Espace européen des données de santé : Le Conseil de l’UE et le Parlement européen ont franchi un gué et signé un accord provisoire sur l’espace européen des données de santé

10/06/2024

La santé est un domaine sensible qui a été particulièrement touché par la pandémie du Covid – 19. Alors que c’est pratiquement le seul domaine qui ne relève pas d’une compétence européenne, le conseil et le parlement européens ont su trouver une feuille de route vers un espace commun des données de santé (EEDS), au surplus dans un océan de nouveaux textes européens (DSA, DMA, Data Act, DGA, IA Act, RGPD).

En effet, le 24 avril 2024, le Parlement européen a adopté la proposition de règlement sur l’Espace Européen des Données de Santé (EEDS) tel qu’approuvée à la mi-mars. C’est le premier des neuf espaces européens de données annoncés dans la communication de 2020 intitulée « une stratégie européenne pour les données » qui vise à faciliter l’accès et l’échange des données de santé.

Son adoption est l’aboutissement d’un parcours de défis à relever :

  • Donner un contrôle aux patients pour les rassurer, en reconnaissant leurs droits de contrôle et en organisant le partage de leurs données de santé ;
  • Les numériser, les codifier sous forme de standards et organiser leur interopérabilité ;
  • Les administrer, un rôle complexe qui implique de gérer les duplications et/ou les conflits de règlementations, les usages secondaires/dérivés et les droits de propriété intellectuelle ;
  • Faciliter la recherche scientifique ;
  • Piloter de nouveaux standards, de nouveaux métiers (tiers de confiance notamment), de nouvelles plateformes de partage à côté ou à la place du Health Data Hub.

De plus, le futur EEDS repose sur 3 acteurs clés : le patient qui doit avoir accès et garder un contrôle de l’usage de ses données ; les chercheurs-développeurs qui ont besoin d’interopérabilité et donc d’un format d’échange des données ; les autorités administratives qui doivent orchestrer un fonctionnement fluide et sécurisé des données dans et hors l’UE.

L’accord tel qu’adopté par le Parlement européen pour faciliter l’accès et l’échange des données de santé innove à plusieurs titres :

  • Chaque Etat peut autoriser ou pas le patient à interdire l’usage de ses données (sauf cas des fins d’intérêt général) et restreindre les usages secondaires ;
  • Les Etats Membres pourront désigner des détenteurs de données de confiance pour gérer les demandes d’accès et devront désigner une « autorité de santé numérique » chargée de l’application des nouvelles dispositions ;
  • Un format européen d’échange des dossiers médicaux électroniques permettra l’interopérabilité ;
  • Le lieu/p)ays d’hébergement des données de santé devra être connu.

Les Etats Membres devront fournir à l’échelle nationale des services d’accès aux données de santé sur la base de la plateforme européenne MyHealth@EU.

La Commission a d’ores et déjà annoncé qu’elle apportera plus de 810 millions d’euros pour soutenir l’EHDS[1].

Les principaux aspects de la proposition de règlement sur l’espace européen des données de santé

L’amélioration de l’accès et du contrôle des patients et des professionnels de santé européens, dans l’UE, sur leurs données de santé (utilisation primaire des données[2]). L’accès doit être fourni immédiatement et gratuitement, après l’enregistrement des données de santé dans un système de dossier médical électronique (DME), et sous une forme aisément lisible et consolidée.[3]

Les patients auront davantage de contrôle sur l’utilisation qui sera faite de leurs données : droit de rectification des données (art 8c.3.), droit d’obtenir des informations sur l’accès aux données (art. 8f).

Afin d’assurer le respect de ces dispositions, les Etats-Membres auront l’obligation de désigner une autorité de santé numérique [4] qui recevra notamment les plaintes individuelles ou collectives et les transmettra si elles sont pertinentes à l’autorité compétente.

