Et si le DGA n’était que le début ?
Article rédigé le 18 septembre 2023 par Me Laurence Huin
Pour tous ceux qui souhaitent se lancer dans l’intelligence artificielle, monter des projets innovants avec des starts-up et valoriser les données collectées mais qui croient encore que le sigle « DGA » signifie Directeur général adjoint… cet article est pour vous !
Le 24 septembre prochain le DGA entrera en application et la réutilisation des données collectées à l’occasion d’une mission de service public par toute personne qui en fait la demande – y compris à des fins commerciales – devra faire l’objet d’une redevance. La redevance n’est pas une valorisation mais c’est déjà un début.
Reste aux hôpitaux à penser une organisation et négocier des partenariats avec les sociétés en e-santé pour assurer une valorisation de leurs actifs immatériels – données mais également savoir-faire !
Le constat est là : les interactions avec les sociétés innovantes en e-santé sont de plus en plus nombreuses à l’hôpital ; que ces partenariats soient portés directement par la DRCI ou par les praticiens et chefs de services directement sollicités par ces sociétés privées. Parmi ces projets, rares sont ceux qui ne concernent pas des données de santé de patients.
Or bien souvent l’hôpital ne valorise pas au mieux ses actifs immatériels apportés au projet, qu’il s’agisse du temps homme passé, de ses bases de données utilisées pour améliorer l’algorithme ou encore son savoir-faire – vis-à-vis de son cocontractant.
Le contexte réglementaire actuel évolue avec l’entrée en application le 24 septembre prochain du Data Governance Act, dit « DGA », règlement européen d’application directe. Et si le DGA était le début vers des relations contractuelles plus équilibrées ?
Le DGA : le début de contreparties financières
L’entrée en application du DGA est l’occasion de penser à une grille tarifaire pour la réutilisation par des tiers des données collectées à l’occasion d’une mission de service public.
Il est vrai que le DGA écarte le droit sui generis sur les bases de données, prévu par la directive 96/9/CE et repris au sein du code de la propriété intellectuelle, qui aurait pu être invoqué pour empêcher la réutilisation des données d’un organisme du secteur public collectées à l’occasion d’une mission de service public. En écartant ce droit de propriété intellectuelle sur les bases de données, le DGA réduit ainsi drastiquement les marges de négociation de l’hôpital. Nous nous en sommes faits largement l’écho (voir notre article dans DSIH).
Toutefois, restons positif, ce texte européen prévoit une contrepartie financière pour avoir autorisé cette réutilisation des données, que ce soit à des fins commerciales ou non. L’hôpital pourra donc percevoir des redevances :
« calculées sur la base des coûts liés à la conduite de la procédure de demande de réutilisation des catégories de données […] et limitées aux coûts nécessaires relatifs :
- à la reproduction, à la fourniture et à la diffusion des données;
- à l’acquisition des droits;
- à l’anonymisation ou à d’autres formes de préparation des données à caractère personnel et des données commerciales confidentielles conformément à l’article 5, paragraphe 3;
- à la maintenance de l’environnement de traitement sécurisé;
- à l’acquisition du droit d’autoriser la réutilisation conformément au présent chapitre par des tiers extérieurs au secteur public; et
- à l’assistance fournie aux réutilisateurs pour obtenir le consentement des personnes concernées et l’autorisation des détenteurs de données dont les droits et intérêts peuvent être affectés par cette réutilisation »
Les critères et méthodes de calcul des redevances sur la base de ces 6 coûts sont arrêtés par les États membres. Il est malheureux de noter que le projet de loi visant à sécuriser et réguler l’espace numérique (loi SREN), encore en cours de discussion devant l’assemblée nationale, – et dont l’objet avancé était d’adapter les règles françaises aux différents règlements européens (DSA, DMA et aussi DGA) – ne prévoit aucune précision sur le sujet de la réutilisation des données prévue au chapitre II du DGA.
