6.6.2009   

FR

Journal officiel de l'Union européenne

C 128/20

1.

Le 2 juillet 2008, la Commission a adopté une proposition de directive du Parlement européen et du Conseil relative à l'application des droits des patients en matière de soins de santé transfrontaliers (ci-après dénommée «la proposition») (1). Conformément à l'article 28, paragraphe 2, du règlement (CE) no 45/2001, la Commission a transmis cette proposition au CEPD pour consultation.

2.

La proposition vise à mettre en place un cadre communautaire pour la prestation de soins de santé transfrontières dans l'UE, pour les cas où les soins dont les patients souhaitent bénéficier sont prestés dans un autre État membre que le leur. Ce cadre s'articule autour de trois axes principaux:

3.

Ce cadre poursuit un double objectif: assurer suffisamment de clarté concernant les droits en matière de remboursement des soins de santé dispensés dans d'autres États membres, et veiller à ce que les exigences nécessaires de qualité, de sécurité et d'efficacité soient satisfaites pour les soins de santé transfrontières.

4.

La mise en place d'un système de soins de santé transfrontières requiert l'échange, entre les organisations agréées et les professionnels de la santé des différents États membres, de données à caractère personnel pertinentes relatives à la santé des patients. Considérées comme sensibles, ces données sont soumises aux règles de protection renforcée énoncées à l'article 8 de la directive 95/46/CE, qui traite de catégories particulières de données.

5.

Le CEPD se félicite d'être consulté sur cette question conformément à l'article 28 du règlement (CE) no 45/2001 et relève avec satisfaction qu'il est fait référence à cette consultation dans le préambule de la proposition.

6.

C'est la première fois que le CEPD est consulté officiellement à propos d'une proposition de directive dans le domaine des soins de santé. C'est pourquoi certaines des observations qui suivent ont une portée très large — elles abordent des questions générales relevant de la protection des données à caractère personnel dans le secteur des soins de santé — et pourraient dès lors valoir aussi pour d'autres instruments législatifs (contraignants ou non) relevant du même domaine.

7.

Le CEPD souhaite exprimer d'emblée son soutien aux initiatives visant à améliorer les conditions applicables aux soins de santé transfrontières. La proposition devrait en réalité être examinée dans le cadre du programme communautaire global visant à améliorer la santé des citoyens dans la société de l'information. D'autres initiatives en ce sens sont la directive et la communication, annoncées par la Commission sur les dons et la transplantation d'organes (2), la recommandation sur l'interopérabilité des dossiers informatisés de santé (3) et la communication annoncée sur la télémédecine (4). Le CEPD est toutefois préoccupé par le fait que toutes ces initiatives apparentées ne soient pas étroitement liées ou interconnectées sur le plan du respect de la vie privée et de la sécurité des données, ce qui empêche l'adoption d'une approche uniforme de la protection des données, en particulier lorsqu'il est question de recourir à de nouvelles TIC. Par exemple, alors que la proposition à l'examen mentionne expressément la télémédecine au considérant 10, elle ne comporte aucune référence au volet «protection des données» de la communication de la Commission. De plus, alors que les dossiers informatisés de santé constituent un mode possible de communication transnationale des données relatives à la santé, aucun lien n'est établi, dans la proposition, avec les questions de protection de la vie privée abordées dans la recommandation de la Commission en la matière (5). Tout cela donne l'impression qu'une approche globale du respect de la vie privée dans le cadre des soins de santé n'est pas encore clairement définie et que, dans certains cas, elle fait complètement défaut.

8.

C'est ce qui ressort aussi de la proposition à l'examen: le CEPD regrette de constater que les implications pour la protection des données n'y sont pas abordées concrètement. On y trouve bien sûr des références à la protection des données, mais celles-ci sont surtout de nature générale et ne reflètent pas adéquatement les besoins et les exigences spécifiques en matière de respect de la vie privée qui découlent des soins de santé transfrontières.

