EXAMEN EN COMMISSION
__________
La commission des affaires européennes s'est réunie le mercredi 5 juillet 2023. Le débat suivant s'est engagé :
M. Jean-François Rapin, président. - Mes chers collègues, nous allons maintenant aborder le second point de notre ordre du jour : l'espace européen des données de santé, dont la Commission européenne a, dès 2019, annoncé la création comme l'une des priorités de sa mandature. Dans une communication de mai 2022, elle déclarait que la numérisation est essentielle pour l'avenir des soins de santé, notamment pour soutenir la lutte contre le cancer et assurer la continuité des soins dans l'ensemble de l'Union européenne. Le 3 mai 2022, elle a présenté la proposition de règlement du Parlement européen et du Conseil relatif à l'espace européen des données de santé, COM(2022) 197 final.
Ce texte vise à établir des règles, des infrastructures et un cadre de gouvernance pour l'utilisation des données de santé. Cette proposition de règlement concerne donc à la fois le secteur de la santé et le secteur du numérique. Elle doit ainsi s'articuler avec le règlement général sur la protection des données (RGPD), d'une part, et avec le règlement sur la gouvernance des données et le Data Act sur lequel que notre commission s'est déjà penché, d'autre part.
L'enjeu de ce texte est donc de déterminer un cadre pour le traitement des données de santé au sein de l'Union européenne qui permette de garantir les droits des personnes physiques concernées et la protection de ces données.
Je remercie les rapporteurs Laurence Harribey et Pascale Gruny, que notre commission mobilise beaucoup sur les questions de santé en Europe depuis l'épidémie de Covid, de nous présenter leurs propositions pour satisfaire à ces exigences.
Mme Laurence Harribey, rapporteure. -La Commission européenne a en effet présenté le 3 mai 2022 la proposition de règlement relatif à l'espace européen des données de santé. Ce texte a pour objectif de déterminer dans quelles conditions les données de santé électroniques pourront être traitées, d'une part à des fins d'utilisation primaire, c'est-à-dire dans le but de fournir des services de santé à la personne physique concernée, et d'autre part, à des fins d'utilisation secondaire énumérées à l'article 34 de la proposition de règlement et parmi lesquelles figure la recherche.
Dans le cadre du traitement des données de santé à des fins d'utilisation primaire, la proposition de règlement prévoit la création d'une infrastructure dénommée MyHealth@EU, dont l'objectif est de faciliter l'échange de données de santé d'un patient d'un État membre à l'autre. Ces données figureront dans un dossier médical électronique dont la Commission entend harmoniser les spécificités.
Concernant le traitement à des fins d'utilisation secondaire, les détenteurs de données de santé devront informer les organismes responsables de l'accès aux données désignés dans chaque État membre des données dont ils disposent. Un catalogue de ces données sera disponible sur une infrastructure européenne dénommée HealthData@EU que les utilisateurs potentiels de données pourront consulter. Ils effectueront alors une demande d'accès aux données qui sera examinée par l'organisme responsable de l'accès aux données. Si l'accès est autorisé, celui-ci se fera dans un environnement de traitement sécurisé.
Sur le principe, le traitement des données de santé présente un intérêt certain. Tout d'abord, il s'agit de faciliter la prise en charge des patients tant à l'échelle nationale que dans le cadre de soins transfrontières. En outre, la réutilisation des données de santé à des fins de recherche permettra de faire progresser celle-ci. Par exemple, pour les maladies rares, la mise en commun des données de santé issues de chaque État membre pourrait permettre de composer un ensemble suffisamment significatif. Dès lors, nous avons souhaité soutenir la proposition de règlement sur le principe, tout en insistant sur le fait que le traitement des données de santé devait avoir un impact positif sur la santé des patients et que celui-ci devait se faire dans le respect des règles du RGPD, dans un cadre qui permette de garantir la sécurité des données et une gouvernance partagée.
Il nous paraît tout d'abord essentiel de garantir que cet espace européen des données de santé aura un impact bénéfique pour les patients, que ce soit dans la mise en oeuvre ou dans les modalités de financement.