La facilitation de la collecte, de la circulation et de l’utilisation de données de santé sécurisées au sein de l’Union européenne (utilisation secondaire des données[5]). Ces mesures sont prévues afin d’améliorer les prestations de soins de santé, la recherche, de l’innovation et l’élaboration de politiques et de permettre ainsi aux chercheurs et responsables politiques d’exploiter pleinement le potentiel des données de santé.

L’utilisation secondaire des données de santé ne sera possible que pour des raisons limitativement prévues par le texte, à savoir[6] :

  • L’intérêt public ;
  • L’élaboration de politiques ;
  • Les activités réglementaires ;
  • L’élaboration de statistiques ;
  • L’éducation au niveau de l’enseignement professionnel ou secondaire ;
  • La recherche scientifique liée aux secteurs de la santé ou des soins, contribuant à la santé publique ou à l’évaluation des technologies de la santé, ou garantissant des niveaux élevés de qualité et de sécurité des soins de santé, des médicaments ou des dispositifs médicaux, dans le but de bénéficier aux utilisateurs finaux ;
  • L’amélioration de la prestation des soins, l’optimisation des traitements et la fourniture de soins de santé.

Toute utilisation secondaire fondée sur une autre finalité sera interdite[7]. Les députés européens ont ainsi veillé à ce que l’utilisation secondaire des données collectées ne soit pas autorisée dans les décisions relatives à l’emploi, de prêt, ou d’autres types de discriminations.

Cette utilisation devra également respecter les dispositions du RGPD relativement aux principes de minimisation et de limitation de la finalité du traitement[8].

Enfin, dans le cas où les données seraient protégées par un droit de propriété intellectuelle ou par un secret des affaires[9] ou par leur caractère de données sensibles (données génétiques par exemple), les détenteurs de telles données devront informer l’organisme d’accès aux données de santé et justifier de leurs droits sur ces données protégées. L’organisme pourra alors limiter voire refuser l’accès à ces données.  Cette décision pourra faire l’objet d’une plainte.

L’établissement d’un cadre juridique et technique uniforme pour les dossiers médicaux électroniques (DME) dont tous les Etats Membres devront désormais être dotés[10]. Ces dossiers devront se conformer au futur format européen d’échange des dossiers médicaux électroniques prescrit par le futur règlement pour faciliter leur lisibilité et leur transmission électronique. Cette interopérabilité des données était déjà prévue par le RGPD, qui continue donc à s’appliquer et est complété.[11]

Les modifications majeures apportées par l’accord sur la proposition de règlement sur l’espace européen des données de santé

L’accord adopté par le Parlement européen modifie plusieurs éléments de la proposition initiale de 2022, et notamment[12] :

La restriction ou le refus de l’accès par les professionnels ou prestataires de santé aux données de santé (« opt out »)[13]. Tout d’abord, les personnes physiques ont le droit de restreindre l’accès à leurs données par les professionnels de santé et les prestataires de soins de santé, ce qui peut avoir une incidence sur les soins de santé qui leur sont délivrés. Il appartient aux États membres d’établir des règles et des garanties spécifiques concernant ce mécanismes de restriction.

De la même manière, les États membres peuvent autoriser les patients à s’opposer à l’accès à leurs données, soit par les professionnels de santé (utilisation primaire) ou pour d’autres utilisations (utilisation secondaire).

Les Etats membres doivent obligatoirement permettre l’opt out pour l’utilisation secondaire des données mais sont libres de l’autoriser ou non pour l’utilisation primaire des données de santé.

Toutefois, et c’est le fruit d’âpres négociations, des exceptions sont prévues par le texte.

S’agissant de l’utilisation primaire de leurs données, les patients ne pourront pas refuser l’accès par les professionnels de santé si cet accès est nécessaire pour protéger leurs intérêts vitaux[14].

S’agissant de l’utilisation secondaire de ces données, les États membres peuvent prévoir, dans leur législation, des exceptions justifiées (i) pour des raisons d’intérêt général, (ii) pour l’élaboration de politiques ou de statistiques, (iii) pour la protection de la propriété intellectuelle et des secrets commerciaux[15] ; (iv) pour une recherche scientifique effectuée pour des raisons importantes d’intérêt public par des organismes du secteur public.

