Espace européen des données de santé (EHDS) de nouvelles possibilités d'utilisation des données médicales
Espace européen des données de santé
L'objectif de la Commission européenne est d'améliorer l'utilisation et l'échange des données de santé dans l'Union européenne afin de suivre les évolutions à l'étranger. Une "expérience" marquante a sans doute été le fait que, pendant la période de pointe de la pandémie de grippe A (Corona), on dépendait de données sur la pandémie provenant de l'étranger, comme Israël et la Grande-Bretagne, alors que des données aussi complètes n'étaient pas accessibles au sein de l'Union européenne, car elles étaient isolées dans des "silos de données", pour reprendre les termes du ministre allemand Karl Lauterbach. Afin de rendre les données plus utilisables, différents espaces de données spécifiques aux secteurs doivent être créés. Outre les espaces de données pour les données de santé, il est prévu de créer des espaces de données pour les données de mobilité, par exemple. Les détenteurs de données doivent alors mettre leurs données à la disposition de certains utilisateurs de données définis. La première mise en œuvre concrète d'un tel espace de données est désormais disponible par le biais du règlement sur l'espace européen des données de santé ou - en anglais - sur l'espace européen des données de santé.
Le projet de règlement relatif à l'espace européen des données de santé (EHDS) se compose de deux éléments essentiels : l'utilisation primaire des données de santé et l'utilisation secondaire des données de santé.
Utilisation primaire des données de santé
Dans le cadre de l'utilisation primaire des données médicales électroniques, deux aspects doivent être atteints :
D'une part, il s'agit de faciliter l'échange de données entre les différents États membres de l'UE. Pour ce faire, il convient tout d'abord de créer une plateforme européenne centrale pour la santé numérique. Le projet de règlement prévoit déjà un nom concret à cet effet : "MyHealth@EU". D'autre part, un format d'échange uniforme doit être défini pour les dossiers médicaux électroniques et les données des patients, afin que l'échange entre les différents États membres soit techniquement possible.
D'autre part, des directives doivent être établies pour les logiciels de dossiers médicaux électroniques. La désignation anglaise est Electronic Health Records ("EHR"). Le règlement sur les DME pose ensuite différentes exigences à un tel DME - en gros comparables aux exigences d'un produit de classe I selon le règlement européen sur les dispositifs médicaux ("MDR"). Il existe notamment des exigences en matière d'interopérabilité, de compatibilité et de sécurité.
Utilisation secondaire des données électroniques de santé
La deuxième partie déterminante du règlement EHDS concerne l'utilisation secondaire des données médicales électroniques. On entend par là que les données présentes dans l'espace de données doivent et peuvent être utilisées à d'autres fins, notamment pour la recherche médicale.
Dans les grandes lignes, les utilisateurs de données doivent pouvoir déposer auprès d'un service national une demande d'accès aux données auprès du propriétaire des données. L'organisme national délivre ensuite, le cas échéant, une autorisation de données à la suite de laquelle un détenteur de données doit mettre les données à disposition. Les détenteurs de données peuvent également être des entreprises de technologie médicale. Les données peuvent même comprendre des données de dispositifs médicaux.
Il est prévu que les utilisateurs de données puissent consulter les données dans un "environnement sécurisé". Cela signifie essentiellement une sorte de connexion au portail MyHealth@EU - à la différence d'un téléchargement des données. Le téléchargement de données ne sera possible que pour les données électroniques non personnelles relatives à la santé.
Critique
Le projet de règlement relatif à l'EHDS fait actuellement l'objet de critiques considérables :
Le Comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (CEPD) considèrent que le projet de règlement relatif à l'EHDS est actuellement incompatible avec la législation sur la protection des données et qu'il constitue une violation de la Charte des droits fondamentaux de l'UE, dans laquelle la protection des données est également ancrée.
La critique porte également sur le fait que les simples applications de bien-être, c'est-à-dire les logiciels qui n'ont pas atteint le seuil des dispositifs médicaux, doivent également être couvertes. Si, par exemple, des données issues de trackers de fitness sont également saisies, cela soulève des doutes considérables à deux égards : d'une part, on peut supposer que la qualité des données est différente de celle des données qui ont été créées par un dispositif médical certifié. D'autre part, les applications de bien-être de ce type (par exemple une montre de fitness) permettent de collecter des données beaucoup plus importantes sur une personne au cours d'une journée. L'enregistrement et la mise à disposition de ces données permettent d'avoir un aperçu incomparablement plus complet du quotidien et donc de la personnalité des personnes concernées qu'un aperçu ponctuel, par exemple via la réalisation d'une radiographie à un moment donné.
