32019D1269

Language
- My EUR-Lex
- Sign in
- Register
- My recent searches (0)

This document is an excerpt from the EUR-Lex website

Search tips

Need more search options? Use the Advanced search

EUROPA
EUR-Lex home
Décision d’exécution - 2019/1269 - EN - EUR-Lex

Document 32019D1269

Help

Décision d'exécution (UE) 2019/1269 de la Commission du 26 juillet 2019 modifiant la décision d'exécution 2014/287/UE établissant les critères de mise en place et d'évaluation des réseaux européens de référence et de leurs membres et de facilitation des échanges d'informations et de connaissances liées à la mise en place de ces réseaux et à leur évaluation (Texte présentant de l'intérêt pour l'EEE.)

C/2019/5470

JO L 200 du 29.7.2019, p. 35–43 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/dec_impl/2019/1269/oj

HTML

PDF

Official Journal

29.7.2019

Journal officiel de l'Union européenne

L 200/35

DÉCISION D'EXÉCUTION (UE) 2019/1269 DE LA COMMISSION

du 26 juillet 2019

modifiant la décision d'exécution 2014/287/UE établissant les critères de mise en place et d'évaluation des réseaux européens de référence et de leurs membres et de facilitation des échanges d'informations et de connaissances liées à la mise en place de ces réseaux et à leur évaluation

(Texte présentant de l'intérêt pour l'EEE)

LA COMMISSION EUROPÉENNE,

vu le traité sur le fonctionnement de l'Union européenne,

vu la directive 2011/24/UE du Parlement européen et du Conseil du 9 mars 2011 relative à l'application des droits des patients en matière de soins de santé transfrontaliers (1), et notamment son article 12, paragraphe 4, points b) et c),

considérant ce qui suit:

(1)

La décision d'exécution 2014/287/UE de la Commission (2) établit les critères de mise en place et d'évaluation des réseaux européens de référence et de leurs membres et de facilitation des échanges d'informations et de connaissances liées à la mise en place de ces réseaux et à leur évaluation. L'article 6 de cette décision invite les États membres à mettre en place un conseil des États membres chargé de se prononcer sur les propositions de mise en place de réseaux, les demandes d'adhésion à des réseaux et la dissolution de réseaux. Les États membres ont mis en place ce conseil des États membres, qui a par la suite approuvé 23 réseaux européens de référence (RER) en décembre 2016 et un en février 2017. Tous les réseaux ont débuté leurs activités en 2017.

(2)

Afin d'accroître l'efficacité des RER, le conseil des États membres devrait devenir l'enceinte dédiée à l'échange d'informations et de connaissances dans le but de guider le développement des RER, de fournir des orientations aux réseaux et aux États membres et de conseiller la Commission sur les questions relatives à la création des réseaux. Afin de promouvoir l'échange d'expériences et de favoriser la cohérence du processus avec d'autres échanges transfrontières de données médicales, le conseil des États membres devrait prévoir une coopération étroite avec le réseau «santé en ligne» pour définir, chaque fois que cela est possible, des approches communes, des structures de données et des lignes directrices qui favorisent un accès transparent aux différents services et rationalisent les règles pour les prestataires de soins de santé. Le conseil des États membres devrait également promouvoir la discussion avec d'autres instances pertinentes de l'Union européenne (comme le groupe de pilotage sur la promotion de la santé, la prévention des maladies et la gestion des maladies non transmissibles) dans des domaines d'intérêt commun.

(3)

L'expérience actuelle avec les 24 RER montre que, pour garantir le fonctionnement efficace de chaque réseau, ses membres devraient coopérer étroitement dans la réalisation de leurs tâches, comme l'échange de données médicales concernant le diagnostic et le traitement des patients d'une manière efficace et sûre et la contribution aux activités de recherche scientifique et à l'élaboration de lignes directrices médicales. Une étroite coopération nécessite une confiance mutuelle entre les membres de chaque réseau et, en particulier, la reconnaissance mutuelle de leur expertise et de leurs compétences, de la qualité de leurs soins cliniques, ainsi que de leurs ressources spécifiques en personnel, en infrastructures et en équipements, conformément à l'annexe II, point 2, de la décision déléguée 2014/286/UE de la Commission (3).

