Scroll Top
Cover-Video2
Partager l'article



*




Bases de données et droits de propriété intellectuelle

Interview réalisé le 19 septembre 2024 par Me Laurence Huin

 

Dans cette vidéo, nous allons parler de droits de propriété intellectuelle et plus précisément les droits sur les bases de données. En effet, pour favoriser la réutilisation des données, ces droits immatériels sont considérés de facto comme un frein au partage des données et à leur valorisation. Telle Hermione Granger qui lance son sortilège de Stupéfixion pour empêcher le mouvement de son adversaire, la commission européenne n’a pas lésiné sur les moyens pour favoriser l’émergence du marché unique des données de santé quitte à « figer » les droits de propriété intellectuelle des détenteurs de données.

 

Quels droits de propriété intellectuelle pour les détenteurs de données de santé ?

Pour rappel rapidement le contenu des bases de données est juridiquement protégé par le droit du producteur de bases de données (dit aussi « droit sui generis » –[oui nous, les juristes même en droit du numérique, utilisons encore le latin]) dont le régime juridique est fixé par les dispositions du code de la propriété intellectuelle transposant pour la plupart une directive européenne de 1996. Le contenu d’une base de données est constitué de l’ensemble des données collectées par le producteur et insérées dans la base. La protection juridique du contenu trouve en effet son fondement dans l’investissement financier, matériel ou humain sub stantiel consenti par le producteur en vue de la constitution de la base de données.

Nombreux sont les détenteurs de données qui sont propriétaires de droits immatériels sur leurs bases de données au titre du droit sui generis. Or, les détenteurs de données de santé se voient impactés dans l’exercice de leurs droits de propriété intellectuelle, que ce soit par les dispositions du DGA ou celles du règlement EEDS.

 

L’impact du DGA

Tout d’abord le DGA : ce règlement, actuellement en application, ne prévoit pas d’obligation de réutilisation mais fixe uniquement les modalités d’une telle réutilisation si celle-ci est mise en œuvre. Parmi ces conditions à la réutilisation, une exception majeure au droit du producteur des bases de données est prévue. En effet, l’article 5.7 dispose que « Les organismes du secteur public n’exercent pas le droit du fabricant d’une base de données en vue d’empêcher la réutilisation de données ou de limiter celle-ci »

« La réutilisation des données n’est autorisée que dans le respect des droits de propriété intellectuelle. Les organismes du secteur public n’exercent pas le droit du fabricant d’une base de données prévu à l’article 7, paragraphe 1, de la directive 96/9/CE en vue d’empêcher la réutilisation de données ou de limiter celle-ci au-delà des limites fixées par le présent règlement ».

Le DGA   des bases de données dont dispose les détenteurs de données, sous réserve de la preuve des investissements substantiels. Cela veut donc dire que les détenteurs ne pourront pas revendiquer de tels droits de propriété intellectuelle sur leurs bases de données pour empêcher la réutilisation des données.

L’impact de l’EEDS

Spécifiquement au secteur de la santé, le règlement EEDS impose aux détenteurs de données de santé demettre à disposition des données de santé électroniques. Les données de santé électroniques s’entendent d’une part des données de santé électroniques à caractère personnel et d’autre part, les données de santé électroniques à caractère non personnel. On comprend donc que l’obligation de mise à disposition porte sur de très nombreuses données de santé, comme vous pouvez le voir : on y trouve même les données provenant d’essais cliniques.

 

Quelle marge de manoeuvre pour les états membres ?

a)             données de santé électroniques provenant de DME;

b)             données sur les facteurs ayant une incidence sur la santé, dont les déterminants socio-économiques, environnementaux et comportementaux de la santé;

b bis)    données agrégées sur les besoins en soins de santé, les ressources allouées aux soins de santé, la fourniture et l’accès en matière de soins de santé, les dépenses et le financement en matière de santé;

c)             données sur les pathogènes ayant une incidence sur la santé humaine;

d)             données administratives relatives aux soins de santé, dont les données relatives aux dispensations, aux demandes et aux remboursements;

e)             données génétiques, épigénomiques et génomiques humaines;

e bis)    autres données moléculaires humaines telles que les données transcriptomiques protéomiques, métabolomiques, lipidomiques et autres données omiques;

f)              données de santé électroniques à caractère personnel générées automatiquement grâce aux dispositifs médicaux;

f bis)     données provenant d’applications de bien-être;

g)             données relatives au statut professionnel, à la spécialisation et à l’établissement des professionnels de la santé intervenant dans le traitement d’une personne physique;

h)             registres de données de santé basées sur la population (registres de santé publique);

i)               données contenues dans les registres médicaux et les registres de mortalité;

j)               données provenant d’essais cliniques, d’études cliniques et d’investigations cliniques soumis respectivement aux règlements (UE) nº536/2014, SoHo, (UE) 2017/745 et (UE) 2017/746;

k)             autres données de santéélectroniques provenant de dispositifs médicaux ;

k bis)    données provenant des registres de médicaments et des dispositifs médicaux;

l)              données provenant de cohortes de recherche, questionnaires et enquêtes dans le domaine de la santé, après la première publication de résultats;

m)           données provenant de biobanques et de bases de données associées;

 

Cette liste qui est fixée à l’article 33 du règlement EEDS détermine les catégories minimales de données électroniques destinées à une utilisation secondaire.