En premier lieu, nous souhaitons que l'infrastructure MyHealth@EU qui permettra aux professionnels de santé d'un État membre de se connecter au dossier médical électronique d'un patient originaire d'un autre État membre puisse bien assurer la traduction des données nécessaires à la prise en charge du patient. En outre, nous jugeons nécessaire de rappeler que l'utilisation secondaire des données de santé doit être circonscrite aux finalités présentant un lien suffisant avec la santé publique ou la sécurité sociale. Enfin, la proposition de règlement n'a pas, pour nous, vocation à organiser la fourniture de soins de santé au sein de l'Union européenne et c'est pour cela que nous demandons la suppression de l'article 8 du texte qui traite de la télémédecine.
Par ailleurs, la création de cet espace européen des données de santé aura un coût important. La Commission prévoit une contribution du budget de l'Union de 810 millions d'euros et les États membres ont affecté 12 milliards d'euros, au titre de la facilité pour la reprise et la résilience, à des investissements pour la santé, y compris la santé numérique et l'utilisation secondaire des données de santé. Ces dépenses doivent être envisagées comme un investissement. En effet, selon l'étude d'impact présentée par la Commission européenne, le dossier médical électronique permettra d'éviter de répéter des tests qui ont déjà été effectués et de saisir à nouveau les résultats de ces tests. Le gain de temps peut être déterminant pour le patient et des économies substantielles pourraient être réalisées, tant pour les services de santé que pour les patients avec des économies s'élevant respectivement à 4,6 milliards et 4,3 milliards d'euros selon la Commission. En outre, la proposition de règlement prévoit la création d'un système de redevances dans le cadre du traitement à des fins d'utilisation secondaire des données de santé. Ces redevances seraient payées par les utilisateurs de données aux organismes responsables de l'accès aux données. Les détenteurs de données pourront également bénéficier d'une contrepartie en échange de la mise à disposition de leurs données. Sur ce sujet, nous recommandons la création d'un système de redevances permettant de moduler leur montant selon que la finalité du traitement a pour objectif de générer un bénéfice commercial ou non. Enfin, ces données de santé ont une valeur particulièrement importante pour les entreprises pharmaceutiques. Or, l'Union européenne et les États membres vont financer les infrastructures nécessaires à la mise à disposition de données qui auront été fournies gratuitement par les patients. Nous souhaitons donc qu'une réflexion soit engagée pour conditionner l'accès des entreprises pharmaceutiques aux données de santé à leur engagement renforcé en faveur des objectifs de la stratégie pharmaceutique européenne, à savoir, notamment, parer aux besoins médicaux non satisfaits et assurer l'accessibilité et le caractère abordable des médicaments.
Ensuite, concernant la conformité de la proposition de règlement au RGPD, il nous est apparu nécessaire de clarifier certaines dispositions.
Tout d'abord, concernant le consentement des personnes physiques : il faut préciser que le RGPD autorise, à titre dérogatoire, le traitement de données de santé sans le consentement des personnes concernées. Pour le traitement à des fins d'utilisation primaire, nous considérons que la mise à disposition de dossiers médicaux électroniques relève de la compétence des États membres qui sont en charge de l'organisation des soins de santé. Dès lors, nous estimons qu'il appartient aux États membres de déterminer si les patients doivent ou non consentir au traitement de leurs données à des fins d'utilisation primaire. Concernant le traitement à des fins d'utilisation secondaire, la Commission propose de s'appuyer, d'une part, sur l'article 9 du RGPD qui prévoit que le traitement de ces données de santé peut être autorisé pour des motifs d'intérêt public dans le domaine de la santé publique et à des fins de recherche scientifique, et d'autre part, sur l'article 6 du RGPD qui prévoit que le traitement est licite lorsqu'il est autorisé par un texte législatif, ici la proposition de règlement. Ce dispositif permet de ne pas avoir à solliciter le consentement des personnes physiques concernées. Si sur le plan juridique, ce dispositif n'est pas contestable, il nous apparaît néanmoins essentiel de solliciter le consentement des personnes physiques concernées. Celui-ci serait réputé acquis dès lors que les personnes physiques concernées, après avoir été dûment informées, ne manifestent pas d'opposition au traitement de leurs données à des fins d'utilisation secondaire. L'information des personnes concernées et leur consentement restent nécessaires selon nous.
