L’espace européen des données de santé doit garantir un niveau élevé de protection des données de santé électroniques

14 July 2022

Bruxelles, le 14 juillet — Le comité européen de la protection des données et le Contrôleur européen de la protection des données (CEPD) ont adopté leur avis conjoint sur la proposition de la Commission européenne relative à l’espace européen des données de santé (EHDS, pour «European Health Data Space»). La proposition vise à faciliter la création d’une union européenne de la santé et à permettre à l’UE d’exploiter pleinement le potentiel offert par un échange, une utilisation et une réutilisation sûrs et sécurisés des données de santé.

Le comité européen de la protection des données et le CEPD saluent l’initiative visant à renforcer le contrôle, par les personnes concernées, des données à caractère personnel relatives à leur santé. Ils attirent toutefois l’attention des colégislateurs sur un certain nombre de préoccupations d’ordre général et les invitent instamment à prendre des mesures fermes à cet égard. En particulier, si le comité européen de la protection des données et le CEPD reconnaissent que le chapitre IV de la proposition, qui vise à faciliter l’utilisation secondaire des données de santé électroniques, sert l’intérêt général, ils considèrent par ailleurs que ces nouvelles activités de traitement des données ne sont pas sans risque pour les droits et les libertés des personnes.

Andrea Jelinek, présidente du comité européen de la protection des données, a déclaré à ce sujet: «L’espace européen des données de santé impliquera le traitement de grandes quantités de données très sensibles. Par conséquent, il est de la plus haute importance que la présente proposition ne porte en rien atteinte aux droits des ressortissants de l’Espace économique européen (EEE). La description des droits figurant dans la proposition n’est pas conforme au RGPD et il existe un risque considérable d’insécurité juridique pour les personnes qui pourraient ne pas être en mesure de faire la distinction entre les deux types de droits. Nous invitons fermement la Commission à clarifier les interactions des différents droits entre la proposition et le RGPD.»

Wojciech Wiewiórowski, contrôleur européen de la protection des données, a quant à lui déclaré ce qui suit: «Les données relatives à la santé générées par les applications de bien-être et d’autres applications numériques dans le domaine de la santé ne sont pas de la même qualité que celles générées par les dispositifs médicaux. En outre, ces applications génèrent une énorme quantité de données, peuvent être très invasives et révéler des informations particulièrement sensibles, telles que l’orientation religieuse. Il convient donc de faire en sorte que les données issues des applications de bien-être et d’autres applications numériques dans le domaine de la santé ne soient pas mises à disposition pour une utilisation secondaire.»

Si le comité européen de la protection des données et le CEPD reconnaissent les efforts déployés par la Commission pour aligner la proposition sur les dispositions du RGPD en ce qui concerne les données à caractère personnel, ils notent par ailleurs que cette proposition ajoutera une nouvelle strate à l’ensemble déjà complexe de dispositions concernant le traitement des données relatives à la santé. À ce titre, ils insistent sur la nécessité de clarifier la relation entre les dispositions de la présente proposition, celles du RGPD et celles du droit des États membres, ainsi qu’avec les initiatives européennes en cours.

De plus, le comité européen de la protection des données et le CEPD reconnaissent que l’infrastructure prévue pour l’échange de données de santé électroniques dans la présente proposition relative à l’EHDS vise à faciliter l’échange de données relatives à la santé. Toutefois, en raison de la grande quantité de données de santé électroniques qui seraient traitées, de leur caractère hautement sensible, du risque d’accès illicite à celles-ci et de la nécessité de garantir pleinement un contrôle effectif par des autorités indépendantes chargées de la protection des données, le comité européen de la protection des données et le CEPD invitent le Parlement européen et le Conseil à ajouter à la proposition une obligation de stocker les données de santé électroniques dans l’EEE, sans préjudice de transferts ultérieurs conformément au chapitre V du RGPD.

En ce qui concerne les finalités de l’utilisation secondaire des données de santé, le comité européen de la protection des données et le CEPD sont d’avis que la proposition ne décrit pas suffisamment les finalités d’un traitement supplémentaire des données de santé électroniques. Afin de parvenir à un équilibre où il est dûment tenu compte des objectifs poursuivis par la proposition et de ceux poursuivis par la protection des données à caractère personnel des personnes concernées par le traitement de ces données, il convient que les colégislateurs décrivent ces finalités de manière plus détaillée et définissent précisément les cas où il existe un lien suffisant avec la santé publique et/ou la sécurité sociale.

Enfin, s’agissant du modèle de gouvernance prévu par la proposition, les tâches et les compétences des nouveaux organismes publics doivent être soigneusement adaptées, notamment en prenant en considération les tâches et les compétences des autorités nationales de contrôle, du comité européen de la protection des données et du CEPD, lorsqu’il s’agit de traiter des données de santé. Le comité européen de la protection des données et le CEPD soulignent que les autorités chargées de la protection des données sont les seules autorités compétentes chargées des questions relatives à la protection des données et qu’elles doivent rester le seul point de contact en ce qui concerne ces questions. Il convient d’éviter les chevauchements de compétences et de préciser les domaines et les exigences en matière de coopération.

The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.