III. UNE MISE À JOUR DE CE SYSTÈME À PRÉVOIR AU REGARD DU NOUVEAU CADRE EUROPÉEN EN DISCUSSION
A. UN PROJET AMBITIEUX DE RÈGLEMENT EUROPÉEN
1. Un projet de règlement qui devrait aboutir d'ici à la mi 2024
La Commission européenne, avec le projet de règlement (2022) 197 final visant à mettre en place l'espace européen des données de santé (EHDS) entend « libérer tout le potentiel des données de santé ». Ce projet de règlement contient huit chapitres, dont trois principaux visent à renforcer :
- les droits des personnes sur leurs données,
- l'exploitation des données de santé à des fins de recherche, d'innovation, d'élaboration de politiques, de réglementation, de sécurité des patients : utilisation dite « secondaire » ;
- l'utilisation dite « primaire » des données de santé pour la fourniture de services de santé et dans le cadre du parcours de soin des patients, faisant l'objet d'une analyse distincte dans la troisième partie du présent rapport.
La proposition prend pour base l'article 16 du traité sur le fonctionnement de l'Union européenne (TFUE), relatif à la protection des données et l'article 114 sur le fonctionnement du marché intérieur et la libre circulation des biens et services. Le règlement n'a pas vocation à interférer avec la compétence des États membres dans l'organisation et la délivrance des services de soins.
Comme cela a été plusieurs fois mis en avant, ce projet de règlement communique avec deux instruments particulièrement structurants que sont aujourd'hui le règlement européen sur la protection des données (RGPD) et le Data Governance Act.
À l'été 2022, la présidence suédoise du Conseil n'était pas parvenue à un accord sur ce texte, repris par la présidence espagnole. L'objectif affiché au niveau européen est celui d'une adoption par le Parlement et le Conseil avant le renouvellement du Parlement européen au printemps 2024.
2. Une architecture française reconnue comme modèle au niveau européen
Comme l'a constaté le Health Data Hub, le règlement s'inspire en grande partie du modèle français et notamment l'existence dans notre pays :
- d'une législation nationale couvrant l'utilisation secondaire des données de santé, laquelle a prévu des finalités autorisées et des finalités interdites ainsi qu'une procédure pour les demandes d'accès, couvrant un périmètre large ;
- la mise en place d'une plateforme au niveau national, le Health Data Hub avec un rôle similaire à celui d'un « Health Data Access Body » que le règlement prévoit, pour une partie des compétences au moins.
Les échanges menés à Bruxelles ont confirmé que, loin des perceptions que l'on peut avoir du système français encore inabouti, la France apparaît comme précurseur dans ce domaine, particulièrement sur la question de l'utilisation secondaire, aux côtés de rares États comme le Danemark ou la Finlande. Il apparaît indispensable de conforter cette place.
· La délégation au numérique en santé (DNS) est chargée avec le secrétariat général aux affaires européennes de définir la position française dans le cadre des négociations, en lien avec l'assurance maladie et le Health Data Hub.
· La France a été chargée de coordonner le pilote pour le volet d'utilisation secondaire des données de santé de l'espace européen. Le Health Data Hub a ainsi été désigné à la tête d'un consortium de préfiguration de dix-sept partenaires issus de neuf pays.
3. Un large champ de données concerné
L'espace européen des données de santé, pas plus que le système français mis en oeuvre depuis 2016 et 2019, ne se revendique comme une centralisation auprès d'un opérateur unique ni comme la constitution d'un fichier au niveau européen.
L'article 33 du projet de règlement prévoit des catégories minimales de données électroniques destinées à une utilisation secondaire, avec un champ très large. Sont ainsi concernés :
- les données du dossier médical électronique du patient ;
- les données ayant une incidence sur la santé, dont les déterminants sociaux, environnementaux et comportementaux de la santé ;
- les données génomiques sur les pathogènes pertinentes, ayant une incidence sur la santé humaine ;
- les données administratives relatives à la santé, dont les données relatives aux demandes et aux remboursements ;
- les données génétiques, génomiques et protéomiques humaines ;
- les données de santé électroniques générées par la personne, dont celles générées grâce aux dispositifs médicaux, aux applications de bien-être ou aux autres applications de santé numériques ;
- les données d'identification relatives aux professionnels de la santé intervenant dans le traitement d'une personne physique ;
- des registres de données de santé à l'échelle de la population (registres de santé publique) ;
- les données de santé électroniques contenues dans les registres médicaux concernant des maladies spécifiques ;
- les données de santé électroniques provenant d'essais cliniques ;
- les données de santé électroniques provenant de dispositifs médicaux et des registres des médicaments et des dispositifs médicaux ;
- les cohortes de recherche, questionnaires et enquêtes dans le domaine de la santé ;
- les données de santé électroniques provenant de biobanques et de bases de données spécialisées ;
- les données électroniques relatives au statut en matière d'assurance, au statut professionnel, à l'éducation, au mode de vie, au bien-être et au comportement qui ont un rapport avec la santé ;
- les données de santé électroniques contenant diverses améliorations, telles que des corrections, des annotations ou des enrichissements, reçues par le détenteur de données à la suite d'un traitement sur la base d'une autorisation de traitement de données.
Cette longue liste de données précise en partie un champ qui poursuit la même logique d'approche universelle du SNDS. Comme le précise le règlement, les données de santé visées englobent « les données traitées à des fins de fourniture de soins de santé ou de soins, ou à des fins de santé publique, de recherche, d'innovation, d'élaboration des politiques, de statistiques officielles, de sécurité des patients ou de réglementation, collectées par des entités et organismes du secteur de la santé ou des soins, dont des prestataires publics ou privés de santé ou de soins, des entités ou organismes effectuant des recherches dans ces secteurs, ainsi que par des institutions, organes ou organismes de l'Union ».
L'un des enjeux soulevés lors de l'examen du règlement européen par le Conseil et le Parlement est la question du rattachement plus ou moins clair au RGPD. Il apparaît, comme l'a souligné le Contrôleur européen de la protection des données auprès des sénateurs, que le renvoi explicite au RGPD est à privilégier, l'ouverture de dérogations ou d'un système particulier propre aux données de santé étant de nature à perturber la lisibilité du cadre européen et à amoindrir les garanties apportées.
4. Une utilisation secondaire répondant à des finalités définies
Le chapitre IV du projet de règlement concerne l'utilisation secondaire.
Le projet de règlement prévoit de permettre un accès aux données de santé dans le cadre de finalités restreintes.
L'article 34 du projet prévoit ainsi une liste de finalités dans lesquelles la demande doit s'inscrire, au premier rang desquelles les raisons d'intérêt public dans le domaine de la santé la recherche scientifique ou encore l'innovation et la garantie de la sécurité des soins.
L'article 35 prévoit une série explicite de finalités interdites, avec notamment la prise de décisions, à l'égard d'une personne physique ou d'un groupe de personnes physiques, les excluant du bénéfice d'un contrat d'assurance ou modifiant leurs cotisations et leurs primes d'assurance.
Les articles suivants organisent une gouvernance et des mécanismes pour l'utilisation secondaire, autour notamment des organismes responsables de l'accès aux données de santé.
Enfin, le règlement entend préciser les modalités de consentement des patients à une utilisation secondaire de leurs données de santé.