Outre la question du consentement, nous nous sommes intéressées au respect des droits garantis par le RGPD. En ce qui concerne le traitement à des fins d'utilisation primaire, la proposition de règlement tend à conforter les droits prévus par le RGPD en assurant un droit d'accès immédiat et gratuit de chacun à ses données de santé et un droit à la portabilité des données. La proposition de règlement prévoit également un droit de rectification des données de santé qui devra s'exercer avec le concours des professionnels de santé. Ceux-ci devront être tenus d'apporter une réponse argumentée aux demandes de rectification formulées par les patients s'ils ne procèdent pas aux rectifications demandées. Dans le cadre du traitement à des fins d'utilisation secondaire, l'article 38 de la proposition de règlement prévoit uniquement un droit à une information générale sur les finalités du traitement et les données traitées. Nous proposons que ce droit d'information soit individualisé et spécifique, conformément à l'article 14 du RGPD.
Notre collègue Pascale Gruny va maintenant aborder la question de l'accès aux données et de leur sécurité.
Mme Pascale Gruny, rapporteur. - L'objectif de cette proposition de règlement est d'assurer un accès aux données de santé au sein de l'Union européenne. Il s'agit tout d'abord de définir quelles données seront concernées. Dans le cadre du traitement à des fins d'utilisation primaire, nous suggérons d'ajouter les tests de souffle et les électrocardiogrammes à la liste proposée par la Commission. Concernant le traitement à des fins d'utilisation secondaire, nous recommandons de ne pas utiliser les données issues des applications de bien-être qui manquent de fiabilité, à en croire nos interlocuteurs lors des auditions.
Concernant l'accès aux données dans le cadre d'un traitement à des fins d'utilisation primaire, nous recommandons de préciser que les professionnels de santé, dont la définition est particulièrement large, ne puissent accéder aux données que lorsqu'ils en ont besoin pour établir un diagnostic ou délivrer un traitement.
Dans le cadre du traitement à des fins d'utilisation secondaire, nous estimons que toute demande d'accès aux données doit faire l'objet d'un examen préalable par un organisme responsable de l'accès aux données, examen sur lequel sera fondée la décision d'autoriser l'accès ou de le refuser. Dès lors, un accès aux données ne devrait pas pouvoir être accordé lorsque l'organisme responsable de l'accès aux données n'a pas répondu dans le délai imparti comme le propose la Commission. En outre, les utilisateurs de données ne devraient pas pouvoir s'adresser directement à un détenteur de données unique pour obtenir l'accès aux données dont celui-ci dispose. Enfin, les organismes du secteur public et des institutions, organes et organismes de l'Union devraient également, à notre sens, obtenir une autorisation pour pouvoir accéder aux données, sauf cas d'urgence de santé publique.
La sécurité des données est un autre enjeu essentiel de cette proposition de règlement. Afin de garantir cette sécurité, nous estimons nécessaire que les systèmes de dossiers médicaux électroniques fassent l'objet d'une certification par un tiers, à savoir un organisme notifié et enregistré au niveau de l'Union européenne.
De plus, les données seront fournies dans un environnement de traitement sécurisé dans un format anonymisé. La proposition de règlement prévoit que l'organisme responsable de l'accès aux données peut fournir ces données dans un format pseudonymisé à l'utilisateur qui justifie sa demande. Contrairement aux données anonymisées, les données pseudonymisées donnent un certain nombre d'informations sur la personne concernée qui peuvent permettre plus facilement une réidentification. Dès lors, nous souhaitons rappeler que la fourniture de donnés pseudonymisées doit rester l'exception et que toute tentative de réidentification par un utilisateur doit entraîner pour ce dernier l'interdiction d'accès aux données pour une période de cinq ans, soit la sanction maximale prévue par la proposition de règlement, en complément de sanctions civiles et pénales nationales.
