Le numérique en santé est une évidente nécessité pour une prise en charge plus coordonnée, plus agile, plus efficiente, et personnalisée. Porté par de nouveaux usages et de nouvelles réglementations, il a bénéficié d’une formidable accélération suite à la crise sanitaire, au niveau européen, et au niveau national. Son développement suppose toutefois des arbitrages permanents et délicats entre protection et ouverture des données de santé.

Depuis la crise sanitaire tout particulièrement, la santé numérique est en pleine effervescence, portée par les ambitions européennes et nationales des États membres et des investissements massifs. Les usages ont évolué, de même que la réutilisation des données de santé s’est peu à peu imposée comme une évidente nécessité.

Des conditions fragmentées d’accès aux données de santé

Aussi, les données de santé constituent plus que jamais le coeur du réacteur, à la fois en tant que produit mais aussi en tant que carburant du développement de la santé numérique. En particulier, l’accès aux données de santé est central, tant pour les besoins de la prise en charge des patients que pour ceux de la recherche et de l’innovation. Mais, selon la finalité poursuivie, le contexte de collecte des données, les acteurs souhaitant accéder aux données de santé, les conditions d’accès restent très fragmentées et peu lisibles. De sorte que les industriels de l’innovation, et même les chercheurs peinent souvent à identifier leurs opportunités d’accès et d’utilisation des données. Ce qui freine l’innovation, ou affecte la qualité de l’innovation – lorsqu’intervient un repli vers des bases hors de l’Union européenne, dont les données peuvent être moins qualitatives ou représentatives.

Toutefois, la structuration et la rationalisation des conditions d’accès aux données de santé sont en cours, sous l’impulsion de textes européens, et de l’évolution des mentalités et de la doctrine des autorités.

Structuration et rationalisation européennes des conditions d’accès aux données de santé

En effet, la stratégie européenne pour les données1 vise à un marché unique des données, avec un bénéfice majeur pour les soins de santé : "La médecine personnalisée répondra mieux aux besoins des patients en donnant aux médecins les moyens de prendre des décisions fondées sur des données."

EU4Health2 pour la période 2021-2027 a alloué un investissement de 5,3 milliards d’euros au développement du numérique en santé, au renforcement de l’utilisation et de la réutilisation des données de santé pour la fourniture de soins de santé ainsi que la recherche et l’innovation se précisent, et la création d’un espace européen des données de santé. C’est ainsi que la proposition de règlement3 concernant l’Espace européen des données de santé (EHDS) établit un cadre de partage sécurisé, spécifique à la santé, d’une part pour une utilisation principale des données dans le cadre des soins de santé, et d’autre part pour une utilisation secondaire des données de santé non directement identifiantes dans le cadre de la recherche, l’innovation et la définition des politiques de santé publique.

"La stratégie européenne pour les données vise à un marché unique des données"

Dans le sens de l’ouverture des données, le règlement sur la gouvernance des données4 ou Data Governance Act (DGA), adopté en mai 2022, sera applicable en septembre 2023. Ce texte vise parmi ses objectifs, la réutilisation des données des organismes publics – moyennant des conditions de traitement appropriées et harmonisées en Europe s’agissant des données "hautement sensibles" que sont celles détenues par des acteurs du système de santé publique tels que les hôpitaux publics, et l’altruisme en matière de données permettant la mise à disposition volontaire par les particuliers de données pour le bien commun, dans le cas de projets de recherche médicale par exemple. "Nombreuses sont les possibilités offertes par l’utilisation à des fins d’intérêt général de données mises à disposition volontairement par des personnes concernées avec leur consentement (.)", et ce notamment dans les soins de santé.

Sur chacun de ces deux textes, le Comité européen de la protection des données et le Contrôleur européen de la protection des données5-6 ont respectivement invité les colégislateurs (Parlement européen et Conseil de l’UE) à clarifier les interactions entre la proposition de règlement et le RGPD afin d’assurer une application cohérente des textes, notamment en ce qui concerne les droits des personnes concernées.

S’agissant du DGA, les colégislateurs ont d’ores et déjà précisé que le RGPD prévaudrait en cas de conflit. S’agissant de l’EHDS7, les colégistateurs doivent également, en particulier, mieux délimiter les objectifs poursuivis dans le cadre des usages secondaires des données de santé, en démontrant notamment un lien suffisant avec des enjeux de protection sociale et de santé publique.

