J-365 : les hôpitaux face au DGA
Article rédigé le 23 septembre 2022 par Me Laurence Huin
Un an avant l’entrée en application du Data Governance Act (DGA), le 24 septembre 2023, les hôpitaux, publics comme privés, devraient s’intéresser de plus près à ce nouveau règlement européen qui s’annonce davantage révolutionnaire que le RGPD.
Composante essentielle de la stratégie européenne pour le marché unique des données, ce règlement se veut être l’instrument juridique qui facilitera le partage des données entre les secteurs d’activités, et ce, à des fins de recherche et de création de nouveaux services et produits innovants.
Vaste programme qui se concrétise au sein du DGA par une réutilisation des données exclusivement issues du secteur public et dans des conditions extrêmement favorables à leur réutilisation.
Il est donc grand temps d’étudier la portée de ce texte !
Une réutilisation des données des organismes du secteur public
Les modalités de réutilisation des données, qu’elles soient personnelles ou non, fixées dans le Data Governance Act (ci-après « DGA ») s’appliqueront uniquement aux « organismes du secteur public ».
De cette notion, il est exclu expressément les entreprises publiques, les radiodiffuseurs de service public et leurs filiales, les établissements culturels, les établissements d’enseignement et les organismes protégés pour des raisons de sécurité publique, de défense ou de sécurité nationale.
Si certains établissements publics peuvent s’interroger légitimement sur l’exclusion de certaines de leurs activités à ce DGA, de nombreux autres ne peuvent que se sentir en premier lieu concernés, tels que les établissements publics de santé.
Outre les hôpitaux des armées, se pose la question des établissements privés de santé non lucratifs. En effet, rentrent dans la définition des organismes du secteur public les organismes de droit public définis selon 3 critères cumulatifs :
- Ils sont créés pour satisfaire spécifiquement les besoins d’intérêt général et n’ont pas de caractère industriel ou commercial
- ils sont dotés de la personnalité juridique;
- ils sont financés majoritairement par l’État, les autorités régionales ou locales ou d’autres organismes de droit public, leur gestion est soumise à un contrôle de ces autorités ou organismes, ou leur organe d’administration, de direction ou de surveillance est composé de membres dont plus de la moitié sont désignés par l’État, les autorités régionales ou locales ou d’autres organismes de droit public.
Une analyse devra donc être menée pour chacun au cas par cas.
Une réutilisation des données dont la fourniture relève de la mission de service public
Autre critère posé par le nouveau texte : les données qui feront l’objet de la réutilisation doivent relever de la « mission de service public dévolue aux organismes du secteur public ».
Si depuis 2016, juristes et DPO, nous commençons à être familiers avec la base légale prévue au RGPD concernant « l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement », il en est tout autre de cette nouvelle notion.
Ce d’autant plus que la définition de la notion de « mission de service public dévolue aux organismes du secteur public » est renvoyée à ce qui est défini dans la loi, ou dans d’autres règles contraignantes en vigueur dans l’État membre concerné ou, en l’absence de telles règles, conformément aux pratiques administratives courantes dans cet État membre.
On comprend que les interprétations risquent d’être multiples et ce au regard des enjeux.
Quoi qu’il en soit les organismes du secteur public n’auront d’autre choix que de cartographier l’ensemble des applications/ traitements qui seront concernés par ce nouveau texte et de justifier si les données collectées relèvent des missions de service public qui leur ont été dévolues.
Une réutilisation des données qui va bouleverser non seulement la gouvernance autour du DPO mais aussi les pratiques existantes
Cartographier les traitements, en théorie, les établissements de santé se sont déjà attelés à la tâche dans le cadre de leur mise en conformité au RGPD. Seulement, le DGA ne s’applique pas uniquement à la réutilisation des données personnelles mais également aux données non personnelles. Dès lors, le délégué à la protection des données (DPD en bon français ou DPO selon l’acronyme anglais) devra voir nécessairement ses missions élargies, sauf à préférer la désignation d’une autre personne en charge de la gouvernance des données en général (un futur DGO pour Data governance officer).