Les données anonymisées sont considérées comme des données à caractère non personnel. L'article 5 du règlement sur la gouvernance des données prévoit que la Commission est habilitée à adopter des actes délégués fixant des conditions particulières applicables au transfert vers des États tiers des données de santé à caractère non personnel. En parallèle, la Commission indique, dans le considérant 64 de la proposition de règlement relatif à l'espace européen des données de santé, que même lorsque les données ont été anonymisées, le risque de réidentification ne peut être considéré comme nul. Nous estimons donc que le consentement des personnes concernées est nécessaire pour permettre le transfert de données de santé à caractère non personnel vers un État tiers.
Enfin, nous plaidons pour un hébergement souverain des données de santé afin de les protéger contre l'application extraterritoriale de législations extra-européennes. Cet hébergement devrait se faire sur le territoire de l'Union par une entreprise européenne dans laquelle les participations étrangères cumulées directes ou indirectes sont minoritaires. Nous reprenons ainsi une demande de nos collègues Florence Blatrix Contat, André Gattolin et Catherine Morin-Desailly, formulée dans la récente résolution du Sénat sur le Data act. L'un des points de satisfaction concernant cette proposition de règlement a été de voir que la Commission ne propose pas la création de gigantesques bases composées des données de santé des citoyens européens. En effet, MyHealth@EU est une infrastructure d'échange de données et HealthData@EU s'apparente davantage à une liste des catégories de données dont disposent les organismes responsables de l'accès aux données.
Dernier point : la gouvernance de l'espace européen des données de santé, qui est essentielle pour garantir la protection des données. En effet, nous considérons que la sécurité des données passe par une gouvernance partagée de l'espace européen des données de santé. Tout d'abord, les États membres devront participer activement à la détermination des exigences techniques relatives à la sécurité et à l'interopérabilité des données. Si ces mesures peuvent valablement être adoptées par le biais d'un acte d'exécution, il conviendrait alors d'appliquer la procédure prévue à l'article 5 du règlement (UE) n° 182/2011 qui prévoit un vote des représentants des États membres sur ces mesures. De même, la Commission prévoit de pouvoir compléter par le biais d'actes délégués les catégories de données de santé pouvant faire l'objet d'un traitement, respectivement à des fins d'utilisation primaire et à des fins d'utilisation secondaire. Nous considérons qu'il s'agit là de dispositions essentielles du texte et que ces catégories devraient donc être définies dans la proposition de règlement elle-même et non ultérieurement via un acte délégué pris par la Commission.
Par ailleurs, la proposition de règlement prévoit que les États membres désignent une autorité de santé numérique responsable de la mise en oeuvre des droits et obligations des personnes physiques concernées, dans le cadre du traitement à des fins d'utilisation primaire des données de santé. Elle prévoit également que les États membres désignent un organisme responsable de l'accès aux données chargé d'accorder cet accès dans le cadre d'un traitement à des fins d'utilisation secondaire. Outre la désignation de ces entités nationales, la proposition de règlement prévoit la mise en place d'un comité de l'espace européen des données de santé composé de représentants des autorités de santé numérique et des organismes responsables de l'accès aux données de santé.
Cette architecture appelle deux remarques de notre part. Tout d'abord, il sera nécessaire de bien clarifier les compétences de chaque autorité nouvellement créée et les conditions de leur coopération avec l'autorité de contrôle instituée par le RGPD, qui est la CNIL pour la France. En outre, la réussite de l'espace européen des données de santé repose sur la confiance des patients, des professionnels de santé et des détenteurs de données. Nous proposons donc de préciser que des représentants des patients, des professionnels de santé et des détenteurs de données puissent participer à la gouvernance des autorités de santé numérique, des organismes responsables de l'accès aux données de santé et du comité de l'espace européen des données de santé.
Voilà, mes chers collègues, les diverses observations et recommandations que nous formulons concernant cette proposition de règlement que nous vous soumettons.
M. Jean-François Rapin, président. - Merci beaucoup pour ce travail très précis. Nous sommes dans la droite ligne de ce qui avait été envisagé lors de la conférence sur l'avenir de l'Europe. Le groupe Santé, dont je faisais partie, avait produit des recommandations dans ce sens, plaidant notamment par la création d'un équivalent européen au dossier médical partagé. J'avais fait valoir que, lorsqu'un médecin reçoit en consultation des patients d'un autre État membre, la barrière de la langue peut être un obstacle que le dossier médical partagé permet de surmonter.
