Tribunes

Des données de santé (presque) ouvertes à tous vents

---

Applicable au 26 mars 2027, un nouveau Règlement européen du 11 février 2025 relatif à l'espace européen des données de santé ouvre leur accès aux entités publiques comme aux entreprises au mépris du consentement de l'individu pour certains traitements.

PublicitéDepuis 2016, le RGPD est censé protéger les données personnelles, incluant celles de santé. Un nouveau Règlement baptisé Espace européen des données de santé (EHDS en anglais) vient le "compléter" depuis peu. Cette réglementation, approuvée par le Conseil (de l'Europe ?) en février 2025, après de longues négociations avec certaines entreprises spécialisées, entre en application le 26 mars 2027. Applicable par étapes, elle est basée sur deux types d'utilisation des données, l'usage dit primaire destiné aux soins d'abord, et l'usage dit secondaire ensuite, à des fins de recherche, d'innovation, de santé publique ou autres. L'objectif annoncé est de créer "un environnement de données spécifique à la santé qui assurera un accès transfrontière aux services et produits de santé numériques au sein de l'UE".

Pourquoi un nouveau Règlement quand le précédent était censé protéger les données ? L'émergence massive de l'IA a sans aucun doute motivé le législateur. Outre l'objectif d'améliorer la santé grâce à cette technologie, il s'agit sans aucun doute de faciliter le développement d'un nouveau marché en facilitant l'accès aux données de santé par les entreprises privées et établissements de recherche. Une démarche qui pose un problème de taille avec l'un des objectifs majeurs du RGPD, à savoir protéger les données de santé en soumettant leur usage à un "consentement explicite des personnes concernés", pour citer ChaptGPT*.

Il est interdit d'interdire... d'utiliser les données

A ce stade, l'analyse du contenu du Règlement pose quelques questions. Avocat spécialisé dans le numérique chez Lawint, Alexandre Diehl décrit : "Dans le cadre de l'usage secondaire, l'article 53 du Règlement EHDS liste les finalités autorisées en fonction de la nature du destinataire, comme par exemple les établissements de recherche qui peuvent accéder aux données de santé dans le cadre de définition ou de mise en oeuvre de politiques de santé publique, ou, pour les entreprises privées, pour des finalités 'd'activités d'éducation ou d'enseignement dans les secteurs de la santé' (art 53.1.d) ou de « recherche scientifique (...) dans le but d'en faire bénéficier les utilisateurs finaux, tels que les patients, les professionnels de la santé et les administrateurs des services de santé ». Une porte ouverte pour toutes les entreprises plutôt actives sur le marché de la santé notamment par le biais des activités de formation. Mais qui restait, jusqu'alors, soumise à ce fameux accord explicite. Pas d'inquiétude ! Le législateur a souligné, dans le Considérant 52 (sorte d'introduction du texte), que les États membres ne devraient plus pouvoir « maintenir ou introduire des limitations et des dispositions spécifiques exigeant le consentement des personnes physiques... »Foin du consentement donc !

PublicitéLa contradiction n'est qu'apparente. « Cet article représente une exception à la règle. En d'autres termes, cette disposition exceptionnelle (pas de consentement nécessaire) prévaut sur la règle générale du RGPD qui exige le consentement, explique Alexandre Diehl. Ce point est d'ailleurs clairement explicité dans le 'considérant'. » Au final, il est légitime de se demander si ce nouveau Règlement n'a pas simplement vocation à créer un marché.

* réponse à la question "Résumes-moi le Réglement européen des données de santé applicable en 2025"

Article rédigé par

Patrick Brébion, Journaliste
Après quelques années dans le développement logiciel, Patrick est devenu journaliste. Depuis le siècle dernier, il couvre plus spécialement tous les sujets IT pour la presse spécialisée. Il a également passé quelques années en tant qu'ingénieur de recherche à l'Université.

Partager cet article