7.12.2013

Journal officiel de l'Union européenne

C 358/13

Résumé de l'avis du Contrôleur européen de la protection des données sur la communication de la Commission relative au «Plan d’action pour la santé en ligne 2012-2020 — des soins de santé innovants pour le XXIe siècle»

(Le texte complet de l'avis en anglais, français et allemand est disponible sur le site internet du CEPD http://www.edps.europa.eu)

2013/C 358/08

1. Introduction

1.1. Consultation du CEPD

1.	Le 6 décembre 2012, la Commission a adopté une communication relative au «Plan d’action pour la santé en ligne 2012-2020 — des soins de santé innovants pour le XXIe siècle» (ci-après «la communication») (1). Cette proposition a été envoyée au CEPD à des fins de consultation le 7 décembre 2012.

2.	Le CEPD a eu la possibilité de faire part d’observations informelles à la Commission avant l’adoption de la communication. Il se félicite de ce que certaines de ses observations aient été prises en compte dans la communication.

1.2. Objectifs et portée de la communication et finalité de l’avis du CEPD

La communication établit un plan d’action pour la santé en ligne sur la période de 2012 à 2020. Le plan d’action avance l’idée selon laquelle, appliquées aux systèmes de santé et de bien-être, les technologies de l’information et des communications (ci-après «les TIC») peuvent augmenter l’efficacité et l’efficience de ces systèmes, renforcer la responsabilisation de l’individu et libérer le potentiel d’innovation des marchés de la santé et du bien-être.

Le présent avis du CEPD doit être considéré au regard de l’importance croissante de la santé en ligne, dans une société de l’information en pleine évolution, ainsi que du débat en cours au sein de l’UE sur la politique à mener en matière de santé en ligne. L’avis s’intéresse tout particulièrement aux implications du droit fondamental à la protection des données pour les initiatives en matière de santé en ligne. Il examine également les autres domaines d’action identifiés dans la communication.

3. Conclusions

33.	Le CEPD se félicite de l’attention particulière accordée à la protection des données dans la proposition de communication, mais a constaté que des améliorations supplémentaires étaient possibles.

34.

Le CEPD souligne que les professionnels du secteur, les États membres et la Commission devraient dûment tenir compte des exigences de protection des données, lors de la mise en œuvre d’initiatives dans le domaine de la santé en ligne. En particulier, le CEPD:

—

met l’accent sur le fait que les données à caractère personnel traitées dans le cadre des TIC de santé en ligne et de bien-être portent souvent sur des données sanitaires, d’où la nécessité d’assurer un niveau de protection des données plus élevé, et il renvoie aux orientations déjà formulées à l’attention des responsables du traitement et des sous-traitants dans ce domaine;

—

il remarque que la communication ne se réfère pas à l’actuel cadre juridique de la protection des données instauré par la directive 95/46/CE et par la directive 2002/58/CE, qui énoncent les principes relatifs à la protection des données actuellement en vigueur, et il rappelle à la Commission que ces règles doivent être respectées pour toutes les actions à mener à court ou moyen terme jusqu’à l’entrée en vigueur de la version révisée du règlement proposé relatif à la protection des données;

—

il constate que l’importance des droits d’accès et d’information des personnes concernées dans le domaine de la santé en ligne n’a pas été clairement énoncée dans la communication. Le CEPD invite donc la Commission à attirer l’attention des responsables du traitement intervenant dans le domaine de la santé en ligne sur la nécessité de fournir des informations claires aux particuliers concernant le traitement de leurs données à caractère personnel dans des applications de santé en ligne;

—

il remarque que l’existence d’orientations relatives aux opérations de traitement en matière de santé en ligne effectuées dans le cadre de l’actuel cadre juridique n’a pas été mentionnée dans la communication, par des références précises aux documents correspondants, et il recommande que la Commission consulte le groupe de travail «Article 29», dans lequel sont représentées les autorités nationales de protection des données de l’UE, ainsi que le CEPD, dans le cadre de l’élaboration de ces orientations;

—	il recommande de consulter le CEPD avant l’adoption par la Commission d’un livre vert sur un cadre européen applicable aux applications mobiles de santé mobile, de santé et de bien-être;

—

il remarque que la communication ne précise pas que l’exploitation de donnée à l’aide de données sanitaires non anonymes n’est acceptable que dans des circonstances bien précises, et à condition de se conformer pleinement aux règles de protection des données, et il encourage la Commission à attirer l’attention des responsables du traitement sur ce point;

—

il souligne que le profilage ne devrait être effectué que dans des circonstances bien précises, et à condition de se conformer à des exigences de protection des données strictes (comme celles visées, par exemple, à l’article 20 de la proposition de règlement sur la protection des données), et il encourage la Commission à rappeler cette obligation importante aux responsables du traitement;

—	il rappelle à la Commission que toute les initiatives futures visant à faciliter un plus large déploiement et à promouvoir les compétences et les connaissances des utilisateurs devraient être menées dans le respect des principes relatifs à la protection des données;

—	il recommande à la Commission de procéder à une analyse d’impact relative à la protection des données, dans le cadre du développement d’un cadre d’interopérabilité européen commun en matière de santé en ligne, avant d’engager d’autres actions;

—

il conseille vivement à la Commission, lors de l’examen de l’interopérabilité des dossiers médicaux, d’envisager d’éventuelles initiatives législatives au niveau de l’UE, car il estime qu’une telle interopérabilité gagnerait à disposer d’une base juridique solide qui inclue des garanties spécifiques en matière de protection des données.

Fait à Bruxelles, le 27 mars 2013.

Giovanni BUTTARELLI

Contrôleur adjoint européen de la protection des données

(1) COM(2012) 736 final.