M. Dominique de Legge. - Merci à nos deux rapporteurs. J'avoue que je suis un peu étonné que l'on se préoccupe de l'accès aux données de santé à un moment où, dans notre pays, on n'arrive pas déjà à garantir un accès aux soins.
Cependant, je souhaiterais savoir quelles conséquences pratiques aura ce texte pour les professionnels de santé alors que le dossier médical partagé a du mal à progresser. Au fond, quelle est la portée de cette orientation qui nous est proposée ?
M. Jean-Michel Houllegatte. - Au sujet du dossier médical partagé, quelle sera l'architecture ? Les informations médicales vont-elles être enregistrées par les professionnels de santé dans une nouvelle base de données, dans un nouveau dossier médical ?
Par ailleurs, une députée européenne, Michèle Rivasi, s'est interrogée sur le devenir des données collectées pour la délivrance de certificats COVID numérique dont les spécificités ont été reprises par plusieurs États tiers. Avez-vous abordé cette question ? Ces données risquent-elles d'être transmises à l'OMS par l'Union européenne ?
Mme Catherine Morin-Desailly. - Je partage le billet d'humeur de Dominique de Legge. Je m'en étonnais également en entendant les chiffres avancés quant au budget alloué pour la création de cet espace européen des données de santé. Quel chiffre global faut-il retenir comme investissement pour ce projet ? A l'heure où nous manquons cruellement de soignants, il faudra faire preuve de pédagogie auprès des citoyens, car il pourrait y avoir à juste titre une forme d'incompréhension de telles décisions publiques qui pourraient être perçues comme trop éloignées de leurs préoccupations.
Néanmoins, je souscris à un projet qui peut permettre de faire progresser la recherche et d'améliorer les soins. Je voudrais remercier nos deux rapporteurs pour avoir pris soin de se coordonner avec les travaux déjà menés par notre commission sur le Data Act et l'intelligence artificielle. Le partage de données est une source de progrès qu'il faut encourager mais qu'il faut également encadrer.
Par ailleurs, à qui cela va-t-il profiter ? Derrière le partage des données, c'est une nouvelle économie de la santé qui se met en place. Les grands opérateurs qui traiteront ces données sont extra-européens, principalement américains, dont Microsoft. Ces opérateurs veulent se positionner sur un marché extrêmement profitable. Dans ce contexte, on peut se demander si la création de cet espace européen des données de santé va nous rendre plus autonomes et garants de la protection de nos systèmes de traitement de données de santé.
Pour ma part, je reste préoccupée. Alors que, pour la seconde fois, la CJUE a invalidé un accord permettant le transfert des données à caractère personnel des Européens vers les États-Unis, la Commission européenne ne se montre pas plus exigeante au moment où les conditions de ce transfert doivent de nouveau être définies. Lorsque le Président Joe Biden est venu en Europe au lendemain du déclenchement de la guerre en Ukraine, cette question n'a pas été traitée comme elle le devrait. Un accord a été trouvé, sans doute en contrepartie de fournitures de gaz. Nous allons nous acheminer vers une nouvelle annulation par la CJUE de l'accord définissant les conditions de transfert, si des garanties ne sont pas apportées concernant l'application aux données européennes de la loi Foreign Intelligence Surveillance Act (FISA), qui autorise la collecte massive et systématique de données pour raisons de sécurité. Nous sommes dans une situation de grande faiblesse : toutes les sociétés américaines sont soumises au droit américain et continueront à alimenter les agences fédérales de renseignements. C'est un sujet sur lequel il faut être très vigilent et la France doit être ferme sur ce sujet.
Je vous remercie d'avoir pris en compte cet enjeu en précisant que l'hébergement des données de santé doit se faire sur le territoire de l'Union. Toutefois, je pense qu'il faudrait également viser le « traitement », et non seulement l'hébergement. En effet, l'hébergement ne couvre pas l'ensemble des activités des data center. Nous pouvons très bien avoir un data center européen et des services de cloud associés américains. Dans ce cas, les données ne sont pas sécurisées. Il faut donc être regardant sur l'ensemble de la chaîne de gestion des données. D'ailleurs, ce sujet fera, cet après-midi, l'objet d'un amendement de ma part au projet de loi visant à sécuriser et réguler l'espace numérique qui transpose par anticipation le Data Act.