Sur cette partie, les Etats membres disposent néanmoins d’une marge de manœuvre. En effet, l’article prévoit que les Etats membres peuvent, en vertu du droit national, ajouter d’autres catégories de données de santé électroniques mises à disposition en vue d’une utilisation secondaire (Article 33.8 du Règlement EHDS). Si les Etats membres peuvent ajouter des données concernées par l’obligation de mise à disposition, il ne semble pas qu’ils puissent en supprimer. Autre marge de manœuvre, les Etats membres peuvent introduire des mesures plus strictes et des garanties supplémentaires au niveau national.

 

Et les données protégées ?

De plus, le Règlement EEDS prévoit que les données de santé électroniques protégées par des droits de propriété intellectuelle ou des secrets d’affaires et/ou couverts par le droit réglementaire à la protection des données * devront également être mises à disposition dans la mesure du possible, en prenant les précautions nécessaires pour protéger ces droits (Considérant 40 quater, Règlement EHDS).

 

*Il est fait référence ici à la Directive 2001/83/CE : la directive institue un code communautaire relatif aux médicaments à usage humain. L’article 10§1 concerne essentiellement la faculté pour le demandeur d’une autorisation de mise sur le marché de ne pas fournir les résultats des essais toxicologiques, pharmacologiques et cliniques (sous conditions)

Et au Règlement 726/2004 : le règlement établit les procédures pour l’autorisation et la surveillance des médicaments à usage humain + institue l’Agence européenne des médicaments. L’article 14§11 dispose que : Les médicaments à usage humain autorisés conformément aux dispositions du présent règlement bénéficient, sans préjudice du droit concernant la protection de la propriété industrielle et commerciale, d’une période de protection des données d’une durée de huit ans et d’une période de protection de la mise sur le marché d’une durée de dix ans portée à onze ans au maximum si le titulaire de l’autorisation de mise sur le marché obtient pendant les huit premières années de ladite période de dix ans une autorisation pour une ou plusieurs indications thérapeutiques nouvelles qui sont jugées, lors de l’évaluation scientifique conduite en vue de leur autorisation, apporter un bénéfice clinique important par rapport aux thérapies existantes.

 

Concrètement, cela oblige les détenteurs de données à informer l’organisme responsable de l’accès aux données de santé (ORAD) et identifier toute donnée de santé électronique comportant des contenus ou des informations protégés. Les détenteurs de données de santé devront également indiquer les parties des ensembles de données concernées par ces droits et surtout ils devront justifier la nécessité de la protection spécifique dont ces parties de données bénéficient (Article 33 bis a) du Règlement EHDS).

Une fois informés par les détenteurs de données, ce sont les organismes d’accès aux données de santé (ORAD) qui reprennent la main pour prendre les mesures spécifiques appropriées et proportionnées, (y compris juridiques, organisationnelles et techniques), afin de garantir la protection des droits de propriété intellectuelle, des secrets d’affaires (Article 33 bis b) du Règlement EHDS). Ainsi, il appartiendra à l’organisme responsable de l’accès aux données de santé (ORAD) de déterminer si ces mesures sont nécessaires et appropriées, pas aux détenteurs des données.

On constatera donc que la protection des bases de données de santé par la propriété intellectuelle ne relève plus du ressort du détenteur de données de santé (par ex. un établissement hospitalier) mais de la discrétion de l’organisme responsable de l’accès aux données de santé.

 

La gouvernance des ORAD

Au niveau français, le règlement EEDS, une fois entrée en application, est d’application immédiate càd qu’aucune loi de transposition sera nécessaire. L’atteinte au droit sui generis des détenteurs de données est donc actée. Concernant la gouvernance, les fonctions d’un ORAD sont tenues à la fois par la Plateforme des données de santé, la CNIL et le CESREES. Il ressort des premières annonces que la Plateforme des données de santé serait l’ORAD coordinateur entre ces 3 acteurs. Ce sera donc la PDS qui aura le dernier mot sur les mesures prises pour protéger les bases de données des détenteurs de données. Les détenteurs de données devront donc se montrer particulièrement vigilants sur la modification prochaine de la gouvernance des différents acteurs impliqués dans la réutilisation des données de santé.

Avocat depuis 2015, Laurence Huin exerce une activité de conseil auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Elle a rejoint le Cabinet Houdart & Associés en septembre 2020 et est avocate associée en charge du pôle Santé numérique.
Elle consacre aujourd’hui une part importante de son activité à l’accompagnement des établissements de santé publics comme privés dans leur mise en conformité à la réglementation en matière de données personnelles, dans la valorisation de leurs données notamment lors de projets d’intelligence artificielle et leur apporte son expertise juridique et technique en matière de conseils informatiques et de conseils sur des projets de recherche.