9.

Le CEPD souhaite insister sur le fait qu'une approche uniforme et bien conçue de la protection des données dans l'ensemble des instruments proposés relatifs aux soins de santé permettra non seulement de garantir le droit fondamental des citoyens à la protection de leurs données, mais contribuera aussi au développement des soins de santé transfrontières dans l'Union européenne.

10.

L'objectif le plus connu de la Communauté européenne a été d'instaurer un marché intérieur, un espace sans frontières intérieures, au sein duquel la libre circulation des biens, des personnes, des services et des capitaux est garantie. Permettre aux citoyens de se déplacer et de résider plus facilement dans d'autres États membres que celui d'où ils proviennent a bien évidemment posé des questions concernant les soins de santé. C'est pourquoi, dans les années 90, la Cour de justice a été amenée à statuer, dans le contexte du marché intérieur, sur le remboursement éventuel de frais médicaux exposés dans un autre État membre: elle a reconnu que la liberté de prester des services, consacrée à l'article 49 du traité CE, impliquait la liberté de se déplacer dans un autre État membre afin d'y recevoir un traitement médical (6). Par conséquent, les patients qui souhaitaient recevoir des soins de santé transfrontières ne pouvaient désormais plus être traités différemment de leurs concitoyens qui recevaient le même traitement médical sans franchir de frontière.

11.

Ces arrêts de la Cour sont au cœur de la proposition à l'examen. Comme la jurisprudence de la Cour repose sur des cas individuels, ladite proposition vise à rendre les choses plus claires, de manière à garantir une application plus générale et plus efficace des libertés de recevoir et de dispenser des services de santé. Toutefois, comme nous l'avons déjà indiqué, la proposition fait également partie d'un programme plus ambitieux qui a pour but d'améliorer la santé des citoyens dans la société de l'information, cadre dans lequel l'UE envisage des possibilités prometteuses d'améliorer les soins de santé transfrontières grâce au recours aux technologies de l'information.

12.

Pour des raisons évidentes, arrêter des règles concernant les soins de santé transfrontières est un exercice délicat: dans ce domaine sensible, les États membres ont instauré des systèmes nationaux différents, en ce qui concerne par exemple l'assurance et le remboursement des frais ou l'organisation des infrastructures de soins de santé, notamment les réseaux et les applications en matière d'informations sur les soins de santé. Même si le législateur communautaire ne se préoccupe, dans la proposition à l'examen, que des soins de santé transfrontières, les règles envisagées influenceront à tout le moins l'organisation des systèmes nationaux de soins de santé.

13.

Les citoyens bénéficieront certes d'une amélioration des conditions applicables aux soins de santé transfrontières, mais cette amélioration impliquera en même temps certains risques pour eux: de nombreux problèmes pratiques, inhérents à la coopération transnationale entre des peuples de pays différents, parlant des langues différentes, doivent être résolus. Comme la santé revêt une importance capitale pour chaque citoyen, il faut exclure tout risque de mauvaise communication et d'erreur qui en découlerait. Il va sans dire qu'une amélioration des soins de santé transfrontières liée à l'utilisation de technologies de l'information en évolution constante a des implications considérables au niveau de la protection des données à caractère personnel. Un échange plus efficace — et dès lors croissant — des données relatives à la santé, la distance de plus en plus grande entre les personnes et les instances concernées, ainsi que les différentes législations nationales mettant en oeuvre les règles de protection des données, soulèvent des questions concernant la sécurité des données et la sécurité juridique.

14.

Il faut souligner que les données relatives à la santé sont considérées comme une catégorie particulière de données, qui méritent une protection renforcée. Comme la Cour européenne des droits de l'homme l'a déclaré récemment à propos de l'article 8 de la Convention européenne des droits de l'homme, la protection des données à caractère personnel, en particulier des données médicales, revêt une importance fondamentale pour l'exercice du droit au respect de la vie privée et de la vie familiale garanti par cette disposition (7). Avant d'expliquer les règles très strictes applicables au traitement des données relatives à la santé qui sont énoncées dans la directive 95/46/CE, nous allons examiner la notion même de «données relatives à la santé».

