Par Anne-Sophie Hulin

Professeure de droit à l’Université de Sherbrooke, titulaire de la Chaire Justice sociale et IA

 

Le 3 mai 2022, la commission européenne a publié une proposition de règlement européen relatif à l’espace européen des données de santé et qui vise à encadrer l’utilisation des données de santé au sein de l’Union européenne.

En quoi consiste l’Espace européen des données de santé (EEDS, ci-après) ? Et en quoi celui-ci changera-t-il la donne en matière d’utilisation secondaire des données de santé ? Quelles pistes de réflexion à retenir pour le Québec qui, lui-même, élabore sur un projet de loi dont l’objet est de faciliter l’utilisation secondaire des données de santé ? Tel est l’objet de ce billet de blogue.

1. Un plan stratégique d’utilisation secondaire des données de santé

Pour comprendre l’avènement de l’EEDS, il nous faut remonter en février 2020, moment où la Commission européenne a présenté sa stratégie pour les données. Dans ce texte fondateur, la Commission européenne expose son ambition d’un leadership d’un nouveau genre sur la scène globale, et ce au moyen d’une plus grande exploitation des données. La stratégie pour les données constitue actuellement le cœur de la politique économique et sociale de l’Union européenne. Car, si elle répond des objectifs du marché intérieur, elle va bien au-delà de considérations strictement économiques. En effet, la Commission entend, par ce biais, ériger l’Union européenne comme un modèle alternatif d’économie du numérique face à la Chine et aux États-Unis. Soit, s’imposer comme un modèle économiquement performant et inédit par son objectif de servir les intérêts de ses citoyens et de respecter les droits et valeurs qui forgent l’Union européenne. C’est donc une économie de la donnée au sein de laquelle les données pourront circuler efficacement entre les secteurs, dans l’intérêt de tous ; où les dispositions relatives au droit du numérique et des données et au droit de la concurrence seront pleinement respectées ; et où les modalités d’accès et d’utilisation des données seront équitables, claires et alignées avec l’objectif d’innovation économique et sociale grâce aux données pour lequel l’Union européenne aspire.

De cette stratégie est née la notion « d’espace européen des données ». Ce nouveau concept désigne la constitution d’écosystèmes de données sectorielles — comme celles relevant de la santé — afin d’en libérer tout le potentiel dans un souci d’innovation [1]. Ceci constitue une innovation européenne qui semble ouvrir la voie à des initiatives similaires sur le plan international. Chaque espace européen de données se matérialisera comme un cadre de partage de confiance, car bâti autour d’objectifs de fiabilité, d’efficacité, de transparence, d’interopérabilité, de sécurité et de respect des règles de l’Union européenne en matière de protection de données à caractère personnel (y compris sensibles comme celles en santé [2]). 2.

2. La santé, domaine prioritaire.

En matière de santé, la création d’espace européen de données se justifie aisément. La possibilité de mutualiser des données à l’échelle européenne présente en effet des opportunités précieuses d’innovation en santé [3]. Par exemple, la recherche sur les maladies rares s’avère limitée quand elle est menée à l’échelle nationale, car cantonnée à quelques cas seulement. Il va sans dire qu’une telle recherche connaitrait de plus grandes avancées si elle bénéficiait d’un partage transnational des données. De même, la création d’un espace de données peut s’avérer une réponse à certaines pratiques éthiquement et socialement discutables comme celles d’une monétisation des données médicales et de vie réelle pour accéder à des jeux de données suffisamment volumineux et de qualité. Ainsi, l’EEDS trouve autant sa raison d’être dans le soutien à la recherche, la lutte contre certaines pratiques en santé que dans la promotion d’une vision de la santé comme bien commun au regard des innovations dont les citoyens et des patients de l’UE pourraient bénéficier. À cela, ajoutons l’effet accélérateur de la pandémie sur le déploiement de l’EEDS, et plus largement la mise en œuvre de la stratégie sur les données. La crise sanitaire a exacerbé l’importance d’un accès rapide pour les chercheurs à un large panel de données de qualité tant pour la gestion de la pandémie, le développement de traitements et de vaccins ou un plus fin suivi de la propagation du virus. La modélisation épidémiologique pendant la crise sanitaire s’est en effet révélée problématique au vu de sa complexité et de la diversité des données collectées [4].

Face à ces difficultés, la santé est vite apparue comme le domaine prioritaire faisant l’espace européen des données de santé le premier espace à être déployé.

3. Structure normative et caractéristiques de l’EEDS

Ce contexte justifie la structure bicéphale et interreliée de l’EEDS avec : d’une part, un premier pilier, dédié à l’utilisation primaire des données de santé, et un d’autre part, un second pilier consacré à l’utilisation secondaire des données de santé.

