Réutilisation des données de santé : consultation publique en perspective
Interview réalisé le 12 septembre 2024 par Me Laurence Huin
Tel Monsieur Jourdain qui fait de la prose sans le savoir, les professionnels de santé et les patients produisent machinalement une quantité massive de données de santé. Parmi ces données, on trouve celles collectées dans le cadre d’un parcours de prévention, de soins ou de suivi social et médico-social mais également celles collectées dans le cadre de recherches. Ces données de santé collectées pour ces différentes finalités font dans ce cadre l’objet d’une utilisation primaire.
Réutilisées, ces données de santé sont sources d’informations précieuses sur l’état de santé de la population, les parcours de soins des patients mais également sur l’orientation des politiques en matière de santé publique. Ainsi, la réutilisation secondaire de ces données laisse présager un potentiel immense en termes d’innovation, de pilotage du système de santé ainsi que la prise en charge du patient et la recherche scientifique.
De nouveaux règlements européens
C’est dans ce contexte qu’au niveau européen, la Commission européenne a adopté une stratégie en matière de données afin qu’au sein de l’Union européenne soit mis en place un marché unique des données et ce notamment pour favoriser leur réutilisation. Dans cet objectif différents textes juridiques ont été adoptés :
- Tout d’abord, le met en place le premier espace de données européen commun
règlement sur la gouvernance des données (Data Gouvernance Act – « DGA ») : ce texte, qui n’est pas spécifique au secteur de la santé, vise à faciliter le partage des données entre les différents secteurs d’activité et entre les États membres. Le DGA est entré en vigueur le 23 juin 2022 et, après un délai de grâce de 15 mois, Il est applicable depuis septembre 2023. - Ensuite le • ce texte entrera en application le 12 septembre 2025 (Sauf pour les obligations relatives à la mise à disposition des données des objets connectés et des services corolaires, dont l’application est reportée au 12 septembre 2026.) : ce règlement permet de mettre davantage de données à disposition en vue de leur réutilisation au moyen de nouvelles règles pour déterminer qui peut accéder aux données et les utiliser, et à quelles fins, dans tous les secteurs économiques de l’UE.
- Enfin et non des moindres, le • règlement relatif à l’espace européen des données de santé: il faut rappeler que la Commission européenne soutient le développement d’espaces de données européens communs dans dix domaines stratégiques tels que l’agriculture, l’industrie, l’énergie, les transports, les finances, … et également la santé. C’est ce règlement sur l’espace européen des données de santé (EEDS) qui met en place le premier espace de données européen commun. On précisera qu’à l’heure où sort cette vidéo, le texte a été adopté en avrilmais n’est pas encore formellement entré en vigueur mais devrait l’être cet automne. Le chapitre IV du Règlement EEDS relatif à l’utilisation secondaire s’appliquera quatre (4) ans après la date d’entrée en vigueur, ce qui laisse un peu de temps.
💡
DGA
Le DGA établit notamment les conditions de réutilisation, au sein de l’Union européenne, de certaines catégories de données détenues par des organismes du secteur public. Les organismes du secteur public sont définis comme l’Etat, les autorités régionales ou locales, les organismes de droit public ou les associations formées par une ou plusieurs de ces autorités ou un ou plusieurs de ces organismes de droit public. Le DGA définit la notion d’ « organismes de droit public » selon 3 critères cumulatifs : ils ont été créés pour satisfaire spécifiquement des besoins d’intérêt général et n’ont pas de caractère industriel ou commercial (1), ils sont dotés de la personnalité juridique (2), ils sont financés majoritairement par l’Etat, les autorités régionales ou locales ou d’autres organismes de droit public, leur gestion est soumise à un contrôle de ces autorités ou organismes, ou leur organe d’administration, de direction ou de surveillance est composé de membres dont plus de la moitié sont désignés par l’Etat, les autorités régionales ou locales ou d’autres organismes de droit public (3). Le considérant 12 du règlement prévoit également que les organismes exerçant une activité de recherche et les organisations finançant une activité de recherche pourraient aussi être considérés comme des organismes du secteur public ou des organismes de droit public.
Au regard de ces définitions et précisions, les établissements de santé et médico-sociaux entrent dans le champ d’application du présent règlement mais pas de manière intégrale. Les établissements privés lucratifs, en ce qu’ils ne poursuivent pas la réalisation d’un besoin d’intérêt général, ne rentreraient pas dans le champ d’application du DGA (par exemple : cliniques privées lucratives). Les établissements de santé privé d’intérêt collectif (« ESPIC ») remplissent quant à eux le critère de l’intérêt général prévu pour la qualification d’organisme de droit public mais la qualification dépendra des autres critères notamment de financement. Une évaluation au cas par cas des critères sera à mener afin d’établir une qualification en tant qu’organisme de droit public.