En attendant de telles précisions, l’hôpital va devoir arrêter de manière transparente, non discriminatoire, proportionnée et objectivement justifiée et sans restreindre la concurrence ces redevances. Le texte invite les organismes du secteur public à prévoir des incitations pour ceux qui réutilisent les données à des fins non commerciales, par exemple à des fins de recherche scientifique, ainsi que pour les PME et les jeunes pousses. Les organismes du secteur public peuvent établir une liste des catégories de réutilisateurs bénéficiant de ces incitations et la rendre publique. Il est même prévu que l’hôpital devra prévoir que les redevances puissent être acquittées en ligne au moyen de services de paiement transfrontaliers largement disponibles !
On le comprend le DGA présente une formidable opportunité pour les entreprises du secteur de la e-santé mais également pour les hôpitaux qui n’avaient pas toujours le réflexe – voire l’opportunité lorsque les contrats étaient conclus directement avec les praticiens – de négocier des redevances en contreparties de l’accès à leurs données. Désormais, les redevances sont le minimum !
La suite : une négociation soutenue des contrats de partenariats
Toujours dans l’intérêt du service public, l’auteure de ces lignes ne peut se satisfaire des seules redevances prévues par le DGA.
En effet parmi les 6 coûts fixés par le DGA et sur lesquels les redevances devront être établies, il ne ressort à aucun moment les coûts nécessaires au développement et à la collecte des données. Seul le traitement d’extraction devrait être pris en compte au titre des redevances et non la valeur réelle d’accès et d’utilisation aux données collectées à l’occasion d’une mission de service public.
Dans l’attente des précisions nécessaires sur les critères et méthodes de calcul des redevances du DGA, l’hôpital doit donc appréhender plus largement les négociations des partenariats qu’ils concluent avec les acteurs de la e-santé qui frappent à ses portes.
Tout d’abord, si le DGA s’applique aussi bien aux données personnelles que non personnelles, le RGPD reste un rempart face à des réutilisations non compatibles avec les finalités pour lesquelles les données à caractère personnel ont été initialement collectées (le soin par exemple). Le responsable de traitement initial – c’est-à-dire celui qui a collecté les données personnelles (l’hôpital très souvent) – devra s’assurer de la compatibilité du traitement envisagé par son partenaire qui souhaite réutiliser les données. La constitution d’un entrepôt de données de santé par le prestataire de télésurveillance par exemple doit être donc réfléchi et autorisé ou non par l’hôpital.
Par ailleurs, les droits de propriété intellectuelle, bien connus de la DRCI, doivent également être revendiqués sur les résultats d’un partenariat. Si le personnel de l’hôpital participe à l’évolution d’une solution logicielle, d’un algorithme, voire d’un dispositif médical, une copropriété sur les résultats du partenariat devra être négociée. Qui dit copropriété ne veut pas nécessairement dire égalité des quotes-parts de propriété mais un simple droit d’usage pour une durée limitée (parfois quelques mois) ne doit plus être accepté. Si la participation dans des sociétés commerciales pourra être envisagée pour certains CHU, le rachat des quotes-parts de propriété sera peut être plus prudent pour d’autres établissements de santé.
Cette approche « offensive » des partenariats devra se distinguer non seulement des libéralités (donation, parrainage…) que l’hôpital peut recueillir notamment au travers d’une fondation hospitalière mais également des avantages en espèce ou en nature consentis par des entreprises aux personnes exerçant une profession de santé et autres personnes visées à l’article L.1453-4 du code de la santé publique.
Le DGA doit donc être l’opportunité pour les établissements de santé d’apprendre à valoriser tout actif immatériel lui appartenant – des données collectées à son savoir-faire. Pour ce faire, une réorganisation des services compétents devra être envisagée afin que chacun puisse être sollicité lors des négociations : les achats pour s’assurer du respect des règles de la commande publique, mais également la DRCI et le service juridique, sans oublier le délégué à la protection des données !
Avocat depuis 2015, Laurence Huin exerce une activité de conseil auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Elle a rejoint le Cabinet Houdart & Associés en septembre 2020 et est avocate associée en charge du pôle Santé numérique.
Elle consacre aujourd’hui une part importante de son activité à l’accompagnement des établissements de santé publics comme privés dans leur mise en conformité à la réglementation en matière de données personnelles, dans la valorisation de leurs données notamment lors de projets d’intelligence artificielle et leur apporte son expertise juridique et technique en matière de conseils informatiques et de conseils sur des projets de recherche.