Au titre du premier pilier, l’Union européenne souhaite renforcer le rapport des personnes avec leurs données de santé en améliorant leur capacité d’accès et de contrôle et en facilitant leur libre circulation pour un suivi patient sans frontières. Notamment, le projet ambitionne, entre autres, de développer un véritable marché unique des systèmes de dossiers informatisés de santé pour garantir une continuité des soins pour les citoyens européens. Cette infrastructure de services numériques pour la santé en ligne devrait ainsi permettre aux pays de l’Union européenne d’échanger des données de santé de manière sécurisée, efficace et interopérable.

Le second pilier de l’EEDS — consacré à l’utilisation secondaire des donnes de santé — est doté de l’objectif de mettre en œuvre des modalités cohérentes, fiables et efficaces (car simplifié) d’accès et d’utilisation des données de santé à des fins de recherche, d’innovation, d’élaboration des politiques et de réglementation. Contrairement au premier pilier, ce second pilier constitue une nouveauté européenne, conçue dans le respect du RGPD, et qui prend appui sur les trois textes récents qui entendent façonner une Europe des données et de l’IA qui soit digne de confiance et garante d’acceptabilité sociale. Ces textes sont les suivants :

• Le règlement sur la gouvernance des données (DGA) ;
• La proposition de règlement sur les données (Data Act ou Loi sur les données) ;
• La proposition de règlement sur l’intelligence artificielle (AI Act) [5].

Le règlement sur la gouvernance des données (DGA) occupe une place centrale dans l’architecture normative soutenant la création d’une (nouvelle) « Union européenne des données ». Car, si ce texte constitue l’une des conditions nécessaires au déploiement d’IA dignes de confiance, le DGA structure le marché des données autour d’intermédiaires de confiance pour en fluidifier et augmenter les échanges. Instaurant un cadre de partage de confiance des données, ce texte est également empreint d’une forte volonté politique de mettre l’utilisation des données et l’IA au service du bien commun au moyen des espaces européens des données comme celui en santé ou encore par l’introduction de modalités de partages des données à des fins d’intérêt général (altruisme des données) dont dépendra en partie la réalisation du second pilier EEDS [6].

Dans une perspective analytique, quatre caractéristiques de l’EEDS émergent et témoignent de la singularité et de son ampleur, notamment comparativement à ce qui se passe actuellement au Québec en matière de mutualisation des données de santé où la mutualisation des données de santé reste encore fragmentée.

• Tout d’abord, le projet qui résulte d’une approche descendante au sens que la plateforme européenne d’utilisation secondaire des données est initiative portée par la Commission européenne. Ce caractère descendant est exacerbé par l’outil juridique pour construire l’EEDS : un règlement européen. Soit, un texte d’application directe dans les droits nationaux des EM et jouissant d’un plus potentiel d’harmonisation du droit entre les États membres. Ce potentiel est essentiel dans le contexte de l’Union européenne, qui par le biais de l’EEDS, promeut une vision de la santé comme bien commun dont on mesure les contours à travers la liste des finalités admises et prohibées pour lesquelles les acteurs peuvent demander accès aux données de santé (voir art. 34 et 35 de la proposition de règlement sur l’EEDS). En effet, l’utilisation secondaire des données doit être faite dans l’optique de l’élaboration de politiques publiques, de la recherche, de l’IA pour l’innovation ou encore le développement de produits de santé. En revanche, elle ne saurait être génératrice de pratiques discriminantes contre des personnes, le vecteur de publicités commerciales ou d’assurances, ni le moyen de développer des produits dangereux. Toutefois, l’EEDS ne répond pas d’une approche exclusivement descendante puisque l’enrichissement des catalogues se fera essentiellement sur la base d’un altruisme des données (c-àd. un partage volontaire et gratuit par les personnes de leurs données de santé pour des finalités d’intérêt général).
• La seconde caractéristique de l’EEDS tient au caractère transnational du projet. La plateforme européenne des données de santé se veut un système d’accès transnational, simplifié, unifié par un formulaire commun, à des bases de données constituées au niveau national ou transnational par la mise en place au sein des États membres de catalogue de jeux de données, accessible à tout utilisateur qui en fait la demande (art. 86 de la proposition de règlement relative à l’EEDS) et par l’intermédiaire de points de contact nationaux qui doivent statuer sur l’autorisation d’accès aux données ( 52 §1).
• La troisième caractéristique de l’EEDS procède de son caractère décentralisé du point de vue de la gouvernance avec les points de contact nationaux, mais plus encore, surtout sur le plan technique et opérationnel. Le projet pilote de l’EEDS (voir ci-dessous) prévoit, à date, une architecture basée sur un réseau fédéré peer to peer où les données de santé circulent entre des nœuds. Chaque nœud étant capable de stocker des données, mais également où chaque nœud fonctionne indépendamment les uns des autres. Ce système décentralisé a déjà éprouvé par certains partenaires du consortium comme Elixir et pour choisi pour le haut degré de garantie d’efficacité, de sécurité, et de respect de la vie privée que peut offrir un système centralisé. Du point des craintes en matière de souveraineté numérique et d’acceptabilité sociale, ce système présente aussi des attraits.
• Enfin, l’EEDS se démarque par sa portée. L’objet de la plateforme européenne est de fournir un cadre fiable pour un accès sécurisé à un large éventail de données de santé et pour le traitement de ces données. L’article 33 de la proposition de règlement de l’EEDS dresse une liste assez exhaustive des données qui pourraient faire l’objet d’une utilisation secondaire au rang desquelles on retrouve, entre autres :
  • les données issues des dossiers médicaux partagés ; les données ayant un impact sur la santé, y compris les déterminants sociaux, environnementaux et comportementaux de la santé ;
  • les données administratives liées à la santé, y compris les données relatives aux demandes de remboursement et aux remboursements ;
  • les données d’identification relatives aux professionnels de la santé participant au traitement d’une personne physique ;
  • les données comprises dans les registres de santé publique ;
  • les données de santé électroniques provenant de registres médicaux pour des maladies spécifiques ; provenant d’essais cliniques ou provenant de dispositifs médicaux et de registres de médicaments et de dispositifs médicaux