EHDS
Bien qu’aucun champ territorial ne soit précisé par le règlement, celui-ci vient déterminer son champ d’application matériel. Le détenteur de données de santé s’entend de « toute personne physique ou morale, autorité publique, agence ou autre organisme dans les secteurs des soins de santé ou des soins, (…) ainsi que toute personne physique ou morale qui développe des produits ou des services destinés aux secteurs de la santé, des soins de santé ou des soins (…) ; qui effectue des travaux de recherche ayant trait aux secteurs de la santé ou des soins (…) et qui ont :
- Le droit ou l’obligation (…) de traiter des données de santé électroniques à caractère personnel à des fins de fourniture de soins de santé ou de soins, ou à des fins de santé publique, de remboursement, de recherche, d’innovation, d’élaboration des politiques, de statistiques officielles, de sécurité des patients ou de règlementation en leur qualité de responsable ou responsable conjoint de traitement ; OU
- La capacité de mettre à disposition des données de santé électroniques à caractère non personnel, y compris de les enregistrer, de les fournir, d’en restreindre l’accès ou de les échanger, par le contrôle de la conception technique d’un produit et de services liés ».
Le terme « soins » est entendu au sens du règlement EHDS comme un service professionnel destiné à répondre aux besoins spécifiques d’une personne qui, en raison d’une déficience ou d’autres troubles physiques ou mentaux, nécessite une assistance, y compris des mesures de prévention et de soutien, pour accomplir les activités essentielles de la vie quotidienne afin de favoriser son autonomie personnelle.
Il est précisé que dans le cadre de l’utilisation secondaire des données de santé électroniques, les détenteurs de données de santé seront comprises comme les entités qui sont des prestataires de soins ou de santé ou qui mènent des recherches dans les secteurs des soins ou de la santé. Ces entités peuvent être publiques, à but non lucratif ou privées.
Par conséquent, les établissements de santé – publics ou privés – et établissements médico-sociaux, en qualité de détenteur de données de santé, entrent dans le champ d’application du Règlement EHDS.
Qu’en est-il en France ?
L’utilisation secondaire des données s’organise déjà autour du système national des données de santé, (le SNDS), mais aussi de met en place le premier espace de données européen commun des données de santé (qu’on dénommait avant le Health Data Hub). Juridiquement la réutilisation des données de santé est encadrée par la loi Informatique et Libertés dont la CNIL et le CESRESS assurent l’application.
Récemment, d’importants investissements ont été menés et des appels à projets ont été lancés pour encourager la constitution de bases de données de santé, et notamment les entrepôts de données de santé hospitaliers. La France veut se positionner comme leader dans le domaine de la réutilisation des données de santé.
C’est ainsi qu’en janvier dernier est sorti le rapport Marchand Arvier qui rendait différentes recommandations pour « libérer l’utilisation secondaire des données ». Dans la continuité du rapport Marchand-Arvier (Fédérer les acteurs de l’écosystème pour libérer l’utilisation secondaire des données de santé, Marchand-Arvier J., 5 décembre 2023) et du rapport aussi de l’Académie Nationale de Médecine (Lever les freins au développement de la Recherche clinique en France, Académie Nationale de Médecine, 2 avril 2024) , un projet de loi a été déposé en avril dernier de simplification administrative visant notamment à simplifier la réutilisation des données de santé en matière de recherche et d’innovation. Toutefois, la dissolution de l’Assemblée nationale a entrainé l’interruption de tous les travaux législatifs en cours.
En parallèle de ce projet de loi avorté, la CNIL a également lancé une consultation publique jusqu’en juillet dernier sur l’ensemble de ses référentiels santé (càd toutes les méthodologies de référence (les MR) mais aussi les référentiels relatifs aux entrepôts de données de santé, à la gestion des vigilances sanitaires, aux accès précoces et compassionnels …), ces textes sont donc amenés à évoluer prochainement.
Enfin, dans le but de s’inscrire dans la trajectoire européenne de la construction de l’espace européen des données de santé, la délégation du numérique en santé (« DNS ») a fait savoir qu’une feuille de route nationale pour l’utilisation secondaire des données de santé devrait être publiée fin de l’année 2024, avec une mise en concertation publique prévue le 30 septembre 2024. Pour y répondre au mieux, des éclaircissements et mises en perspective vous seront apportés dans nos prochaines vidéos.
Avocat depuis 2015, Laurence Huin exerce une activité de conseil auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Elle a rejoint le Cabinet Houdart & Associés en septembre 2020 et est avocate associée en charge du pôle Santé numérique.
Elle consacre aujourd’hui une part importante de son activité à l’accompagnement des établissements de santé publics comme privés dans leur mise en conformité à la réglementation en matière de données personnelles, dans la valorisation de leurs données notamment lors de projets d’intelligence artificielle et leur apporte son expertise juridique et technique en matière de conseils informatiques et de conseils sur des projets de recherche.