L’Espace européen de données de santé : quelles réponses à quelles questions ?
![Image [EUCS :] des entreprises européennes s’opposent à l’exclusion du critère de souveraineté](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-europe-institutions-2-2024-885x690.jpg)
![Image [DMA :] la Commission européenne va enquêter sur Alphabet, Apple et Meta](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-europe-institutions-2024-885x690.jpg)
![Image [Atos / Eviden :] Airbus jette (à nouveau) l’éponge](https://incyber.org//wp-content/uploads/2023/09/incyber-news-cybersecurity-money-bank-885x690.jpg)
Le projet de règlement sur l’Espace européen des données de santé (EHDS) propose un cadre de partage des données de santé en Europe. On peut se demander si le texte répondra aux enjeux multiples de ce secteur, qui fait face à une menace polymorphe et complexe.
Publié en mai 2022, le projet de règlement européen sur l’Espace européen des données de santé (EHDS) vient s’inscrire dans un corpus normatif préexistant (NIS/NIS2, RGPD) et en pleine structuration (DSA, DMA, Data Act, etc.). Ce corpus illustre une activité intense autour de la manière dont l’Union européenne aborde l’économie de la donnée dans sa globalité. La proposition de règlement EHDS est ainsi le premier texte de la stratégie européenne pour les données à proposer un cadre de partage des données pour un secteur en particulier.
Les objectifs du projet de règlement sont :
- D’harmoniser la gestion de données patients au sein de l’UE : utilisation, gouvernance, etc.
- De simplifier les conditions d’accès, avec notamment un focus sur l’utilisation secondaire des données de santé (pour faciliter leur prise en compte dans la création de politiques publiques, dans l’innovation, etc.) ;
- De mettre en place d’une infrastructure européenne, HealthData@EU, pour l’utilisation transfrontalière.
Ce règlement, quelle que soit sa mouture finale, aura un impact majeur sur l’utilisation de données de santé en Europe.
Pourquoi ce texte importe ?
Le projet EHDS vise à donner un cadre au partage de données de santé. Deux aspects sont significatifs dans ce cas. Le premier concerne l’harmonisation de la notion d’utilisation secondaire de données de santé entre différents États membres. Le deuxième ambitionne d’implémenter une infrastructure technologique robuste pour permettre la valorisation de ces données.
En pratique, la proposition EHDS vise à permettre à un patient espagnol voyageant en Italie en vacances d’accéder à une ordonnance dans une pharmacie locale, ou à un médecin dans une salle d’urgence en France d’accéder aux informations de santé de base d’un patient finlandais. Il est à noter qu’un début d’infrastructure existe déjà (MyHealth@EU).
Cependant, la proposition en l’état verrait l’accès élargi pour inclure des éléments tels que les résultats d’analyses médicales et les IRM. Il y aurait également des exigences obligatoires en matière d’interopérabilité et de sécurité. Les patients auraient accès à ces données de santé « immédiatement, gratuitement [et] dans un format facilement lisible ».
Prise de conscience ?
L’ambition du texte est significative. S’agit-il pour autant d’une prise de conscience de la nécessité de faire face à la menace polymorphe qui touche le secteur de la santé ?
Dans cet ordre d’idées, il est toujours pertinent de rappeler que l’objectif du texte est le partage des données de santé à l’échelle européenne. Autrement dit, il ne porte ni sur la protection ni sur la sécurité des données de santé, ces dimensions étant déjà traitées par d’autres textes (par exemple, la directive NIS2). Enfin, étant donné l’ambition et les objectifs de l’EHDS, le cadre d’utilisation des données de santé revêt une importance majeure éclipsant celui de l’approche technico-centrée de sécurité.
Ainsi, les exigences techniques de sécurité sont peu nombreuses dans la proposition EHDS et se cantonnent à quelques pratiques spécifiques : il s’agit des exigences d’accès et de traçabilité énumérées à l’article 50. L’obligation concernant les environnements de traitements de données vise à présenter des garanties de sécurité. Celles-ci passent par un accès restreint, identifiable et traçable aux données, et le cloisonnement des données en fonction des permis octroyés pour les cas d’usages.
L’article précise également que l’auditabilité de ces environnements est obligatoire. Enfin, les critères de sécurité et d’interopérabilité auxquels devront se plier les acteurs concernés par le règlement sont évoqués.
Au-delà de la nécessité de protéger
Quelles que soient les exigences techniques de sécurité des données de santé, l’implémentation technique et technologique d’un tel « espace » reste le principal défi. À ce stade, il soulève des questions liées à la maîtrise des données. Le sujet du contrôle par l’individu y est traité de façon insuffisante. Même si un organe de gouvernance est prévu par l’EHDS, celui-ci ne prévoit, par exemple, de représentants de patients.
Sur le volet technologique, le texte ne prévoit pas de créer une base centralisée de données de santé pour les résidents européens. La tendance est à l’interconnexion de différents pools de données. Il convient de bien prendre la mesure du sujet : la forme technologique doit suivre la fonction. Autrement dit, dessiner la gouvernance, les parcours utilisateurs, les points de passage obligés, les formats de données et les démarches de recours sont le fond et le véritable enjeu de l’EHDS. Répondre à ces questions ne peut et ne doit pas commencer sous l’angle technique.
En ce sens, les sujets liés aux droits et capacités d’action des personnes concernées sont des plus épineux. Ainsi, le rapport entre cette proposition de règlement et le RGPD seront à prendre en compte. De façon générale, la proposition EHDS, en l’état, affaiblit les droits et protections des personnes conférés par le RGPD : l’EHDS créerait un droit d’accès qui n’est pas cohérent avec le droit d’accès déjà existant dans le RGPD.
De plus, le champ d’application de la proposition peut amener à des situations d’incertitude juridique en ce qui concerne les applications et les données sur le bien-être et le comportement pour la santé. Si ces données sont conservées, le traitement à des fins secondaires de données personnelles provenant d’applications de bien-être et d’autres applications numériques devrait être soumis à un consentement préalable sensu RGPD. Des incertitudes similaires existent, enfin, dans les rapports de cette proposition de règlement sectoriel avec des textes transverses. Elles devront être levées avant de parler de mise en place technique.
Paver le futur
Améliorer la qualité des données de santé et faciliter leur mise à disposition permettront de mieux faire face aux défis de santé publique actuels et à venir (médecine préventive, épidémies, etc.). Ainsi, comprendre les implications techniques et technologiques d’une telle proposition réglementaire devient une obligation. Surtout quand on voit se dérouler sous nos yeux, outre-Atlantique, l’impossibilité de maîtriser le devenir des données de santé des femmes dans le contexte d’une pénalisation de l’avortement.
Aujourd’hui, le maintien en condition opérationnelle et de sécurité des infrastructures et outils numériques de santé est peu doté. Or avec les données de santé, on est au croisement de plusieurs points de tension particulière : évolution technologique rapide d’un côté qui vient avec ses propres inconnues, évolution du paysage des menaces, spécificités des systèmes et données de santé, exigences combinées complexes liées à la fois aux données (formats et standards par exemple) et à l’interopérabilité des systèmes, évolution des modèles d’affaires de fournisseurs privés de produits et services de santé et, bien sûr, l’implication des personnes.