, le Règlement consacre de nouvelles modalités de gouvernance du numérique en santé en Europe et met ainsi un terme au régime de l’article 14 de la directive 2011/24/UE sur les soins transfrontaliers. Il prévoit la mise en place d’un Comité de l’EEDS, co-présidé par un représentant de la Commission européenne et un représentant des Etats membres, qui réunit à la fois des représentants de haut niveau des autorités de santé numérique et des organismes d’accès aux données de santé de tous les Etats membres et des observateurs, experts, parties prenantes pertinents.
Fraîchement adopté au Conseil de l’Union, le projet de Règlement devra ensuite être définitivement adopté par le Parlement européen (le vote en commission est prévu le 9 avril et sera suivi d’un vote en session plénière le 24 avril). Il sera ensuite soumis au travail des juristes linguistes, avant d’être publié au Journal Officiel de l’UE. Il entrera enfin en vigueur 20 jours après cette date et sera soumis à une entrée en application graduée (entre 2 et 9 années après son entrée en vigueur).
Jeanne BOSSI MALAFOSSE, associée, et Grégoire PETYT, stagiaire