B. DES AJUSTEMENTS DES PROCÉDURES FRANÇAISES À ANTICIPER
Le règlement européen est largement salué par les acteurs français comme un accélérateur utile et un projet qui accompagne les ambitions françaises et renforce les structures mises en oeuvre dans notre pays.
Une étude d'impact de l'espace européen des données de santé sur la France a été commandée pour évaluer, sur les plans juridique, organisationnel et financier, les conséquences à anticiper ; elle devrait être remise en septembre 2023.
Certains éléments sont cependant identifiés comme des points de vigilance dans la construction de l'espace européen.
1. Des procédures et opérateurs en partie à redéfinir
· Le rôle et les contours de différents acteurs appellent à être précisés au cours de la discussion du projet de règlement.
C'est notamment le cas des « détenteurs de données », sur lesquelles pèseront une obligation de mise à disposition des données de santé.
C'est aussi et surtout le cas des organismes responsables de l'accès aux données de santé.
Les missions dévolues à ceux-ci, notamment l'instruction des demandes d'accès et la délivrance des autorisations de traitement, mais aussi d'appui et de traitement direct des données, notamment la collecte, la combinaison, la préparation et la divulgation à des fins d'utilisation secondaire, apparaissent recouvrer pour bonne partie les missions assignées au Health Data Hub en France, en étant cependant parfois réparties entre le HDH et la Cnil.
Sur ce point, les missions aujourd'hui réparties entre la Cnil et le Cesrees pourraient être amenées à évoluer, dans une logique de simplification des procédures d'accès avec un unique point d'entrée.
La Cnil estime que la mission d'examiner les demandes de réutilisation des données de santé prévue par le règlement est une compétence redondante avec celle qu'elle exerce aujourd'hui et introduisant selon elle un risque juridique et économique fort sur les projets de recherche fondés sur des autorisations d'accès qui ne seraient pas conformes au RGPD.
Le modèle retenu ne semble pas à ce stade arbitré. Si la France devait finalement retenir un schéma à plusieurs organismes, il demeure certain que le HDH devra assumer un rôle central.
La logique semble vouloir que le HDH assure, appuyé par le Cesrees, ce rôle de point d'entrée et d'autorité nationale d'autorisation d'accès aux données, quand la Cnil aurait pleine légitimité à se recentrer sur un rôle de contrôle.
La plateforme assurerait de manière claire le rôle d'organisme d'autorisation, de mise à disposition et d'appui technique. C'est la lecture que semble en faire également le HDH, pour qui le règlement impliquerait en l'état un élargissement des missions dévolues à la plateforme des données de santé, si celle-ci est confirmée comme « health data access body », soit le noeud national.
· Le point le plus évident de contrainte apparaît être le délai de mise à disposition des données, particulièrement ambitieux et qui, selon la délégation au numérique en santé « nécessitera des transformations profondes mais sera de nature à répondre aux attentes de l'écosystème ».
L'article 41 prévoit que « le détenteur des données met les données de santé électroniques à la disposition de l'organisme responsable de l'accès aux données de santé dans un délai de deux mois à compter de la réception de la demande dudit organisme responsable de l'accès aux données de santé. Dans des cas exceptionnels, ce délai peut être prolongé par l'organisme responsable de l'accès aux données de santé pour une période supplémentaire de deux mois. », avec des sanctions possibles « Lorsque les détenteurs de données retiennent les données de santé électroniques des organismes responsables de l'accès aux données de santé dans l'intention manifeste d'en entraver l'utilisation, ou ne respectent pas les délais fixés ».
L'article 46 indique que l'organisme responsable de l'accès aux données de santé délivre ou refuse une autorisation de traitement de données dans un délai de deux mois à compter de la réception de la demande d'accès aux données, ce délai pouvant être prolongé de deux mois du fait de la complexité de la demande. Sur le plan opérationnel, un délai comparable est donné puisque la mise à disposition des données de santé électroniques auprès de leur utilisateur doit intervenir dans un délai de deux mois après leur réception de la part de leurs détenteurs.
Pour cohérents et pragmatiques qu'ils soient au regard des besoins de la recherche, ces délais apparaissent particulièrement ambitieux au regard de la réalité opérationnelle qui est celle aujourd'hui du système français, avec des délais de mise à disposition autour de dix-huit mois. C'est notamment la raison pour laquelle la commission des affaires sociales a souhaité, à l'initiative de sa rapporteure, insister sur la nécessité d'une mise en oeuvre progressive du règlement, compatible avec les capacités opérationnelles et les solutions techniques disponibles. Il s'agit de ne pas mettre en difficulté demain un système encore fragile malgré des avancées et des efforts notables.
2. La question des accès permanents
Le code de la santé publique prévoit aujourd'hui une trentaine d'accès permanents aux données du système national des données de santé pour des services de l'État, des établissements publics ou des organismes chargés d'une mission de service public93(*).
Ces accès permanents, sans capacité d'appariements directs à d'autres bases, permettent aux organismes concernés d'assurer des travaux de recherche ou d'appui au pilotage des politiques publiques.
Alors que le projet initial de règlement européen présenté par la Commission européenne prévoit à son article 48 une possibilité d'accès direct pour les organismes publics, ce point semble soulever une forte opposition dans le cadre de l'examen au Parlement et au Conseil, où seules la France et l'Italie portent une position de soutien à cette préoccupation.
Il paraît excessivement lourd de contraindre demain les organismes publics à une justification systématique auprès de l'autorité compétente pour accéder aux données du SNDS. Cette complexité supplémentaire n'est pas souhaitable pour la recherche publique et les opérateurs de l'État, ni pour l'organe d'autorisation qui se trouvera à traiter bien davantage de dossiers.
C'est pourquoi la rapporteure a, lors de l'examen de la
PPRE en commission, souhaité amender le texte et inscrire la
nécessité de permettre aux organismes publics d'un État
membre d'accéder, au bénéfice de missions de recherche et
d'appui au pilotage de la politique de
santé
- compétences des États membres -,
directement aux données du système national. Ainsi, un
organisme public finlandais souhaitant accéder aux données de
remboursements de la Cnam pourrait le faire après autorisation, mais
pourrait jouir d'une procédure simplifiée pour accéder aux
données finlandaises.
3. Un débat non clos sur l'hébergement
Concernant les difficultés rencontrées en France sur le sujet du choix de la plateforme technique et de la solution cloud pertinente pour le Health Data Hub, le règlement européen n'apporte donc pas de solution nouvelle.
Cependant, le sujet semble d'autant plus sensible et la question de la souveraineté renforcer son importance. La Cnil estime ainsi que « Le volume, l'étendue et la nature sensible des données de santé concernées (près de 500 millions d'habitants de l'Union européenne) justifient d'instaurer dans le règlement une obligation de stockage de celles-ci sur le territoire de l'Union, par un prestataire soumis au seul droit européen, afin d'en assurer un contrôle pleinement efficace. »
Recommandation n° 11 : Anticiper les conséquences du futur règlement sur l'espace européen des données de santé sur les missions des organismes et les procédures applicables, en clarifiant les responsabilités respectives de la Cnil et du HDH
* 93 Articles L. 1461-3 et R. 1461-12 du code de la santé publique.