Le Parlement européen a adopté par 516 voix pour, 95 contre et 20 abstentions, des amendements à la proposition de règlement du Parlement européen et du Conseil relatif à l’espace européen des données de santé.
La question a été renvoyée aux commissions compétentes pour négociations interinstitutionnelles.
L’objectif du règlement proposé est d’établir l’espace européen des données de santé (EHDS) afin d’améliorer l’accès des personnes physiques à leurs données de santé électroniques à caractère personnel et leur contrôle sur ces données dans le contexte des soins de santé (utilisation primaire des données de santé électroniques), ainsi que pour mieux parvenir à d’autres fins dans le secteur de la santé dans l’intérêt de la société, telles que la recherche, l’innovation, l’élaboration de politiques, la préparation et la réaction aux menaces sanitaires, la sécurité des patients, la médecine personnalisée, les statistiques officielles ou les activités réglementaires (utilisation secondaire des données de santé électroniques).
Accès aux données de santé électroniques à caractère personnel et transmission de ces données à des fins d’utilisation primaire
Les personnes physiques auront le droit d’accéder, immédiatement, gratuitement et dans un format facilement lisible, consolidé et accessible, à leurs données de santé électroniques à caractère personnel traitées dans le cadre de l’utilisation primaire des données de santé électroniques. Elles auront le droit de demander à un détenteur de données de santé du secteur de la santé ou de la sécurité sociale, ou des services de remboursement, de transmettre une partie ou l’intégralité de leurs données de santé électroniques à un destinataire de données de santé de leur choix du secteur de la santé ou de la sécurité sociale, ou des services de remboursement, immédiatement et gratuitement.
L’accès aux dossiers médicaux électroniques (DME) à des fins d’utilisation primaire devrait être strictement limité aux prestataires de soins de santé. Lorsqu’ils traitent des données au format électronique, les professionnels de la santé devraient avoir accès, sur la base des principes de minimisation des données et de limitation de la finalité, aux données de santé électroniques de leurs patients personnes physiques et exclusivement aux fins de leur traitement, quels que soient l’État membre d’affiliation et l’État membre de traitement.
Lorsque l’accès aux données de santé électroniques a été limité par la personne physique, les professionnels de la santé ne seront pas informés du contenu des données de santé électroniques visé par la limitation sans le consentement explicite préalable de la personne physique.
Catégories prioritaires de données de santé électroniques à caractère personnel à des fins d’utilisation primaire
Le droit d’accès devrait porter sur les dossiers de patients, les ordonnances électroniques, l’imagerie médicale mais aussi sur les résultats de laboratoire, les résultats de tests médicaux et autres résultats complémentaires et de diagnostic, les lettres de sortie d’hospitalisation du patient et les directives médicales des personnes physiques et informations sur le consentement pour les substances d’origine humaine et les dons d’organes. Les données de santé électroniques à caractère personnel des catégories prioritaires de données devraient être délivrées dans le continuum des soins. Les États membres pourront prévoir que les personnes physiques disposent d’un droit d’opposition à l’enregistrement de leurs données de santé à caractère personnel dans un système de DME.
Droit de former un recours juridictionnel effectif contre une autorité de santé numérique
Les personnes physiques et morales auront le droit d’introduire une réclamation, individuellement ou, le cas échéant, collectivement, auprès de l’autorité de santé numérique, lorsqu’il est porté atteinte aux droits que leur confère le règlement. Elles seront habilitées à former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de santé numérique qui la concerne. Toute action contre une autorité de santé numérique devra être intentée devant les juridictions de l’État membre dans lequel l’autorité de santé numérique est établie.
Évaluation de la conformité des systèmes de DME
Afin de certifier la conformité d’un système de DME avec le présent règlement, avant sa mise sur le marché, le fabricant, son mandataire ou tout opérateur économique devra appliquer une procédure d’évaluation de la conformité. Le marquage CE, accompagné d’un numéro d’identification, ne pourra être apposé qu’une fois le système approuvé dans toute l’Union.
Catégories minimales de données de santé électroniques destinées à une utilisation secondaire
Les personnes physiques devraient disposer d’un droit d’opposition au traitement de leurs données de santé électroniques à des fins d’utilisation secondaire. Les organismes responsables de l’accès aux données de santé devraient prévoir un mécanisme d’opposition accessible et facilement compréhensible, qui permette aux personnes physiques d’exprimer explicitement leur refus voir tout ou partie de leurs données de santé électroniques à caractère personnel traitées à toutes ou à certaines fins d’utilisation secondaire. Le règlement amendé exige qu’il soit obligatoire d’obtenir le consentement explicite d’un patient pour l’utilisation secondaire de certaines données sensibles (par exemple, les informations génétiques et génomiques).
Droits de propriété intellectuelle et secrets d’affaires dans le cadre d’une utilisation secondaire
Les données de santé électroniques comportant des contenus protégés par des droits de propriété intellectuelle (PI), des secrets d’affaires ou des données couvertes par la protection réglementaire des données pourront être mises à disposition à des fins d’utilisation secondaire. Dans ce cas, les organismes responsables de l’accès aux données de santé devront prendre les mesures nécessaires pour préserver la confidentialité de ces données et veiller à ce que ces droits ne soient pas violés.
Utilisation secondaire interdite des données de santé électroniques
Les députés souhaitent que les règles interdisent de traiter de telles données aux fins suivantes:
- prise de décisions préjudiciables à une personne physique ou à un groupe de personnes physiques susceptibles de produire des effets juridiques, économiques ou sociaux;
- prise de décisions, à l’égard d’une personne physique ou d’un groupe de personnes physiques en relation à des offres d’emploi ou à l’application de conditions moins favorables dans le cadre de la fourniture de biens ou de services, y compris en les excluant du bénéfice d’un contrat d’assurance ou de crédit ou en modifiant leurs cotisations et leurs primes d’assurance ou leurs conditions de prêt;
- publicité ou activités de marketing;
- prise de décision individuelle automatisée, y compris le profilage.
Organismes responsables de l’accès aux données de santé
Les États membres devront désigner un ou plusieurs organismes responsables de l’accès aux données de santé chargés d’accorder l’accès aux données de santé électroniques à des fins d’utilisation secondaire. Les États membres devraient veiller à ce que des structures distinctes désignées soient mises en place au sein des organismes responsables de l’accès aux données de santé pour l’autorisation de traitement de données.
Chaque organisme responsable de l’accès aux données de santé devrait agir en toute indépendance pour accomplir ses tâches et exercer ses pouvoirs conformément au règlement. Ces organismes devraient statuer sur les demandes d’accès aux données, y compris décider si les données doivent être rendues accessibles sous une forme anonymisée ou pseudonymisée, sur la base de leur propre évaluation approfondie de toute raison fournie par le demandeur des données de santé. L’organisme responsable de l’accès aux données de santé ne devrait délivrer une autorisation de traitement de données que si toutes les conditions énoncées dans le présent règlement sont remplies.
Les personnes physiques et morales auront le droit : i) d’introduire une réclamation, individuellement ou, le cas échéant, collectivement, auprès de l’organisme responsable de l’accès aux données de santé; ii) de former un recours juridictionnel effectif contre une décision juridiquement contraignante prise par un organisme responsable de l’accès aux données de santé qui la concerne.
Droit d’obtenir réparation
Toute personne ayant subi un dommage matériel ou moral résultant de la violation du règlement devra avoir le droit d’obtenir réparation. Lorsqu’une personne physique estime que les droits que lui confère le présent règlement ont été violés, elle aura le droit de mandater un organisme, une organisation ou une association à but non lucratif, pour qu’ils introduisent une réclamation en son nom.