Mme Pascale Gruny, rapporteur. - Concernant la question de l'accès aux soins soulevée par Dominique de Legge, il s'agit effectivement d'un autre sujet. Toutefois, sur les conséquences de la création de ce nouvel espace européen des données de santé pour les professionnels de santé, je peux vous dire, en tant que membre de la commission des affaires sociales, que nous avons pris en compte ce sujet en demandant des fonds supplémentaires. En France, le développement du dossier médical électronique est très lent. Je pense que, d'une part, les français n'en voient pas toujours l'intérêt et ont peur de transmettre leurs données de santé, et d'autre part, les professionnels s'inquiètent d'une charge de travail initiale conséquente pour mettre en place ces dossiers, qu'il faudra en outre alimenter ensuite régulièrement. C'est regrettable car, comme notre Président l'a rappelé, sans même évoquer la question des soins à l'étranger, avoir un dossier dans lequel on peut retrouver l'historique médical d'un patient peut être très utile notamment lorsque celui-ci arrive seul aux urgences et qu'il n'est pas en mesure de s'exprimer. En outre, le partage de données est indispensable pour soutenir la recherche. En élargissant le partage des données au sein de l'Union, nous aurons accès à une base de données plus importante, ce qui constitue un avantage essentiel, notamment pour la recherche sur des maladies rares.. Bien sûr, derrière ce partage des données de santé, c'est une économie qui se crée.
Mme Catherine Morin-Desailly. - Autant qu'une telle économie profite aux acteurs européens et que nous favorisions, à cette occasion, l'industrie européenne du traitement des données.
Mme Pascale Gruny, rapporteur. - Il faut assurer en effet une réciprocité avec les États tiers, notamment les États-Unis, et rester vigilants.
Mme Laurence Harribey, rapporteure. - Nous avons demandé des financements complémentaires pour éviter que les professionnels de santé ne consacrent plus de temps à des tâches administratives au détriment des soins sans compensation. Pour répondre à Jean-Michel Houllegatte, je précise que la proposition de règlement ne crée pas de nouvelles bases de données mais une infrastructure pour permettre le transfert des données dans le cadre d'une utilisation primaire et une infrastructure présentant un catalogue de données disponibles sans accès direct à celles-ci, l'accès étant soumis à autorisation.
En ce qui concerne les données collectées pour établir les certificats COVID numériques, elles l'ont été au sein des États membres et n'ont pas vocation à être transmises à l'OMS. Le certificat COVID numérique est un titre qui permettait de se déplacer pendant la pandémie. Cela ne relève pas du même registre.
Nous discutons de la capacité d'hébergement européenne mais il n'en est pas fait mention dans cette proposition de règlement qui ne propose pas de bases de données communes. Le développement d'un système d'hébergement européen serait effectivement profitable aux États membres. La nécessité de bénéficier de garanties identiques pour autoriser le transfert de données d'une entité européenne vers une entité d'un États tiers ainsi que la mise en place d'un système d'autorisation et de redevances pour l'accès aux données peuvent permettre de limiter les risques d'utilisation abusive de données européennes par des acteurs non européens.
Pour ce qui est de savoir à qui tout cela profitera, nous avons eu le souci de considérer la proposition de règlement en fonction de ce qu'elle pourrait apporter aux patients et pas seulement à l'industrie pharmaceutique, sachant qu'elle peut faire progresser la recherche, notamment sur les maladies rares, à condition de mettre des garde-fous. Nous sommes dans un domaine qui n'est pas évident à appréhender, entre la santé pour laquelle l'Union détient surtout une compétence d'appui et le numérique pour laquelle ses compétences sont plus larges.
Nous sentons bien que le risque de dérive est plus important dans le cadre d'un traitement à des fins d'utilisation secondaire : c'est pour cela que nous avons insisté pour bien circonscrire ce traitement à des finalités en lien direct avec la santé, toujours dans l'intérêt du patient. Mais il n'y a pas de risque zéro.