15.

La directive 95/46/CE ne comporte pas de définition explicite des données relatives à la santé. On donne généralement à celles-ci une interprétation large, puisqu'on les définit souvent comme des «données à caractère personnel (qui) présentent un lien clair et étroit avec la description de l'état de santé d'une personne» (8). Les données relatives à la santé englobent en principe les données médicales (orientation d'un malade par un généraliste vers un spécialiste et prescriptions médicales, rapports d'examens médicaux, tests de laboratoire, radiographies, etc.), ainsi que des données administratives et financières relatives à la santé (documents concernant l'admission dans un hôpital, numéro de sécurité sociale, calendrier des rendez-vous médicaux, factures de prestation de services de santé, etc.). Il convient de noter que l'expression «données médicales» (9) est parfois aussi utilisée dans ce contexte, tout comme l'expression «données relatives aux soins de santé» (10). Dans le présent avis, c'est l'expression «données relatives à la santé»qui sera utilisée.

16.

La norme ISO 27799 propose une définition utile des «données relatives à la santé»: toute information qui se rapporte à la santé physique ou mentale d'une personne, ou à la prestation de services de santé pour cette personne, et qui peut comprendre: a) des informations sur l'inscription de la personne concernée en vue de la prestation de services de santé; b) des informations sur les payements ou l'admissibilité à des soins de santé concernant ladite personne; c) un chiffre, un symbole ou un signe particulier attribué à une personne pour l'identifier de manière unique à des fins de santé; d) des informations sur la personne concernée recueillies lors de la prestation des services de santé dont elle fait l'objet; e) des informations provenant de tests ou d'examens d'une partie du corps ou d'une substance corporelle; et f) l'identification d'un individu (professionnel de la santé) en tant que prestataire de soins de santé pour la personne concernée.

17.

Le CEPD encourage vivement l'adoption d'une définition spécifique de l'expression «données relatives à la santé» dans le contexte de la proposition à l'examen, définition qui pourrait aussi être utilisée à l'avenir dans d'autres textes législatifs pertinents de la CE (voir section III ci-dessous).

18.

L'article 8 de la directive 95/46/CE énonce les règles applicables au traitement de catégories particulières de données. Ces règles sont plus strictes que celles qui régissent le traitement des autres données et qui figurent à l'article 7. En effet, le paragraphe 1 de l'article 8 stipule expressément que les États membres interdisent le traitement (entre autres) des données relatives à la santé. Les paragraphes suivants prévoient plusieurs exceptions à cette interdiction, mais leur portée est plus restreinte que celle des motifs énoncés à l'article 7 pour justifier le traitement des données ordinaires. Par exemple, l'interdiction ne s'applique pas si la personne concernée a donné son consentement explicite (article 8, paragraphe 2, point a)), alors que selon l'article 7, point a), la personne concernée doit avoir indubitablement donné son consentement. De plus, la législation de l'État membre peut prévoir que dans certains cas, l'interdiction ne peut être levée par le consentement de la personne concernée. Le paragraphe 3 de l'article 8 est consacré uniquement au traitement des données relatives à la santé: l'interdiction prévue au paragraphe 1 ne s'applique pas lorsque le traitement des données est nécessaire aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements ou de la gestion de services de santé et que le traitement de ces données est effectué par un praticien de la santé soumis par le droit national ou par des réglementations arrêtées par les autorités nationales compétentes au secret professionnel, ou par une autre personne également soumise à une obligation de secret équivalente.

19.