(4)

La confiance mutuelle et la reconnaissance par les pairs sont tout aussi importantes lorsque des prestataires de soins de santé souhaitent adhérer à un réseau existant car elles garantissent que les conditions préalables à la future coopération au sein du réseau sont remplies. Il convient donc qu'un avis favorable sur la demande d'adhésion du prestataire de soins de santé, rendu par le conseil de direction du réseau qu'il souhaite rejoindre, après examen par les pairs réalisé par le réseau sur la base des critères et conditions énoncés à l'annexe II, point 2, de la décision déléguée 2014/286/UE de la Commission, accompagne ladite demande lorsqu'elle est évaluée par un organisme d'évaluation indépendant désigné par la Commission. Afin de lui permettre d'exprimer son point de vue sur l'avis du conseil de direction du réseau, le prestataire de soins de santé devrait pouvoir présenter des observations sur le projet d'avis dans un délai d'un mois à compter de la date de réception dudit avis.

(5)

Des délais raisonnables devraient être impartis au conseil de direction du réseau en ce qui concerne le projet d'avis et l'avis final. Dès lors, le délai pour l'avis final devrait en principe être fixé à quatre mois. Cependant, dans les situations où le prestataire de soins de santé présente des observations sur le projet d'avis du conseil de direction du réseau, le délai de quatre mois pour rendre l'avis final devrait être prolongé d'un mois afin de permettre au conseil de direction du réseau de prendre en compte les observations reçues. Pour des raisons de sécurité juridique, si le conseil de direction du réseau ne communique pas le projet d'avis ou ne rend pas l'avis final dans les délais impartis, l'avis final devrait être réputé favorable.

(6)

Si une demande d'adhésion reçoit un avis défavorable du conseil de direction du réseau que le prestataire de soins de santé souhaite rejoindre, alors qu'elle a été approuvée par l'État membre d'établissement du prestataire de soins sous la forme d'une déclaration écrite, l'État membre d'établissement devrait avoir la possibilité de demander au conseil des États membres de décider, à la lumière des critères et conditions énoncés à l'annexe II, point 2, de la décision déléguée 2014/286/UE de la Commission, si la demande peut néanmoins être soumise à la Commission.

(7)

Afin d'aider les professionnels de la santé des RER à collaborer à distance, au-delà des frontières nationales, pour le diagnostic et le traitement de maladies ou d'affections complexes rares ou à faible prévalence et de faciliter la recherche scientifique sur ces maladies ou affections, la Commission a mis au point un système de gestion des données cliniques des patients (ci-après le «CPMS») pour les RER dans le but de faciliter la création et le fonctionnement de ces derniers, conformément à l'article 12, paragraphe 4, point c), de la directive 2011/24/UE.

(8)

Le CPMS devrait fournir une infrastructure commune permettant aux professionnels de la santé de collaborer au sein des RER aux fins du diagnostic et du traitement de patients atteints de maladies ou d'affections complexes rares ou à faible prévalence. Il devrait mettre à disposition, de la manière la plus efficace possible, les moyens par lesquels l'échange d'informations et de connaissances sur ces maladies s'opère au sein des RER.

(9)

Le CPMS devrait donc consister en une infrastructure informatique sécurisée, dotée d'une interface commune par laquelle les prestataires de soins de santé membres d'un RER, les partenaires affiliés (4) ou les utilisateurs invités (ci-après les «prestataires de soins de santé autorisés à accéder au CPMS») peuvent échanger des informations au sein des réseaux sur les patients concernés dans le but de permettre à ces derniers d'accéder plus facilement à des soins de santé sûrs et de haute qualité et de promouvoir une coopération efficace en matière de soins de santé entre les États membres en facilitant l'échange d'informations pertinentes.

(10)

Afin de garantir le respect des règles en matière de protection des données et l'utilisation d'un environnement efficace et sécurisé pour l'échange électronique de données à caractère personnel des patients entre les prestataires de soins de santé au sein des RER aux fins visées à l'article 12, paragraphe 2, de la directive 2011/24/UE, cet échange ne devrait avoir lieu que moyennant le consentement explicite des patients et uniquement par l'intermédiaire du CPMS. Les prestataires de soins de santé sont responsables de la sécurité des données qu'ils traitent en dehors du CPMS dans le but de les y introduire, ainsi que des données qui ne sont pas introduites dans le CPMS mais qu'ils traitent en lien avec le CPMS (comme les formulaires de consentement) et des données qu'ils téléchargent depuis le CPMS pour les traiter en dehors de celui-ci.

