Par Nathalie Boudet-Gizardin, Marine Vanhoucke, associées et Louise Buffet. Le règlement européen créant l’Espace européen des données de santé (dit EHDS) a été adopté le 24 avril 2024 après que le Parlement et le Conseil soient parvenus à un accord politique sur la proposition de la commission. Ce règlement, dont l’entrée en vigueur interviendra dans les deux à six prochaines années, a pour ambition de : Ainsi, vont être créés un outil d’échange de données de santé (l’infrastructure MyHealth@EU) pour l’utilisation primaire de ces données, et un catalogue de données de santé (l’infrastructure HealthData@EU) pour l’utilisation secondaire de celles-ci[1]. Selon le communiqué de presse de la Délégation du numérique en santé du 25 avril 2024, ce règlement renforce et harmonise, en complément du Règlement Général sur la Protection des Données (RGPD), les droits des personnes concernées en matière de données de santé : droit d’accès direct aux dossiers médicaux, droit d’opposition au traitement des données de santé, paramétrage des accès à ces données… Pourtant, tel que nous l’avions déjà évoqué dans un article précédent[2], le droit français connait déjà une forme de dossier médical numérique, le dossier médical partagé[3], qui a fait suite à l’échec du dossier médical personnel[4]. Interrogée par des députés au sein de la commission des affaires européennes sur l’articulation entre ce dossier médical partagé (DMP) français et le DME européen, la députée Laurence CRISTOL[5] a simplement indiqué que la France avait été citée lors des discussions autour du texte européen comme un exemple, étant précurseur dans le domaine. Il faut probablement comprendre que le DMP répond déjà à la définition du DME et que les changements à venir vont consister à « connecter » ce DMP aux dossiers médicaux créés dans les autres pays européens afin d’atteindre un but d’interopérabilité. Quant au contrôle des patients sur les informations contenues dans ce DMP, ces-derniers disposent déjà d’un droit de consultation et de rectification voire d’effacement de leurs données: Par ailleurs, le nouveau règlement rend obligatoire la participation à l’infrastructure européenne commune centralisée MyHealth@EU. Or, la France a déjà adhéré à cette infrastructure en lançant le service Sesali (Service européen de santé en ligne) qui permet aux professionnels de santé français d’accéder à la synthèse médicale du dossier d’un patient européen de manière sécurisée, structurée et en français. L’apport de ce nouveau règlement apparait donc limité pour le droit français. Toutefois, la députée Laurence CRISTOL a précisé que s’il existait déjà, préalablement à l’adoption de ce règlement, un partage de données de santé entre des pays de l’espace européen et des pays extra européens, ce partage n’était pas encore spécifiquement réglementé. En effet, comme le précise le règlement en son article 1, 2. (a), il spécifie et complète les droits des personnes physiques instaurés par le RGPDdans le champ spécifique de l’utilisation primaire et secondaire de leurs données de santé électroniques. Ainsi, ce nouveau règlement, dont la publication en français est encore attendue, prévoit en son article 5 les catégories prioritaires de données personnelles de santé, à des fins d’utilisation primaire, comprenant notamment les prescriptions et résultats d’analyses diverses. La liste exhaustive de ces catégories prioritaires sera fixée par des actes d’exécution de la Commission, à laquelle le règlement délègue ce pouvoir. Les professionnels de santé auront donc accès aux données électroniques de santé pertinentes et nécessaires des patients qu’ils soignent quel que soit l’Etat membre d’origine de ces patients et l’Etat membre dans lequel ils reçoivent des soins, ces données devant comprendre au moins les catégories prioritaires visées à l’article 5 (article 7a). Un grand nombre de précisions se font toutefois attendre sur la mise en œuvre concrète de ce règlement, qui passeront par l’adoption par la Commission d’actes d’exécution et d’actes délégués sur autorisation du règlement. Il faudra donc faire preuve de patience pour pouvoir déterminer si ce règlement atteint son objectif de renforcement de la protection des données des patients. Pour autant, si différents acteurs tels que la Commission des affaires européennes du Sénat[7], la CNIL et le Comité européen de protection ont plaidé pour un hébergement des données au sein de l’Union Européenne par une entreprise européenne, la récente décision de la CNIL[8] du 21 décembre 2023 d’autoriser l’hébergement d’un entrepôt de données issues du Système national des données de santé (SNDS) chez Microsoft pendant 3 ans, le temps qu’un opérateur Cloud français ou européen soit opérationnel, démontre que l’Union Européenne a encore du chemin à parcourir en la matière… [1] Ces deux infrastructures ne sont pas des bases de données regroupant toutes les données des citoyens européens. [2] « Tout ce qu’il faut savoir sur l’accès au dossier médical partagé en 2022 », 20 janvier 2022, site cabinet GMPV. [3] Crée par la loi n°2016-41 du 26 janvier 2016. [4] Crée par la loi n°2004-810 du 13 aout 2004. [5] « L’espace européen des données de santé » Communication de Mme Laurence CRISTOL, députée, mercredi 23 novembre 2022, p. 7 [6] Voir « Le droit du patient à la rectification ou à l’effacement de ses données », 5 octobre 2021, site cabinet GMPV. [7] Sénat, Rapport d’information n°848 par Mmes Pascale GRUNY et Laurence HARRIBEY, p. 8 [8] CNIL, délibération n°2023-146 du 21 décembre 2023 ; Concerne les données de patients fournies par 4 grands hôpitaux et les données de l’assurance maladie, pour faire avancer la recherche pharmaco-épidémiologique sur les effets à long terme des traitements médicaux. Nathalie Boudet-Gizardin Associée Nathalie Boudet-Gizardin a développé une expertise dans le conseil et l’assistance des professionnels de santé (médecins, pharmaciens, biologistes, vétérinaires, chirurgiens-dentistes, sages-femmes), tant pour structurer juridiquement leur activité et négocier leurs contrats et partenariats avec des établissements de santé. Marine Vanhoucke Associée Marine Vanhoucke conseille les entreprises en matière de Propriété Intellectuelle et les accompagne sur leurs sujets de Conformité. Responsable du bureau de Hong Kong, elle assiste les sociétés françaises dans leur implantation et croissance en Asie et a construit une expertise des questions juridiques de droit international, mêlant notamment des intérêts français et asiatiques.