L’espace européen des données de santé (EEDS) – l’European Health Data Space en anglais – est la première déclinaison sectorielle des règles du Digital Governance Act (DGA) visant à garantir la sécurité et la libre circulation des données dans l’UE. Cette réglementation repose sur deux piliers: l’amélioration de l’accès et du contrôle des individus à leurs données de santé, tant au niveau national qu’européen – on parle d’«utilisation primaire» – et, d’autre part, la réutilisation des données à des fins de recherche, d’innovation, de réglementation et de politique publique. On parle alors d’«utilisation secondaire».
Le premier volet concerne les patients et fixe les conditions pour que leurs données de santé électroniques puissent être partagées. Plus largement, l’EEDS va faire en sorte que tous les dossiers électroniques qui existent au niveau des États membres puissent communiquer entre eux. L’intérêt est évident. On peut penser à un touriste ayant un accident à l’étranger. Sa prise en charge sera facilitée si les équipes médicales locales peuvent avoir accès rapidement à son dossier médical sans délai et connaître ainsi ses antécédents et ses éventuelles allergies médicamenteuses.
Les limites du consentement face à l’urgence vitale
Dans le cadre de l’EEDS, le patient a un contrôle total de ses données. Il peut à tout moment les modifier, en restreindre l’accès et voir qui les a utilisées. Et les organisations qui gèrent ces données sont tenues au secret médical. Tout comme elles sont tenues d’en préserver la confidentialité et la sécurité.
L’accès aux données une fois autorisé est fortement encadré. Pour le règlement, sont considérés comme données partageables le résumé du dossier médical du patient, les prescriptions, les dispensions – comprendre les médicaments délivrés par une ordonnance électronique en cours –, les résultats d’analyses et les lettres de sortie.
Cependant, la question du bris de glace – l’accès aux données en cas d’urgence vitale même en cas de refus de partage exprimé par l’individu – a suscité suffisamment de controverses lors de la négociation du texte pour que le sujet soit renvoyé aux législations nationales. Il reviendra donc au gouvernement luxembourgeois de trancher sur ce point. Mais, en creux, il ressort que toutes les données de santé devront être enregistrées. L’enregistrement des données et leur partage sont deux choses différentes. Il ne faudra jamais l’oublier.
Il ressort également du règlement que tous les dossiers de santé devront être adaptés. Les États ont un délai de quatre ans pour le partage du résumé médical du patient, des prescriptions et des dispensions. Et deux ans supplémentaires pour tout ce qui est partage de l’imagerie, des résultats de laboratoire et des lettres de sortie d’hôpital.
Plusieurs dossiers possibles pour les frontaliers
La santé restant du ressort des États membres, le règlement ne crée pas un dossier de santé européen. Le dossier de référence sera le dossier d’affiliation. Pour tenir compte de la libre circulation des individus, le système permet à un patient d’avoir plusieurs dossiers. Indispensable pour les frontaliers. En cas de soin à l’étranger, un dossier sera créé et les données seront poussées vers le dossier de référence, le dossier d’affiliation. Et dans tous les cas, le patient peut pousser ses données d’un dossier vers l’autre s’il le souhaite.
Le deuxième volet du règlement concerne l’utilisation secondaire, c’est-à-dire la réutilisation des données à des fins de recherche, d’innovation et de politiques publiques. Des données structurées dans des formats communs précis qui seront anonymisées ou pseudonomisées si l’anonymisation n’est pas possible. Un partage qui permettra d’optimiser les politiques publiques de santé et de favoriser les activités de recherche, donc l’innovation.
Ce type d’utilisation de données de santé est déjà rendu possible par le règlement général sur la protection des données (RGPD). La grande différence est que si le RGPD procédait au coup par coup, demande par demande, le règlement EEDS adopte une approche globale. Les pays membres sont désormais tenus de répertorier dans un catalogue toutes les données sanitaires dont ils disposent – les données des patients et les études cliniques notamment. L’organisme en charge de la gestion de ces données – le Luxembourg n’a à ce stade pas déterminé quel sera cet organisme – devra publier ce catalogue. Les chercheurs intéressés devront dire quelles données ils veulent utiliser et pourquoi. Les données ne seront en aucun cas transmises, mais consultables dans des environnements sécurisés.
Chantier réglementaire pour le gouvernement
La mise en œuvre du règlement EEDS va se faire par étape. D’abord, les pays membres vont devoir adapter leurs systèmes nationaux de dossiers médicaux électroniques. Au Luxembourg, c’est l’agence e-Santé qui va être en charge de l’adaptation du dossier de santé partagé (DSP). Le gouvernement va également devoir choisir quelles instances seront en charge de l’échange des données. Le règlement instaure en matière d’utilisation secondaire des «health data access body», les autorités d’accès aux données de santé. Chaque État doit en avoir une. Étant entendu qu’il peut y avoir une entité ou plusieurs entités qui s’occupent de certaines parties de tout le process, selon le règlement. Dans ce dernier cas, il faudra nommer un coordinateur. La question de la gouvernance pour tout ce qui est utilisation primaire sera abordée au cours du développement du programme de digitalisation de la santé lancé par le ministère. La question du rôle de la Commission nationale pour la protection des données (CNPD) dans ce dispositif n’a pas encore été tranchée.