(11)

Le CPMS traite des données sensibles relatives aux patients atteints de maladies complexes rares ou à faible prévalence. Ces données sont traitées uniquement aux fins de faciliter le diagnostic et le traitement des patients, de les inscrire dans des registres pertinents ou d'autres bases de données dédiées aux maladies complexes rares ou à faible prévalence, qui servent la recherche scientifique ou des objectifs cliniques ou de politique de santé, et de prendre contact avec des patients pour leur éventuelle participation à des initiatives de recherche scientifique. Les prestataires de soins de santé au sein des RER devraient être en mesure de traiter les données des patients dans le CPMS une fois obtenu leur consentement spécifique, libre et éclairé sur les trois utilisations possibles de leurs données (évaluation médicale du dossier pour avis sur le diagnostic et le traitement, introduction des données dans des registres consacrés aux maladies rares ou dans d'autres bases de données dédiées aux maladies complexes rares ou à faible prévalence et possibilité pour les patients d'être contactés pour participer à une initiative de recherche scientifique). Il convient que le consentement soit obtenu séparément pour chacune de ces trois finalités. La présente décision devrait établir les finalités et les garanties pour le traitement de ces données dans le CPMS. En particulier, la Commission devrait prévoir les caractéristiques générales du CPMS pour chaque réseau, fournir et entretenir l'infrastructure informatique sécurisée nécessaire à cet effet, et veiller à son fonctionnement technique et sa sécurité. Conformément au principe de minimisation des données, la Commission ne devrait traiter que les données à caractère personnel qui sont strictement nécessaires pour assurer l'administration du CPMS pour chaque réseau et, dès lors, ne pas accéder aux données médicales des patients échangées au sein des RER, à moins qu'elle n'ait impérativement besoin d'un tel accès pour respecter ses obligations en tant que responsable conjoint du traitement.

(12)	La présente décision d'exécution ne devrait s'appliquer qu'au traitement des données à caractère personnel dans le CPMS, notamment les coordonnées des personnes concernées, et des données médicales au sein des RER.

(13)

L'article 26 du règlement (UE) 2016/679 du Parlement européen et du Conseil (5) et l'article 28 du règlement (UE) 2018/1725 du Parlement européen et du Conseil (6) font obligation aux responsables conjoints du traitement des données à caractère personnel de déterminer, de manière transparente, leurs responsabilités respectives en ce qui concerne le respect des obligations qui leur incombent en vertu desdits règlements. Ces dispositions prévoient également la possibilité que ces responsabilités soient déterminées par le droit de l'Union ou par le droit de l'État membre auquel les responsables du traitement sont soumis.

(14)	Il convient dès lors de modifier la décision d'exécution 2014/287/UE en conséquence.

(15)	Le Contrôleur européen de la protection des données a été consulté conformément à l'article 42, paragraphe 1, du règlement (UE) 2018/1725, et a rendu son avis le 13 septembre 2018.

(16)	Les mesures prévues par la présente décision sont conformes à l'avis du comité institué en vertu de l'article 16 de la directive 2011/24/UE,

A ADOPTÉ LA PRÉSENTE DÉCISION:

Article premier

La décision d'exécution 2014/287/UE est modifiée comme suit:

L'article 1er bis suivant est inséré:

«Article premier bis

Définitions

Aux fins de la présente décision d'exécution, on entend par:

a) “coordonnateur de réseau européen de référence”: la personne désignée comme coordonnateur du réseau par le membre d'un réseau européen de référence choisi en tant que membre coordonnateur, tel que visé au considérant 3 et à l'article 4 de la décision déléguée 2014/286/UE;

b) “conseil de direction du réseau”: l'organe responsable de la gouvernance du réseau, composé de représentants de chaque membre du réseau, tel que prévu au considérant 3 et à l'annexe I, point 1) b) ii), de la décision déléguée 2014/286/UE;

c) “partenaire affilié”: un centre national associé, un centre national de collaboration, une plateforme nationale de coordination, tel que visé au considérant 14 et à l'annexe I, point 7 c), de la décision déléguée 2014/286/UE ainsi que dans la déclaration du conseil des États membres du 10 octobre 2017;

d) “utilisateur invité”: un prestataire de soins de santé qui n'est pas membre ni partenaire affilié et qui a le droit, après approbation du coordonnateur de réseau européen de référence compétent et pour une durée limitée, d'inscrire des patients dans le CPMS et de participer au panel relatif à ce patient ou de participer à un panel spécifique en tant qu'expert.»