Autre bouleversement annoncé à la lecture des dispositions du DGA, il ne sera plus possible pour un organisme du secteur public d’accorder par voie contractuelle à un partenaire des droits d’exclusivité en termes de réutilisation des données, sauf dans des conditions extrêmement limitées. Les accords de partenariat conclus avec des start-up permettant à ces dernières d’accéder aux données des établissements de santé, et ce, afin de faire évoluer leur solution ne pourront donc plus prévoir une exclusivité, comme cela peut être le cas actuellement.
Enfin, là où le RGPD laissait supporter aux réutilisateurs des données la responsabilité du traitement ultérieur des données, en termes notamment de choix de la base légale (consentement ou non) et mentions d’information, le DGA impose aux organismes du secteur public un certain nombre d’obligations afin d’assurer notamment l’anonymisation des données, l’accès à distance aux données dans un environnement sécurisé ou même encore obtenir le consentement des personnes concernées ou l’autorisation des détenteurs de données dont les droits et intérêts peuvent être affectés par cette réutilisation. On comprend donc que ces modifications sont loin d’être négligeables pour les établissements de santé.
Une réutilisation des données qui va modifier considérablement les intérêts économiques des organismes du secteur public
Enfin, s’intégrant dans la stratégie européenne pour un marché unique des données, ce texte conduit à un autre bouleversement majeur : la limitation du droit d’interdire l’extraction et/ou la réutilisation de leurs bases de données. Le DGA prévoit en effet que les organismes du secteur public ne pourront exercer leurs droits de propriété intellectuelle accordés pourtant au titre de la protection sui generis des bases de données prévue par la directive 96/9/CE. Les organismes du secteur public ne pourront ainsi empêcher ou limiter la réutilisation de leurs bases de données et devront nécessairement autoriser leur réutilisation dans les conditions définies par le DGA. Par cette limitation d’exercice de leurs droits, les organismes du secteur public vont voir nécessairement la valeur de ces actifs immatériels, que constituaient les bases de données, réduite.
Si cette atteinte aux droits de propriété intellectuelle des organismes du secteur public peut interroger, l’étude des conditions des contreparties financières (redevances) telles que prévues par le DGA ne peut que conduire à un sentiment d’injustice.
En effet, les redevances prévues par le DGA au bénéfice des organismes du secteur public pour autoriser la réutilisation des données à toute personne physique ou morale à des fins commerciales ou non seront uniquement « calculées sur la base des coûts liés à la conduite de la procédure de demande de réutilisation des catégories de données […] et limitées aux coûts nécessaires relatifs:
- à la reproduction, à la fourniture et à la diffusion des données;
- à l’acquisition des droits;
- à l’anonymisation ou à d’autres formes de préparation des données à caractère personnel et des données commerciales confidentielles conformément à l’article 5, paragraphe 3;
- à la maintenance de l’environnement de traitement sécurisé;
- à l’acquisition du droit d’autoriser la réutilisation conformément au présent chapitre par des tiers extérieurs au secteur public; et
- à l’assistance fournie aux réutilisateurs pour obtenir le consentement des personnes concernées et l’autorisation des détenteurs de données dont les droits et intérêts peuvent être affectés par cette réutilisation »
De cette liste ne ressort à aucun moment les coûts nécessaires au développement et à la collecte des données. Seul le traitement d’extraction serait pris en compte dans la redevance et non la valeur réelle d’accès et d’utilisation de telles bases de données.
Au-delà du sentiment d’injustice, il sera indispensable pour les organismes du secteur public ayant consenti à des investissements lourds pour la structuration de leurs données d’organiser juridiquement une réutilisation de leurs bases de données à leur juste valeur.
Avocat depuis 2015, Laurence Huin exerce une activité de conseil auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Elle a rejoint le Cabinet Houdart & Associés en septembre 2020 et est avocate associée en charge du pôle Santé numérique.
Elle consacre aujourd’hui une part importante de son activité à l’accompagnement des établissements de santé publics comme privés dans leur mise en conformité à la réglementation en matière de données personnelles, dans la valorisation de leurs données notamment lors de projets d’intelligence artificielle et leur apporte son expertise juridique et technique en matière de conseils informatiques et de conseils sur des projets de recherche.