En outre, les critiques portent sur le fait que le principe ancestral du traitement des données relatives à la santé, à savoir le secret du patient et le secret médical, ne fait plus guère l'objet d'une attention particulière.
La question de savoir si l'on parvient réellement à pseudonymiser les données ou si l'on peut tout de même établir un lien avec une personne en raison de la possibilité de les combiner avec d'autres données ou de créer des inférences suscite également des doutes considérables.
D'autres points litigieux concernent la question de l'obligation de coopérer ou de la mise à disposition "non sollicitée" de ces données, le cas échéant sans réglementation de l'opt-out.
En outre, il est demandé que l'autorisation des données ne soit pas accordée par une autorité nationale, mais par un organisme européen unique qui devrait également procéder à une évaluation éthique. Cela permettrait d'éviter des pratiques décisionnelles divergentes ainsi qu'une "course vers le bas", selon laquelle les utilisateurs de données s'adresseraient de préférence à l'organisme qui a mis en place le moins d'obstacles dans la pratique administrative.
Enfin, le manque de coordination avec les règles du RGPD est critiqué. Le projet de règlement relatif à la protection des données à caractère personnel stipule certes que le RGPD ne doit pas être affecté. Néanmoins, de nombreuses questions se posent, par exemple en ce qui concerne l'interaction avec la réglementation relative aux catégories particulières de données à caractère personnel (notamment les données de santé) conformément à l'article 9 du RGPD.
Efforts parallèles en Allemagne
Deux projets parallèles ont été convenus dans l'accord de coalition, à savoir une loi sur l'utilisation des données de santé et une loi sur les registres.
Loi sur l'utilisation des données de santé
La loi sur l'utilisation des données de santé n'est actuellement mentionnée que dans l'accord de coalition. Il n'existe pas encore de projet. Sur demande du Bade-Wurtemberg, le Bundesrat a donné son accord en décembre 2022. La Confédération est maintenant invitée à présenter rapidement un projet de loi sur l'utilisation des données de santé.
L'objectif est d'améliorer l'utilisation scientifique des données de santé en accord avec le RGPD. Il s'agit notamment de créer une infrastructure décentralisée de données de recherche. Il existe à cet égard de nombreux parallèles avec le règlement EHDS, de sorte que les aménagements nationaux doivent également être harmonisés avec les dispositions du prochain règlement EHDS.
Loi sur les registres
La loi sur les registres n'est également mentionnée que dans l'accord de coalition. Il n'existe pas encore de projet de loi.
En Allemagne, il existe plus de 350 registres médico-scientifiques différents - certains imposés par la loi et beaucoup sur une base volontaire. L'objectif de la loi sur les registres est de contribuer à l'amélioration de l'accès aux données des registres médicaux existants et de leur utilisation pour la recherche et les soins. Dans cette optique, une certaine uniformisation doit avoir lieu. La législation se rattache à certains aspects de la loi sur les soins numériques (DVG) du gouvernement précédent, par exemple en ce qui concerne le centre de données de recherche (FDZ). Ici aussi, la question de savoir dans quelle mesure les données peuvent être transmises au registre, notamment si un consentement est nécessaire ou si une simple opposition (opt-out) peut être prévue, constituera un grand débat.
Conclusion
La législation dans le domaine de l'"exploitation" des données médicales a pris un nouvel élan avec le projet de règlement EHDS ainsi qu'avec les deux lois nationales envisagées, la loi sur l'utilisation des données de santé et la loi sur les registres. On peut donc espérer que l'accès aux données de santé sera considérablement facilité et que d'autres possibilités de recherche et surtout d'exploitation commerciale verront le jour. Toutefois, il faut également constater que les projets législatifs actuels ou leurs étapes préliminaires font l'objet de critiques considérables. Si ces critiques ne sont pas levées dans le cadre de la poursuite de la législation, il est à craindre que l'application des nouvelles réglementations et l'exploitation des nouvelles possibilités suscitent d'importants doutes quant à leur inefficacité. Il s'agira alors d'évaluer précisément quelles mesures peuvent être prises sur la base des nouvelles lois - ou, en perspective, avant celles-ci - sans prendre un risque juridique trop important.