À l'article 8, les paragraphes 4, 5 et 6 suivants sont insérés:

«4. Si la Commission conclut que les exigences énoncées à l'article 8, paragraphes 2 et 3, sont remplies, le conseil de direction du réseau que le prestataire de soins de santé souhaite rejoindre rend un avis sur la demande d'adhésion au terme d'un examen par les pairs réalisé par le réseau sur la base des critères et conditions énoncés à l'annexe II, point 2, de la décision déléguée 2014/286/UE.

5. Avant de rendre l'avis visé au paragraphe 4 et dans un délai de trois mois à compter du moment où la Commission a confirmé que les exigences énoncées à l'article 8, paragraphes 2 et 3, sont remplies, le conseil de direction du réseau communique un projet d'avis au prestataire de soins de santé candidat, lequel peut transmettre ses observations au réseau dans un délai d'un mois à compter de la réception du projet d'avis. En l'absence d'observations sur ce projet d'avis, le conseil de direction du réseau rend un avis final sur la demande d'adhésion dans un délai de quatre mois à compter du moment où la Commission a confirmé que les exigences énoncées à l'article 8, paragraphes 2 et 3, sont remplies.

Si le conseil de direction reçoit des observations, le délai pour rendre l'avis final est porté à cinq mois à compter du moment où la Commission a confirmé que les exigences énoncées à l'article 8, paragraphes 2 et 3, sont remplies. Lorsqu'il reçoit des observations, le conseil de direction du réseau modifie son avis pour expliquer si ces observations justifient un changement de son appréciation. Si le conseil de direction du réseau ne communique pas le projet d'avis ou ne rend pas l'avis final dans les délais fixés ci-dessus, l'avis final est réputé favorable.

6. En cas d'avis défavorable du conseil de direction du réseau, à la demande de l'État membre d'établissement, le conseil des États membres peut rendre un avis favorable après réexamen de la demande à la lumière des critères et conditions énoncés à l'annexe II, point 2, de la décision déléguée 2014/286/UE. Cet avis favorable accompagne la demande d'adhésion.»

3)	À l'article 9, le paragraphe 1 est remplacé par le texte suivant: «1. Si un avis favorable est rendu conformément à l'article 8, paragraphe 5 ou 6, la Commission désigne un organisme chargé d'évaluer la demande d'adhésion qui accompagne ledit avis.»

Au chapitre IV, l'article 15 bis suivant est inséré:

«Article 15 bis

Échange d'informations et de connaissances entre les États membres

Les États membres sont invités à échanger leurs informations et connaissances au sein du conseil des États membres afin de guider le développement des RER, de fournir des orientations aux réseaux et aux États membres et de conseiller la Commission sur les questions relatives à la création des réseaux.»

L'article 16 bis suivant est inséré:

«Article 16 bis

Système de gestion des données cliniques des patients

1. Il est institué un système de gestion des données cliniques des patients (CPMS) pour l'échange de données à caractère personnel concernant les patients entre les prestataires de soins de santé autorisés à y accéder au sein des RER.

2. Le CPMS consiste en un outil informatique sécurisé, fourni par la Commission, pour le partage et l'hébergement de données sur les patients et pour la communication en temps réel et opportun sur des cas de patients au sein des RER.

3. Il comprend, entre autres, une visionneuse d'images médicales, des capacités de communication de données, des ensembles de données personnalisés et intègre des garanties suffisantes en matière de protection des données conformément à l'annexe I.»