Mme Pascale Gruny, rapporteur. - Il ne faut pas être naïf, les entreprises du secteur pharmaceutique étant évidemment à but lucratif, mais il est important de favoriser la recherche. Il faut trouver un juste équilibre et mettre en place les garde-fous nécessaires.
L'Union n'a pas une compétence pleine en matière de santé mais elle tend à l'étendre et, au détour de certains textes, tente d'imposer certaines pratiques, comme la télémédecine dans ce texte.
Par ailleurs, nous avons également demandé que les données issues des applications de bien-être, qui ne sont pas très fiables, ne soient pas traitées à des fins d'utilisation secondaire.
M. Dominique de Legge. - Certes il faut alléger autant que possible les tâches administratives mais, bien évidemment, nous avons besoin de cet espace européen des données de santé. Nous défendons tous ici le projet européen mais encore faut-il qu'il soit crédible et ait un sens pour nos compatriotes. Nos compatriotes aujourd'hui s'inquiètent plus de la question de l'accès aux soins que du partage de leurs données médicales.
M. Jean-François Rapin, président. - Revenons sur la proposition d'amendement que suggèrent nos collègues rapporteurs sur les sujets numériques pour notre commission.
Mme Florence Blatrix Contat. - En effet, il semble important de sécuriser l'accès et l'utilisation de ces données en précisant que leur « traitement » doit également se faire sur le territoire de l'Union
Mme Catherine Morin-Desailly. - C'est le point 127 de la proposition de résolution que nous proposons de compléter ainsi : « demande que les données de santé soient hébergées et traitées etc. ».
Mme Pascale Gruny, rapporteur. - Nous sommes un peu embarrassées car le terme « traitement », au sens du RGPD, inclut le transfert vers des États tiers et donc nous nous priverions de tout transfert ce qui, en matière de recherche, nous paraît problématique. Nous proposons donc une autre rédaction : « demande que l'hébergement des données de santé et les services associés soient effectués sur les territoires de l'Union par une entreprise européenne dans laquelle les participations étrangères cumulées, directes ou indirectes, ne soient pas majoritaires ».
Nous proposons aussi une modification à l'alinéa 129 du texte que nous vous avons transmis en amont de cette réunion, consistant à supprimer les termes « à caractère non personnel » pour s'assurer du consentement des personnes concernées au transfert de leurs données, quel que soit le caractère de ces données qui seraient transférées vers un État tiers.
Mme Catherine Morin-Desailly. - Votre proposition me convient. Si je comprends bien, en évitant le mot « traitement », vous souhaitez garder la possibilité que des données des Européens soient transférées vers les États-Unis.
Mme Pascale Gruny, rapporteur. - Cette possibilité mérite en effet d'être questionnée : en matière de recherche sur les maladies rares, le territoire européen n'offre pas suffisamment de données pour avancer. Le partage des données est dans beaucoup de cas essentiel pour la recherche.
M. Didier Marie. - Dans l'hypothèse où des données seraient transférées en dehors de l'Union à des fins de recherche, pourrions-nous garantir le recours à une autorité de contrôle qui valide ces transferts de manière obligatoire et automatique ?
Mme Laurence Harribey, rapporteure. - Le transfert de données vers un État tiers ne peut être effectué que par leur détenteur, sous réserve que l'État de destination respecte le RGPD ; pour les données à caractère personnel ; ou que ce transfert respecte les dispositions prévues par la proposition de règlement relatif à l'espace européen des données de santé ; pour les données à caractère non personnel. L'accès aux données de santé dans le cadre de l'espace européen des données de santé reste soumis au contrôle d'un organisme responsable de l'accès aux données désigné au sein de chaque État membre.
Mme Pascale Gruny -J'ajoute que des sanctions sont prévues lorsque les utilisateurs ne se conforment pas à ces règles.
M. Jean-François Rapin, président. - Si la rédaction proposée par les rapporteurs vous convient, je vous propose de mettre aux voix la PPRE telle qu'amendée et l'avis politique qui en reprend les termes et d'autoriser la publication du rapport d'information.
La commission autorise la publication du rapport d'information et adopte la proposition de résolution européenne et l'avis politique qui en reprend les termes et sera transmis à la Commission européenne.