B. UN ACCÈS CONTRÔLÉ AUX DONNÉES

1. L'accès aux données pour les professionnels de santé dans le cadre de l'utilisation primaire
a) Un accès contrôlé

L'article 4 de la proposition de règlement prévoit que les professionnels de santé ont accès aux données de santé électroniques de leurs patients quels que soient l'État membre d'affiliation et l'État membre de traitement. Pour définir un professionnel de santé, la proposition de règlement renvoie à la directive 2011/24/UE du Parlement européen et du Conseil relative à l'application des droits des patients en matière de soins de santé transfrontaliers qui en propose une définition élargie.

Dès lors, les rapporteurs estiment que l'accès à des données doit être conditionné au besoin du professionnel de santé de connaître ces données pour établir son diagnostic ou proposer un traitement.

En outre, la proposition de règlement prévoit que les patients devront être informés lorsqu'un professionnel de santé accède à leurs données. Cette information précise l'identité du professionnel de santé ou, à défaut, de l'établissement de soins. Il appartiendra aux États membres d'organiser les conditions de cette information qui sera systématique.

Enfin, la proposition de règlement prévoit la possibilité pour le patient de restreindre l'accès de certains professionnels de santé à certaines données. Cette restriction pourrait être levée lorsque le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique. L'article 4, paragraphe 4, de la proposition de règlement prévoit néanmoins que les professionnels de santé sont informés de l'existence et de la nature des données pour lesquelles l'accès a été limité.

Les rapporteurs souscrivent à cette proposition et précisent que le dossier médical partagé n'a pas vocation à remplacer la communication entre un professionnel de santé et son patient dans le cadre d'une consultation.

b) MyHealth@EU : une plateforme d'échange, pas une base de données

MyHealth@EU est une plateforme d'échange à laquelle dix États membres sont déjà reliés dont la France, mais qui n'est pas destinée à devenir une gigantesque base de données de santé des citoyens européens : elle doit permettre à un professionnel de santé situé dans un État membre de se faire transférer automatiquement les données de santé de son patient qui ont été collectées dans un autre État membre. Cette distinction est particulièrement importante dans la mesure où elle peut inciter davantage de patients et de professionnels de santé à recourir au traitement de données de santé électroniques.

2. Un accès aux données encadré dans le cadre d'une utilisation secondaire
a) Le rôle de l'organisme responsable de l'accès aux données

L'article 36 de la proposition de règlement prévoit que les États membres devront désigner un organisme chargé d'accorder l'accès aux données de santé électroniques à des fins d'utilisation secondaire et d'autoriser leur traitement. Les organismes détenteurs de données sont tenus de coopérer de bonne foi avec ces organismes responsables de l'accès aux données de santé et de mettre à disposition les données dont ils disposent.

Ces organismes étudieront les demandes d'accès aux données présentées selon les dispositions prévues à l'article 45 de la proposition de règlement. Ils veilleront à ce que l'accès soit accordé uniquement aux données de santé demandées pertinentes pour la finalité du traitement dont il est fait mention dans la demande.

Sur ce sujet, les rapporteurs relèvent trois points d'attention.

Tout d'abord, l'article 46 de la proposition de règlement prévoit que l'organisme responsable de l'accès aux données de santé délivre ou refuse l'autorisation d'accès aux données dans un délai de deux à quatre mois, à compter de la réception de la demande d'accès aux données. Passé ce délai, l'autorisation est réputée délivrée.

Les rapporteurs comprennent bien la nécessité pour les utilisateurs de disposer de l'autorisation d'accès rapidement, néanmoins ils estiment que toute demande d'accès doit faire l'objet d'une autorisation expresse. Dans le cas où l'autorisation ne serait pas délivrée dans le délai imparti, l'organisme responsable de l'accès aux données devra justifier ce retard. Les organismes responsables de l'accès aux données devront être dotés de moyens suffisants pour éviter cette situation.

En outre, l'article 48 de la proposition de règlement prévoit que l'organisme responsable de l'accès aux données met les données à disposition des organismes du secteur public et des institutions, organes et organismes de l'Union sans que ceux-ci n'aient à formuler de demande d'autorisation de traitement. De même, l'article 49 prévoit que, pour l'accès aux données de santé électroniques détenues par un détenteur unique, la demande d'accès aux données pourrait être formulée directement auprès de ce détenteur qui devra l'examiner selon les mêmes critères qu'un organisme responsable d'accès aux données.

Si les rapporteurs peuvent comprendre la nécessité pour certaines institutions telles que l'EMA ou l'ECDC de bénéficier rapidement de certaines données, l'examen de la demande d'autorisation par l'organisme responsable de l'accès aux données leur paraît néanmoins nécessaire, tant pour les organismes du secteur public et les institutions, organes et organismes de l'Union que dans le cas d'un détenteur de données unique. Ils proposent donc de supprimer l'article 49 et de prévoir à l'article 48 des conditions d'accès particulières pour des organismes du secteur public et des institutions, organes et organismes de l'Union, notamment en cas d'urgence de santé publique telle que définie au règlement (UE) 2022/2371.

b) Des environnements de traitement sécurisé

L'article 50 de la proposition de règlement prévoit que l'accès aux données de santé se fait dans un environnement de traitement sécurisé. Ceci doit permettre de restreindre aux seules personnes autorisées l'accès à ces données et de veiller à ce que les utilisateurs n'aient accès qu'aux données de santé électroniques couvertes par leur autorisation de traitement.

Chaque organisme responsable de l'accès aux données d'un État membre ne met à disposition que les données pour lesquelles le détenteur relève de sa compétence.

Lorsqu'un utilisateur veut avoir accès à des données relevant de la compétence de plusieurs États membres, il effectue une demande auprès de l'organisme responsable de l'accès aux données de chaque État membre. Ces données seront ensuite mises à disposition dans un environnement de traitement sécurisé par la Commission européenne.

Les rapporteurs estiment que cette mesure permet effectivement de renforcer la sécurité des données.

c) HealthData@EU : un catalogue plus qu'une base de données

HealthData@EU, dont la création est prévue à l'article 52 de la proposition de règlement, est une infrastructure transfrontière pour le traitement des données de santé électroniques à des fins d'utilisation secondaire. Chaque État membre désigne un point de contact national pour l'utilisation secondaire des données de santé qui deviendra un participant autorisé à cette infrastructure. Il peut s'agir de l'organisme responsable de l'accès aux données.

Cette infrastructure permettra de faciliter les relations entre les organismes responsables de l'accès aux données de santé qui disposeront ainsi d'une description générale des données dont l'organisme d'accès aux données d'un autre État membre peut disposer. Les détenteurs de données informent l'organisme responsable de l'accès des données dont ils dépendent de la nature de ces données.

HealthData@EU n'est donc pas une immense base de données regroupant les données de santé des patients européens mais plutôt un catalogue de données dont les participants autorisés pourront prendre connaissance. Ce catalogue contient des informations détaillées sur la source et la nature des données de santé électroniques qui pourraient être mises à disposition à la suite d'une demande d'accès.