L'article 16 ter suivant est inséré:

«Article 16 ter

Données à caractère personnel traitées dans le CPMS

1. Les données à caractère personnel des patients, consistant en leur nom, leur sexe, leurs date et lieu de naissance et en d'autres données à caractère personnel, qui sont nécessaires à des fins de diagnostic et de traitement, sont échangées et traitées au sein des RER exclusivement par l'intermédiaire du CPMS. Le traitement de ces données est limité aux finalités suivantes: faciliter la collaboration sur l'évaluation médicale du dossier d'un patient à des fins de diagnostic et de traitement, inscrire les données dans des registres et autres bases de données dédiés à des maladies complexes rares ou à faible prévalence, qui servent la recherche scientifique ou des objectifs cliniques ou de politique de santé et prendre contact avec des patients pour leur éventuelle participation à des initiatives de recherche scientifique. Le traitement se fonde sur un consentement obtenu conformément à l'annexe IV.

2. La Commission est considérée comme responsable du traitement des données à caractère personnel en ce qui concerne la gestion des droits d'accès et traite ces données sur la base du consentement explicite des personnes identifiées comme utilisateurs par les prestataires de soins de santé et autorisées par le RER pertinent dans la mesure où cela est nécessaire pour garantir que:

a)	des droits d'accès sont accordés à ces personnes;

b)	ces personnes peuvent exercer leurs droits et remplir leurs obligations; et

c)	la Commission peut remplir les obligations qui lui incombent en sa qualité de responsable du traitement.

3. La Commission n'accède pas aux données à caractère personnel des patients, sauf si elle a impérativement besoin d'un tel accès pour remplir les obligations qui lui incombent en sa qualité de responsable conjoint du traitement.

4. Seules les personnes autorisées par les RER et appartenant aux catégories de personnel et aux autres personnes affiliées aux prestataires de soins de santé autorisés à accéder au CPMS peuvent accéder aux données à caractère personnel des patients dans le CPMS.

5. Le nom du patient ainsi que le lieu et la date exacte de sa naissance sont cryptés et pseudonymisés dans le CPMS. Les autres données à caractère personnel nécessaires à des fins de diagnostic et de traitement sont pseudonymisées. Seules des données pseudonymisées sont mises à la disposition des utilisateurs du CPMS liés à d'autres prestataires de soins de santé pour les discussions de panel et les évaluations des dossiers de patients.

6. La Commission veille à la sécurité du transfert et de l'hébergement des données à caractère personnel.

7. Les prestataires de soins de santé autorisés à accéder au CPMS effacent les données qui ne sont plus nécessaires. Les données à caractère personnel des patients ne sont conservées qu'aussi longtemps que cela est nécessaire pour assurer l'administration de soins aux patients, diagnostiquer les maladies ou assurer l'administration de soins aux membres de la famille des patients au sein d'un réseau européen de référence. Tous les quinze ans au plus tard, chaque prestataire de soins de santé autorisé à accéder au CPMS réexamine la nécessité de conserver les données des patients dont il a la responsabilité du traitement.

8. L'efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement des données à caractère personnel dans le CPMS est régulièrement testée, analysée et évaluée par la Commission et les prestataires de soins autorisés à accéder au CPMS.»

L'article 16 quater suivant est inséré:

«Article 16 quater

Responsabilité conjointe du traitement des données à caractère personnel des patients par l'intermédiaire du CPMS

1. Chaque prestataire de soins de santé qui traite des données de patients dans le CPMS et la Commission sont conjointement responsables du traitement de ces données dans le CPMS.

2. Aux fins du paragraphe 1, les responsabilités sont réparties entre les responsables conjoints du traitement conformément à l'annexe III.

3. Chacun des responsables conjoints du traitement respecte la législation pertinente nationale et de l'Union à laquelle il est soumis.»

8)	L'annexe III, dont le texte figure à l'annexe I de la présente décision, est ajoutée.

9)	L'annexe IV, dont le texte figure à l'annexe II de la présente décision, est ajoutée.

Article 2

La présente décision entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l'Union européenne.

Fait à Bruxelles, le 26 juillet 2019.

Par la Commission

Le président

Jean-Claude JUNCKER

(1) JO L 88 du 4.4.2011, p. 45

(2) Décision d'exécution 2014/287/UE de la Commission du 10 mars 2014 établissant les critères de mise en place et d'évaluation des réseaux européens de référence et de leurs membres et de facilitation des échanges d'informations et de connaissances liées à la mise en place de ces réseaux et à leur évaluation (JO L 147 du 17.5.2014, p. 79).

