L’harmonisation du RGPD pourrait être la clé pour exploiter le potentiel des données de santé

Alors que les législateurs de l’UE débattent des options visant à recueillir le consentement ou l’opposition explicites des patients à l’utilisation de leurs données de santé, le fait d’harmoniser les règles découlant du règlement général sur la protection des données (RGPD) pourrait être une solution.

Début septembre, Jan Penfrat, conseiller politique principal à l’European Digital Rights Association (EDRi), et d’autres défenseurs de la société civile ont remis une pétition, signée par plus de 100 000 citoyens, aux rapporteurs fictifs de la proposition d’espace européen des données de santé (EHDS).

Les signataires de la pétition souhaitent que les patients puissent décider eux-mêmes d’autoriser ou non l’utilisation secondaire de leurs dossiers médicaux dans le cadre du projet de loi sur l’espace européen des données de santé. Cette proposition législative est actuellement entre les mains du Parlement européen et du Conseil de l’UE, qui doivent encore établir leurs positions respectives sur la création de ce projet d’infrastructure de données sécurisée et interopérable entre les États membres pour le partage des données de santé et la recherche.

Selon eux, la proposition de la Commission ne permet pas aux patients de s’exprimer sur le partage de leurs données pour une utilisation secondaire avec les universités, les décideurs politiques et l’industrie.

Les rapporteurs du Parlement ont suggéré l’ajout d’une option permettant aux patients ne souhaitant pas que leurs données soient réutilisées de rester en dehors du système EHDS. Cependant, pour ceux qui soutiennent la pétition, cela ne suffit pas.

Ces derniers demandent plutôt le consentement explicite préalable des patients concernant le partage de leurs dossiers médicaux pour une utilisation secondaire, ce que les rapporteurs fictifs du dossier soutiennent.

« L’option de non-participation n’est pas la plus appropriée et n’est pas suffisante », a confié l’eurodéputé Petar Vitanov (Socialistes et Démocrates), rapporteur fictif du dossier, à Euractiv.

Patrick Breyer (Verts), également rapporteur fictif, estime lui aussi que l’option de non-participation n’est pas suffisante. « De nombreux patients ne comprendront même pas ce que cela signifie — ils n’auront pas le temps de le faire. Il s’agit vraisemblablement d’une procédure trop compliquée. Il faut écrire une lettre, s’inscrire sur un site web ou quelque chose comme cela », a-t-il expliqué.

La proposition

En ce qui concerne le projet d’action conjointe Towards the European Health Data Space (TEHDAS), soutenu par la Commission européenne et les États membres dans la mise en place de l’espace, le coordinateur Markus Kalliola a déclaré que la question n’était pas entre le consentement explicite et l’option de non-participation, car la proposition initiale ne contient ni l’un ni l’autre.

Lorsque la Commission a proposé l’espace des données de santé en mai 2022, un fonctionnaire européen avait déclaré que l’approche de l’EHDS se traduirait par « une sorte de système RGPD+ », le RGPD était une législation visant à règlementer la confidentialité des informations dans l’Union européenne et l’Espace économique européen (EEE).

Selon la proposition, la plupart des données de santé seront anonymisées ou pseudonymisées, et il y aura des « garanties très strictes » sur le fait que les tierces parties pourront uniquement consulter les données des patients, mais pas y avoir accès.

L’espace européen des données de santé recoupe différents dossiers, tels que la loi sur les données, la loi sur la gouvernance des données, et le RGPD.

Dans sa proposition d’espace, la Commission n’a pas inclus de mention du droit d’opposition à l’utilisation des données, toutefois, « la base du RGPD était toujours présente, de sorte que les citoyens avaient le droit de s’opposer » à cette utilisation, a expliqué M. Kalliola.

L’article 21 du RGPD se concentre sur le droit d’opposition à l’utilisation de données personnelles sur base de l’article 6 du même règlement. « Mais pour la recherche en santé publique, par exemple, les citoyens devraient avoir le droit de s’opposer », a déclaré M. Kalliola.

Selon lui, cela ressemble plus à une option de non-participation qu’à une option de participation. « C’est aussi un compromis que d’opter pour le retrait et de ne pas s’appuyer sur les articles du RGPD à ce sujet », a-t-il déclaré, expliquant son raisonnement par la quantité suffisante de données et par l’existence d’une manière plus efficace de les collecter.

La fragmentation du RGPD, un obstacle

Cependant, l’utilisation du RGPD constitue également l’un des obstacles à l’exploitation du potentiel des données de santé.

Selon les conclusions de l’initiative TEHDAS, qui a pris fin le 1er août 2023, le principal obstacle à l’utilisation transfrontalière des données de santé à des fins de recherche, d’innovation et d’élaboration de politiques réside dans les interprétations multiples du RGPD.

Le RGPD, bien qu’il fournisse une approche harmonisée de la protection des données à travers l’UE, permet aux États membres d’adopter une législation nationale, ce qui fractionne inutilement le paysage législatif.

D’après les recherches dans le cadre de l’initiative TEHDAS, publiées en mars de cette année, « on peut conclure que ce ne sont pas les États membres qui ont des interprétations divergentes des aspects clés du RGPD, mais plutôt le contexte de l’infrastructure d’un pays, l’organisation des soins de santé, la législation en vigueur avant le RGPD, etc., qui donnent lieu à des différences dans la mise en œuvre du règlement ».

M. Kalliola se montre plutôt optimiste quant au fait que l’espace européen des données de santé puisse offrir une chance « d’harmoniser ces pratiques et aidera les États membres à aller de l’avant au niveau national, puis au niveau de l’Union ».

Pour y parvenir, il a souligné l’importance de feuilles de route individuelles pour chaque État membre de l’UE. Il a également insisté sur la mise en place des garanties pour les données, telles que la pseudonymisation ou l’anonymisation et la mise en place de systèmes fiables.

« Ceux qui n’ont pas choisi de s’opposer [à l’utilisation de leurs données de santé] doivent se sentir en sécurité et avoir confiance dans le système », a-t-il souligné.

[Édité par Anne-Sophie Gayet]