Les données présentant un haut degré de risque vis-à-vis du respect de la vie privée — à savoir les données génétiques et génomiques — sont également visées par ce dispositif. Autrement dit, l’EEDS se dote d’un champ matériel compréhensif en retenant largement les types de données de santé sujettes à intégrer le réseau qui interconnectera les plateformes de données de
santé à l’échelle de l’UE.

4. Une construction expérientielle de l’EEDS

Dans la mesure où tout est à construire pour ce second pilier de l’EEDS, la Commission a, en marge de la proposition de règlement, lancé un appel à un projet pilote. Elle sélectionna le projet d’un consortium sous la direction française, laquelle jouit déjà, d’une expertise et de leadership depuis la création en 2019 de la plateforme des données de santé dite aussi Health Data Hub. Ce consortium regroupe seize partenaires issus d’une dizaine de pays européens et des instances européennes ou transnationales telles que le Centre européen de prévention et de contrôle des maladies, l’Agence européenne des médicaments, ou encore BBMRI-ERIC, une infrastructure de recherche européenne pour les biobanques. Le projet pilote a obtenu un financement de l’ordre de 5 millions d’euros sur 2 ans. Il devra dans ce laps de temps préfigurer l’opérationnalisation du réseau de plateformes de données de santé et développer les services permettant la réalisation de projets de recherche européens (ex : constitution d’un catalogue commun de métadonnées ou encore création d’un formulaire unique de demande d’accès aux données). Le projet pilote prendra appui sur cinq cas d’usage. Par exemple, l’Agence européenne des médicaments se concentrera sur la détection des risques de troubles de la coagulation après une infection au Covid-19 en analysant des données sur des patients danois, finlandais, croates et français. Parallèlement, des données belges, hongroises et danoises seront croisées par des chercheurs en vue de reconnaître les signatures génomiques caractéristiques des différents types de cancers colorectaux.

Même si le pilote a été officiellement lancé en novembre 2022, les premiers résultats sont attendus dès le printemps 2023. Ceci s’explique par le fait que le pilote se veut également un laboratoire normatif pour l’adoption finale de la proposition de règlements relative à l’EEDS. Il va sans dire que plusieurs enjeux normatifs seront à surmonter, notamment en ce que le droit de la santé demeure une compétence nationale et que les divergences législatives entre les États membres sont importantes. De même, ce nouveau cadre normatif propre à l’EEDS saura-t-il bâtir un degré de confiance nécessaire et suffisant auprès des citoyens ? Un enjeu certes commun à toutes les initiatives d’utilisation des données, mais qui constitue le critère ultime d’efficience et de légitimité de l’innovation (en santé) grâce aux données.

 

Bibliographies

[1] Hulin, A-S. « La gouvernance des données de l’IA ou l’avènement d’une nouvelle ère normative en droit du numérique » dans Céline Castets-Renard et Jessica Eynard, dir, Droit de l’intelligence artificielle, Larcier, 2023, p. 473, spéc. aux pp 482-3.

[2] Sur la définition des données de santé en droit de l’Union européenne, voir considérant 35 et art. 4 du règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

[3] Exposé des motifs, proposition de règlement du parlement européen et du conseil relatif à l’espace européen des données de santé, COM (2022) 197 final, en ligne.

[4] Tribune, « L’enjeu crucial des données de santé », Le Monde, 3 février 2022, en ligne.

[5] Pour une présentation de l’articulation entre ces trois textes, voir Hulin A-S., « La gouvernance des données de l’IA ou l’avènement d’une nouvelle ère normative en droit du numérique », op. cit.