(3) Décision déléguée 2014/286/UE de la Commission du 10 mars 2014 établissant les critères et conditions que doivent remplir les réseaux européens de référence et les prestataires de soins de santé qui souhaitent adhérer à un réseau européen de référence (JO L 147 du 17.5.2014, p. 71).

(4) Tels que visés au considérant 14 et à l'annexe I, point 7 c), de la décision déléguée 2014/286/UE et dans la déclaration du conseil des États membres du 10 octobre 2017, disponible à l'adresse suivante: https://ec.europa.eu/health/sites/health/files/ern/docs/boms_affiliated_partners_en.pdf

(5) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).

(6) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).

ANNEXE I

«ANNEXE III

RÉPARTITION DES RESPONSABILITÉS ENTRE LES RESPONSABLES CONJOINTS DU TRAITEMENT

La Commission est chargée:

i)	de la mise en place, du fonctionnement et de l'administration du CPMS;

ii)

de fournir aux prestataires de soins de santé, lorsqu'il y a lieu, les moyens techniques permettant aux patients d'exercer leurs droits par l'intermédiaire du CPMS, conformément au règlement (UE) 2018/1725, de répondre aux demandes des personnes concernées et d'en assurer le suivi lorsque la législation applicable l'exige;

iii)	de veiller à ce que le CPMS soit conforme aux exigences applicables aux systèmes d'information et de communication de la Commission (1);

iv)	de définir et de mettre en œuvre les moyens techniques permettant aux patients d'exercer leurs droits conformément au règlement (UE) 2018/1725;

v)	de communiquer aux prestataires de soins de santé toute violation de données à caractère personnel dans le CPMS;

vi)	d'exporter les ensembles de données à caractère personnel du CPMS en cas de changement de sous-traitant des données à caractère personnel;

vii)	d'identifier les catégories de personnel et les autres personnes, affiliées aux prestataires de soins de santé autorisés à accéder au CPMS, auxquelles l'accès au CPMS peut être accordé;

viii)

de s'assurer que le nom et le lieu de naissance des patients (à moins que cette information ne soit nécessaire pour le diagnostic et le traitement), ainsi que sa date de naissance exacte, soient cryptés et pseudonymisés et que les autres données à caractère personnel nécessaires aux fins du diagnostic et du traitement soient pseudonymisées dans le CPMS;

ix)	de mettre en place des garanties suffisantes pour assurer la sécurité et la confidentialité des données à caractère personnel des patients traitées par l'intermédiaire du CPMS.

Chaque prestataire de soins de santé autorisé à accéder au CPMS est chargé:

i)	de sélectionner les patients dont les données à caractère personnel sont traitées par l'intermédiaire du CPMS;

ii)	de recueillir et de conserver le(s) consentement(s) spécifique(s), libre(s), éclairé(s) et explicite(s) des patients dont les données sont traitées par l'intermédiaire du CPMS dans le respect des exigences minimales obligatoires relatives aux formulaires de consentement précisées à l'annexe IV;

iii)

d'agir en tant que point de contact pour ses patients, notamment lorsqu'ils exercent leurs droits, de répondre aux demandes des patients ou de leurs représentants et de veiller à ce que les patients dont les données sont traitées par l'intermédiaire du CPMS soient en mesure d'exercer leurs droits dans le respect de la législation sur la protection des données, en utilisant, au besoin, les moyens techniques fournis par la Commission conformément au point 1 ii);

iv)	de réexaminer, au moins tous les quinze ans, la nécessité de traiter certaines données à caractère personnel des patients par l'intermédiaire du CPMS;

v)	de veiller à la sécurité et à la confidentialité de tout traitement de données à caractère personnel de patients qu'il effectue en dehors du CPMS, lorsque ces données sont traitées aux fins ou dans le cadre du traitement de données à caractère personnel de patients par l'intermédiaire du CPMS;

vi)

de communiquer toute violation des données à caractère personnel en ce qui concerne les données de patients traitées par l'intermédiaire du CPMS à la Commission, aux autorités de contrôle compétentes et, lorsque c'est exigé, aux patients, conformément aux articles 33 et 34 du règlement (UE) 2016/679 ou à la demande de la Commission;