L’évaluation des justifications sera effectuée par l’organisme d’accès aux données de santé et les États membres devront notifier à la Commission les lois nationales adoptées sur le mécanisme de non-participation.

La prise en compte de données plus sensibles. Les États membres peuvent mettre en place des mesures plus strictes concernant l’accès à certains types de données sensibles, telles que les données génétiques, à des fins de recherche.[16] 

L’intervention d’un détenteur de données de confiance. Pour simplifier les formalités administratives, le texte prévoit une procédure devant un détenteur de données de confiance qui pourra traiter en toute sécurité des demandes d’accès aux données de santé[17] ;

L’information du patient s’agissant de constatations cliniquement significatives. Si des chercheurs ont connaissance de constatations susceptibles d’influer sur la santé d’un patient dont les données ont été utilisées dans le cadre de la recherche scientifique, ils en informent alors les organismes responsables de l’accès aux données de santé qui informent à leur tour le détenteur de données de confiance qui sera en charge de communiquer cette information à la personne concernée ou au professionnel de santé compétent qui la suit[18].Cependant, la personne concernée doit également avoir le droit de demander à ne pas être informée de ces constatations.

Et après ?

Cet accord diffère donc sur plusieurs points majeurs par rapport à la proposition de règlement initiale, notamment sur la délicate question des motifs d’accès aux données de santé pour une utilisation secondaire, c’est-à-dire une utilisation non liée à une prise en charge du patient malgré la restriction ou l’opposition formulée par celui-ci.

La notion d’« intérêts vitaux » qui justifierait un  outrepassement de la volonté du patient dans le cadre d’une utilisation primaire gagnerait notamment à être clarifiée.

L’accord provisoire trouvé à la mi-mars a pourtant fait l’objet d’une adoption complète par le Parlement. Le Conseil va à présent à son tour adopter formellement le nouveau règlement, qui devrait être publié à l’automne 2024 au Journal officiel de l’Union européenne et entrera ensuite en vigueur vingt jours après.[19]

Selon la Commission européenne, les échanges dans le cadre de l’EHDS devraient commencer en 2028 pour tous les États membres. Des catégories de données supplémentaires devraient également être ajoutées en 2030, laissant ainsi suffisamment de temps aux États membres et aux prestataires de soins de santé pour se préparer[20].

En France, La Direction au numérique en santé (DNS) coordonnera l’application du règlement européen en associant les acteurs de l’écosystème pour la mise en œuvre de cette avancée du numérique en santé en Europe.

UGGC Avocats – chronique IP/IT/ Santé   


[1] Questions et réponses sur l’espace européen des données de santé, Commission européenne, 24 avril 2024.

[2] Il s’agit donc de la collecte des données à l’occasion de la prise en charge des patients.

[3] Art. 8a.1 de l’accord

[4] Art. 10 de l’accord

[5] Qui correspond donc à l’utilisation de données pour d’autres finalités que la prise en charge du patient.

[6] Art. 34.1 de l’accord

[7] Art. 35 de l’accord

[8] Art. 44 de l’accord

[9] Art. 33a de l’accord

[10] Art. 1.2 (b) et art. 8g.1 de l’accord

[11] Art. 1.2 (a) de l’accord provisoire.

[12] Communiqué de presse, Conseil de l’UE et Conseil européen, 15 mars 2024 : Espace européen des données de santé : le Conseil et le Parlement concluent un accord.

[13] Art. 8e et 8h de l’accord.

[14] Art. 8h.1 de l’accord.

[15] Art 34(1) points a-c de l’accord.

[16] Considérant 9a, 13a.

[17] Considérant 53 et art. 49 de l’accord.

[18] Considérant 44a et art. 35e de l’accord.

[19] Communiqué de presse, Conseil de l’UE et Conseil européen, 15 mars 2024 : Espace européen des données de santé : le Conseil et le Parlement concluent un accord.

[20] Questions et réponses sur l’espace européen des données de santé, Commission européenne, 24 avril 2024.