C. LE CONSENTEMENT DES PERSONNES CONCERNÉES
1. Les règles spécifiques prévues par le RGPD pour les données de santé
L'article 9 du RGPD dispose que le traitement concernant les données de santé est interdit sauf si l'une des conditions qu'il énumère est remplie. Ainsi, le traitement des données de santé est autorisé avec le consentement de la personne concernée pour une finalité donnée. Il est également autorisé lorsqu'il est prévu par le droit de l'Union ou des États membres :
- aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale (paragraphe 2, point b) ;
- aux fins de la médecine préventive ou de la médecine du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale (paragraphe 2, point j) ;
- pour des motifs d'intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux (paragraphe 2, point i) ;
- à des fins de recherche scientifique (paragraphe 2, point h).
Lorsque le traitement des données de santé est autorisé en droit, il ne peut encore être opéré que s'il est licite. L'article 6 du RGPD prévoit les conditions selon lesquelles un traitement de données est considéré comme tel. C'est le cas notamment lorsque la personne a consenti au traitement de ses données (paragraphe 1, point a), lorsque le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie (paragraphe 1, point b) ou au respect d'une obligation légale (paragraphe 1, point c). C'est le cas également lorsque le traitement est nécessaire à l'exécution d'une mission d'intérêt public (paragraphe 1, point e) ou aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers (paragraphe 1, point f).
Selon le RGPD, le traitement de données de santé doit donc être à la fois autorisé et licite pour pouvoir être opéré. S'il peut être autorisé sur la base du consentement, il peut également être autorisé sur la base d'une obligation légale qui n'implique pas le consentement et ayant pour objectif une des finalités mentionnées à l'article 9.
2. Le recueil du consentement laissé à la discrétion des États membres pour le traitement des données de santé à des fins d'utilisation primaire
Aux yeux des rapporteurs, il est nécessaire de définir sur la base de quelles dispositions du RGPD sera effectué le traitement à des fins d'utilisation primaire des données de santé.
La mise à disposition de systèmes de DME relève de la compétence des États membres. L'objectif de la proposition de règlement est d'organiser l'interopérabilité des données de santé et leur circulation lorsque les États membres ont décidé que celles-ci seraient désormais traitées dans un format électronique. Il paraît donc cohérent de laisser aux États membres le soin de décider dans quelle mesure le consentement des personnes physiques concernées est nécessaire.
Jusqu'en 2021, la proposition offerte par le gouvernement français aux assurés de créer un dossier médical partagé a rencontré peu de succès puisqu'entre 2018 et 2021, seuls 10 millions de dossiers ont été ouverts. Depuis 2022, l'espace de santé numérique personnalisé est systématiquement ouvert pour chaque assuré qui dispose alors d'un délai d'opposition de 6 semaines après la réception du courrier ou du courriel l'informant de ses droits. Ce changement de méthode doit permettre d'augmenter le nombre de personnes dotées d'un dossier médical électronique.
3. Le recueil du consentement comme règle européenne dans le cadre d'une utilisation secondaire des données de santé
Conformément à l'article 6, paragraphe 1, point c, du RGPD, la Commission souhaite qu'une fois adoptée, la proposition de règlement puisse servir de base légale pour assurer la licéité du traitement des données de santé aux fins d'utilisation secondaire mentionnées aux points g, h, i et j de l'article 9 du RGPD.
Ainsi, l'article 33, paragraphe 5, de la proposition de règlement prévoit que, lorsque le consentement de la personne physique est requis par le droit national pour l'utilisation secondaire des données de santé, les organismes responsables de l'accès aux données de santé se trouvent habilités par ladite proposition de règlement à y donner accès. Dans la proposition de la Commission, la licéité du traitement ne repose donc pas sur le consentement des personnes concernées.
Au contraire, les rapporteurs estiment qu'il est nécessaire de prévoir le consentement des personnes concernées. Celui-ci serait réputé acquis dès lors que les patients, après avoir été dûment informés, n'ont pas manifesté d'opposition au traitement de leurs données à des fins d'utilisation secondaire. Ainsi, le traitement sera autorisé sur la base de l'article 9, paragraphe 2, points i et j, du RGPD et sera considéré comme licite sur la base de l'article 6, paragraphe 1, point a, du RGPD.