vii)	de désigner, conformément aux critères d'accès visés au point 1) vii), de la présente annexe, les membres de son personnel et les autres personnes qui lui sont affiliés qui doivent avoir accès aux données à caractère personnel des patients dans le CPMS, et de les communiquer à la Commission;

viii)

de s'assurer que les membres de son personnel et les autres personnes qui lui sont affiliés qui ont accès aux données à caractère personnel des patients dans le CPMS soient suffisamment formés pour garantir qu'ils exécutent leurs tâches conformément aux règles applicables en matière de protection des données à caractère personnel et soient soumis à l'obligation de secret professionnel conformément à l'article 9, paragraphe 3, du règlement (UE) 2016/679.

(1) Décision (UE, Euratom) 2017/46 de la Commission du 10 janvier 2017 sur la sécurité des systèmes d'information et de communication au sein de la Commission européenne (JO L 6 du 11.1.2017, p. 40) et décision de la Commission du 13 décembre 2017 portant modalités d'application des articles 3, 5, 7, 8, 9, 10, 11, 12, 14 et 15 de la décision (UE, Euratom) 2017/46 relative à la sécurité des systèmes d'information et de communication au sein de la Commission européenne [C(2017) 8841 final].

ANNEXE II

«ANNEXE IV

Exigences minimales obligatoires pour le formulaire de consentement à fournir par les prestataires de soins de santé autorisés à accéder au CPMS

Le formulaire de consentement décrit la base juridique et la licéité du traitement, la notion de “réseau européen de référence” (RER) établie par la directive 2011/24/UE relative à l'application des droits des patients en matière de soins de santé transfrontaliers ainsi que la finalité poursuivie par le réseau. Il comporte des informations sur les opérations de traitement spécifiques et les droits respectifs de la personne concernée conformément à la législation applicable en matière de protection des données. Il y est expliqué que les réseaux européens de référence sont composés de membres qui sont des prestataires de soins de santé hautement spécialisés et qu'ils ont pour objectif de permettre aux professionnels de la santé de collaborer pour venir en aide aux patients atteints de maladies ou d'affections complexes rares ou à faible prévalence qui nécessitent des soins de santé hautement spécialisés.

Le formulaire de consentement demande le consentement explicite du patient au partage de ses données à caractère personnel avec un ou plusieurs RER, dans le seul but d'améliorer son accès au diagnostic et au traitement et de lui fournir des soins de santé de qualité. À cet effet, il y est expliqué que:

si le consentement est donné, les données à caractère personnel du patient seront traitées par les prestataires de soins de santé autorisés à accéder au CPMS dans le respect des conditions suivantes:

le nom du patient, de même que le lieu et la date exacte de sa naissance, ne feront pas partie des données partagées. Les données d'identification du patient seront remplacées par un identifiant unique qui ne permettra pas l'identification du patient par qui que ce soit d'autre que le prestataire de soins de santé (pseudonymisation);

ii)

seules les données pertinentes aux fins du diagnostic et du traitement seront partagées. Il peut s'agir de la région de naissance et de la région de résidence, du sexe, de l'année et du mois de naissance, d'images médicales, de rapports de laboratoire ainsi que de données relatives à des échantillons biologiques, ou encore de lettres et de rapports d'autres professionnels de la santé qui ont pris le patient en charge par le passé;

iii)	les données du patient seront partagées dans le cadre du système de gestion des données cliniques des patients (CPMS), un système d'information électronique sécurisé;

iv)	seuls les professionnels de la santé et les autres personnes affiliées aux prestataires de soins de santé autorisés à accéder au CPMS, soumis à l'obligation de secret professionnel et étant autorisés à accéder aux données des patients au sein des réseaux, auront accès aux données du patient;

v)	les professionnels de la santé et les autres personnes affiliées à ces prestataires de soins de santé qui sont autorisés à accéder aux données des patients peuvent effectuer des recherches dans le CPMS et créer des rapports afin d'identifier des cas de patients similaires;

b)	le refus de donner son consentement n'affectera en rien la prise en charge du patient par le prestataire de soins de santé concerné.