L'article 8 de la directive 95/46/CE insiste beaucoup sur le fait que les États membres doivent prévoir des garanties appropriées ou adéquates. Ainsi, le paragraphe 4 autorise les États membres à prévoir, pour un motif d'intérêt public important, des dérogations supplémentaires à l'interdiction de traiter les données sensibles, mais sous réserve de garanties appropriées. Cette disposition souligne en termes généraux la responsabilité qui incombe aux États membres d'accorder une attention particulière au traitement des données sensibles, telles les données relatives à la santé.

20.

Les États membres devraient être particulièrement conscients de la responsabilité que l'on vient de mentionner en cas d'échange transnational de données relatives à la santé. Comme cela a été dit, cet échange augmente le risque que le traitement soit inapproprié ou illicite — ce qui, de toute évidence, peut avoir des conséquences négatives considérables pour la personne concernée. Tant l'État membre de l'affiliation (où le patient est assuré) que l'État membre du traitement (où le soin de santé transfrontière est effectivement administré) sont parties prenantes de ce processus est en partagent dès lors la responsabilité.

21.

Dans ce contexte, la sécurité des données relatives à la santé est un élément important. Dans l'affaire récente citée plus haut, la Cour européenne des droits de l'homme a accordé une importance particulière à la confidentialité des données relatives à la santé en déclarant que le respect de la confidentialité des données relatives à la santé est un principe essentiel dans les systèmes juridiques de toutes les parties contractantes à la Convention et qu'il est crucial non seulement de respecter la vie privée d'un patient mais aussi de préserver sa confiance dans la profession médicale et dans les services de santé en général (11).

22.

Selon les règles en matière de protection des données énoncées dans la directive 95/46/CE, il faut en outre que l'État membre de l'affiliation fournisse aux patients des informations adéquates, exactes et actualisées sur le transfert de ses données à caractère personnel dans un autre État membre, en même temps qu'il assure la sécurité de ce transfert. L'État membre du traitement doit, à son tour, garantir une réception sécurisée de ces données et offrir le niveau approprié de protection lorsque les données sont effectivement traitées, conformément à sa législation nationale sur la protection des données.

23.

Le CEPD souhaite que la proposition décrive clairement la responsabilité partagée des États membres, également dans le cadre de la communication électronique des données, en particulier compte tenu des nouvelles applications TIC — point qui sera examiné ci-dessous.

24.

C'est principalement l'utilisation des technologies de l'information qui permet d'améliorer les échanges transnationaux de données relatives à la santé. Certes, l'échange de données dans le cadre d'un programme de soins de santé transfrontières peut toujours se faire sur papier (par exemple, le patient déménage dans un autre État membre en emportant avec lui tout toutes ses données utiles relatives à la santé, comme des examens de laboratoire, des orientations de son généraliste vers un spécialiste, etc.), mais l'objectif est clairement de recourir à des moyens électroniques. La communication électronique de données relatives à la santé sera facilitée par des systèmes informatiques de soins de santé établis (ou à établir) dans les États membres (dans les hôpitaux, les cliniques, etc.), ainsi que par le recours à de nouvelles technologies, tel le dossier informatisé de santé (pouvant fonctionner via l'internet), ainsi que par d'autres outils comme les cartes de santé des patients et des médecins. Bien sûr, les échanges peuvent aussi prendre une forme combinant le papier et l'électronique, selon les régimes de soins de santé des États membres.

25.

La santé en ligne et la télémédecine, qui entrent dans le champ d'application de la directive proposée, dépendront exclusivement de l'échange de données électroniques relatives à la santé (signes vitaux, images, etc.), qui se fera généralement en combinaison avec l'utilisation d'autres systèmes informatiques de soins de santé situés dans les États membres du traitement et de l'affiliation. Ces applications comprennent les systèmes fonctionnant tant sur une base «patient à médecin» (par exemple, la télésurveillance et le diagnostic à distance), que sur une base «médecin à médecin» (par exemple, la téléconsultation entre praticiens de la santé pour obtenir un avis d'expert sur des cas particuliers). D'autres applications plus spécifiques au service de l'ensemble des prestations de soins de santé transfrontières peuvent également dépendre uniquement de l'échange de données électroniques, comme les prescriptions électroniques ou les orientations électroniques vers un spécialiste, qui sont déjà mises en place au niveau national dans certains États membres (12).