Ces considérations invitent ainsi à identifier des critères d’arbitrage entre droits et garanties individuels des personnes concernées d’une part, et réutilisation des données à des fins d’intérêt public d’autre part. Une lourde tâche qui sera pilotée par le consortium mené par le Health Data Hub, choisi par La Commission européenne pour mettre en place un projet pilote de l’Espace européen des données de santé, ayant notamment pour objectif de répondre aux enjeux de l’accès aux données de santé à travers l ’Union européenne pour ouvrir de nouvelles perspectives à la recherche et l’innovation.

Le RGPD avait anticipé sur les besoins de réutilisation des données de santé et cet arbitrage l’autorisant à des fins compatibles avec la finalité initiale, sous réserve de garanties appropriées, introduisant la réutilisation des données directement dans les bases de licéité. Pour autant, l’arbitrage tenant à la compatibilité des finalités et aux garanties appropriées à mettre en oeuvre reste subjectif et mal documenté. Lorsque des données identifiantes ne sont pas nécessaires, l’anonymisation apparaît clairement comme une solution à privilégier, son résultat est toutefois susceptible d’interprétation, dès lors que "pour établir si des moyens sont raisonnablement susceptibles d’être utilisés pour identifier une personne physique, il convient de prendre en considération l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci". Les contextes et conditions de mise en oeuvre de la pseudonymisation à des fins de réutilisation sont encore plus délicats.

Définition de régimes d’accès aux données de santé en France

Dans ce contexte, à partir des textes en vigueur, les autorités relatives à la protection des données s’évertuent de définir des cadres lisibles. À titre d’exemples, la Cnil a ainsi défini un régime spécifique pour les entrepôts de données de santé, articulé autour de leur constitution d’une part, et de la réutilisation des données d’autre part. Un référentiel adopté le 7 octobre dernier permet à chaque établissement de santé de constituer son entrepôt avec un simple engagement de conformité à celui-ci. 

Faute d’applicabilité du référentiel aux industriels, ceux-ci peuvent constituer un entrepôt sur la base du consentement, ou d’une autorisation de la Cnil. La petite dizaine d’autorisations obtenues par des acteurs privés, post-RGPD, permet de cadrer les conditions à satisfaire : justification de l’intérêt public, information des personnes à plusieurs niveaux, gouvernance stratégique et scientifique… Dans ce cadre, restent toutefois les contreparties des producteurs de données à préciser, étant rappelé que la cession à titre onéreux des données de santé est proscrite. Un sujet de valorisation épineux, adressé également par le Health Data Hub. Pour chacun des acteurs ayant constitué un entrepôt, les conditions de réutilisation des données sont indépendantes et nécessitent donc non seulement le respect de la ligne stratégique définie, mais aussi la détermination du régime pertinent à mettre en oeuvre, telle que MR004 ou autorisation Cnil.

Par ailleurs, la Cnil a précisé les conditions de réutilisation des données par les sous-traitants, fondées sur la compatibilité de la finalité du responsable de traitement et de celle du sous-traitant, et sur une autorisation spécifique du premier au second, sans préjudice de l’information et des droits des personnes.

Entre les régimes institués par les textes, et ceux plus doctrinaux définis, des arbitrages, des zones floues et grises sont à préciser avec le pragmatisme de mise, compte tenu des enjeux en termes de sécurité, de qualité et d’efficience de la prise en charge sanitaire.

SUR L’AUTEUR 

Marguerite Brac de La Perrière, associée en numérique et santé du cabinet Lerins, dispose d’une expertise de pointe en matière de santé numérique, qui la place aux confins de deux activités majeures du cabinet, la santé et l’IT/Data, qu’elle renforce.

 

1 Stratégie européenne pour les données 19-02-2020

2 Règlement 2021-552 établissant un programme d’action de l’Union dans le domaine de la santé pour 2021-2027

3 Proposition de règlement publié le 3-05-2022

4 Règlement sur la gouvernance européenne des données
adopté en mai 2022

5 Avis 12-07-2022 EDPB & EDPS sur la proposition d’EHDS

6 Avis 03-2021 EDPB & EDPS sur la proposition de DGA

7 Avis 12-07-2022 EDPB & EDPS sur la proposition d’EHDS

Personnes citées

GUIDE ET CLASSEMENTS

> Guide 2023
Classements

Trouver les acteurs & informations qui vous aideront

Newsletter Flash

Pour recevoir la newsletter du Magazine Décideurs, merci de renseigner votre mail