Le formulaire de consentement peut également demander le consentement supplémentaire du patient à l'inscription de ses données dans des registres ou d'autres bases de données dédiés à des maladies complexes rares ou à faible prévalence, qui servent la recherche scientifique ou des objectifs cliniques ou politiques. Si le consentement est requis à cette fin, le formulaire de consentement décrit la notion de registre ou de base de données pour les maladies rares, ainsi que la finalité dudit registre ou de ladite base, et explique que:

i)	seules les données pertinentes relatives à l'affection du patient seront partagées;

ii)	les professionnels de la santé et les autres personnes affiliées à ces prestataires de soins de santé qui sont autorisés à accéder aux données des patients peuvent effectuer des recherches dans le CPMS et créer des rapports afin d'identifier des cas de patients similaires;

b)	le refus de donner son consentement n'affectera en rien la prise en charge du patient par le prestataire de soins concerné ou le fait que le réseau fournira des conseils sur le diagnostic et le traitement à la demande du patient.

Le formulaire de consentement peut également demander le consentement supplémentaire du patient à être contacté par un membre du réseau qui estime qu'il pourrait convenir pour une initiative de recherche scientifique, un projet de recherche scientifique spécifique ou des parties d'un projet de recherche scientifique. Si le consentement est demandé à cette fin, le formulaire de consentement précise que donner à ce stade son consentement à être contacté aux fins de la recherche scientifique n'équivaut pas à donner son consentement à l'utilisation de ses données pour une initiative de recherche scientifique spécifique. Ce consentement ne signifie pas non plus que le patient sera en tout état de cause contacté en relation avec un projet de recherche scientifique spécifique ou qu'il participera à un tel projet. Le formulaire de consentement précise également que:

i)	les professionnels de la santé et les autres personnes affiliées à ces prestataires de soins de santé qui sont autorisés à accéder aux données des patients peuvent effectuer des recherches dans le CPMS et créer des rapports afin de trouver des patients convenant à la recherche scientifique;

ii)	si la maladie ou l'affection du patient est jugée pertinente pour un projet de recherche scientifique spécifique, le patient peut être contacté aux fins de ce projet de recherche scientifique spécifique afin d'obtenir son consentement à l'utilisation de ses données dans le cadre dudit projet;

b)	le refus de donner son consentement n'affectera en rien la prise en charge du patient par le prestataire de soins concerné ou le fait que le réseau fournira des conseils sur le diagnostic et le traitement à la demande du patient.

Le formulaire de consentement précise les droits du patient en ce qui concerne son ou ses consentements à partager des données à caractère personnel et, en particulier, informe le patient qu'il:

a)	a le droit de donner ou de refuser l'un des consentements et que cela n'affectera pas sa prise en charge;

b)	peut retirer le consentement donné précédemment à n'importe quel moment;

c)	a le droit de savoir quelles données sont partagées au sein d'un réseau, d'accéder aux données le concernant et de demander que toute erreur soit corrigée;

d)	peut demander que ses données à caractère personnel soient verrouillées ou effacées, et a le droit à la portabilité de ses données.

Le formulaire de consentement informe le patient que le prestataire de soins de santé conservera les données à caractère personnel uniquement pendant la durée nécessaire aux fins auxquelles le patient a donné son consentement et que la nécessité de conserver dans le CPMS certaines données à caractère personnel du patient sera réexaminée au moins tous les quinze ans.

Le formulaire de consentement informe le patient sur l'identité et les coordonnées des responsables du traitement, en lui indiquant clairement que le point de contact auprès duquel il peut exercer ses droits est le prestataire de soins de santé autorisé à accéder au CPMS, sur les coordonnées des délégués à la protection des données et, s'il y a lieu, sur les recours disponibles en matière de protection des données. Il mentionne également les coordonnées de l'autorité nationale chargée de la protection des données.

Le formulaire de consentement consigne séparément le consentement individuel pour chacune des trois formes de partage d'informations de manière univoque, explicite et spécifique:

a)	le consentement doit être démontré par un acte positif clair, par exemple l'utilisation d'une case à cocher et une signature sur le formulaire;

b)	les deux options (accepter ou refuser de donner son consentement) sont mentionnées.

Top