26.

Compte tenu des réflexions qui précèdent et de la diversité actuelle des systèmes de soins de santé des États membres ainsi que du développement croissant des applications «santé en ligne», deux sujets principaux de préoccupation se présentent en ce qui concerne la protection des données à caractère personnel lors de la prestation de soins de santé transfrontières: a) les différents niveaux de sécurité pouvant être appliqués par les États membres pour la protection des données à caractère personnel (en termes de mesures techniques et organisationnelles), et b) l'intégration du respect de la vie privée dans les applications «santé en ligne», en particulier dans leurs nouveaux développements. En outre, d'autres aspects, comme l'utilisation accessoire de données relatives à la santé, en particulier dans le domaine de la production de statistiques, pourraient aussi nécessiter une attention particulière. Ces questions sont analysées en détail dans la suite de la présente section.

27.

Bien que les directives 95/46/CE et 2002/58/CE soient appliquées de manière uniforme en Europe, l'interprétation et la mise en œuvre de certains de leurs éléments peuvent différer d'un pays à l'autre, en particulier dans les domaines où les dispositions de droit sont d'ordre général et laissées à l'appréciation des États membres. Le principal domaine à examiner ici est la sécurité du traitement, c'est-à-dire les mesures (techniques et organisationnelles) que les États membres prennent pour préserver la sécurité des données relatives à la santé.

28.

Si la protection stricte des données relatives à la santé est une responsabilité qui incombe à tous les États membres, il n'existe actuellement aucune définition communément acceptée au sein de l'UE d'un niveau «approprié» de sécurité en matière de soins de santé, qui pourrait être appliquée dans le cas des soins de santé transfrontières. Ainsi, par exemple, un hôpital situé dans un État membre peut être obligé par les règles nationales concernant la protection des données d'adopter des mesures particulières de sécurité (comme, par exemple, la définition d'une politique de sécurité et de codes de conduite, de règles spécifiques pour sous-traiter et recourir à des contractants externes, d'exigences en matière d'audit, etc.) alors que ce ne serait pas le cas dans d'autres États membres. Cette disparité risque d'avoir une incidence sur l'échange transnational de données, en particulier lorsque celui-ci est effectué sous forme électronique, puisque l'on ne peut garantir que les données seront sécurisées (d'un point de vue technique et organisationnel) au même niveau dans les différents États membres.

29.

Il est dès lors nécessaire de viser une plus grande harmonisation dans ce domaine, en définissant un ensemble commun d'exigences de sécurité pour les soins de santé, qui devrait être adopté d'un commun accord par les États membres des prestataires de services de soins de santé. Cette nécessité correspond assurément au besoin général d'inscrire des principes communs au sein des systèmes de santé de l'UE, comme le mentionne la proposition.

30.

Il faudrait agir dans ce sens de façon générale, sans imposer de solutions techniques précises aux États membres, mais en établissant néanmoins une base permettant la reconnaissance et l'acceptation mutuelles dans les domaines, par exemple, de la définition d'une politique de sécurité, de l'identification et de l'authentification des patients et des professionnels de la santé, etc. Les normes européennes et internationales actuelles (comme ISO et CEN) applicables aux soins de santé et à la sécurité, ainsi que des concepts techniques bien acceptés et étayés par une base juridique (par exemple, les signatures électroniques (13), pourraient servir de balises à cet effet.

31.

Le CEPD est en faveur de l'idée d'harmoniser la sécurité en matière de soins de santé au niveau de l'UE et pense que la Commission devrait prendre des initiatives à cet effet, déjà dans le cadre de la proposition à l'examen (voir section III ci-dessous).

32.

Le respect de la vie privée et la sécurité devraient être pris en compte dans la conception et la mise en œuvre de tout système de soins de santé, et en particulier des applications «santé en ligne» mentionnées dans la proposition («prise en compte du respect de la vie privée dès la conception»). Cette nécessité incontournable a déjà été défendue dans d'autres documents stratégiques (14), qu'ils soient généraux ou consacrés aux soins de santé (15).

33.

Dans le cadre de l'interopérabilité de la santé en ligne examinée dans la proposition, la notion de prise en compte du respect de la vie privée dès la conception devrait à nouveau être présentée comme une base pour tous les développements envisagés. Cette notion s'applique à différents niveaux: organisationnel, sémantique et technique.

34.

Le CEPD pense que l'intégration des exigences en matière de respect de la vie privée et de sécurité dès le tout premier stade de développement pourrait commencer dans le domaine des prescriptions électroniques (voir section III ci-dessous).

35.

Un autre aspect qui pourrait être envisagé dans le cadre de l'échange transnational de données relatives à la santé est l'utilisation accessoire de ces données, et en particulier leur utilisation à des fins statistiques, comme le prévoit déjà la proposition à l'examen.

36.

Comme nous l'avons indiqué au point 18 ci-dessus, l'article 8, paragraphe 4, de la directive 95/46 prévoit la possibilité d'une utilisation accessoire des données relatives à la santé. Toutefois, ce traitement ultérieur ne doit être effectué que pour «un motif d'intérêt public important» et «sous réserve de garanties appropriées» fixées par la législation nationale ou sur décision de l'autorité de contrôle (16). De plus, le traitement de données statistiques (comme le CEPD l'a mentionné dans son avis sur la proposition de règlement relatif aux statistiques communautaires de la santé publique et de la santé et de la sécurité au travail (17) présente un risque supplémentaire en raison du sens différent que les notions de «confidentialité» et de «protection des données» peuvent revêtir dans le cadre de l'application de la législation sur la protection des données, d'une part, et de la législation sur les statistiques, d'autre part.

37.

Le CEPD souhaite insister sur les éléments qui précèdent dans le contexte de la proposition à l'examen: celle-ci devrait mentionner de manière plus explicite les exigences en matière de protection des données en cas d'utilisation ultérieure de données relatives à la santé (voir section III ci-dessous).

38.

La proposition mentionne à divers endroits la protection des données et le respect de la vie privée, et plus précisément:

39.

Le CEPD se félicite de ce que la protection des données ait été prise en compte lors de l'élaboration de la proposition, et de la tentative faite pour montrer qu'il est nécessaire, de manière générale, de respecter la vie privée dans le contexte des soins de santé transfrontières. Toutefois, les dispositions actuelles de la proposition relatives à la protection des données soit sont trop générales, soit renvoient aux responsabilités des États membres d'une manière plutôt sélective et dispersée:

En outre, comme cela a déjà été dit dans l'introduction du présent avis, aucun lien n'est établi avec les éléments relatifs au respect de la vie privée abordés dans d'autres instruments législatifs de la CE (contraignants ou non) dans le domaine des soins de santé, en particulier en ce qui concerne l'utilisation de nouvelles applications TIC (comme la télémédecine ou les dossiers informatisés de santé), et aucune référence n'y est faite.

40.

Ainsi, bien que le respect de la vie privée soit mentionné de manière générale en tant qu'exigence accompagnant les soins de santé transfrontières, il manque toujours une vue d'ensemble tant des obligations incombant aux États membres que des spécificités induites par la nature transfrontière de la prestation de services de soins de santé (qui la distingue de la prestation de soins de santé nationaux). Plus précisément:

41.

Par ailleurs, l'article 18, qui traite de la collecte des données à des fins statistiques et de suivi, suscite des préoccupations particulières. Le premier paragraphe parle de «données statistiques et autres données supplémentaires»; il mentionne aussi des «fins de suivi» pour énumérer ensuite les domaines faisant l'objet de ces fins de suivi, à savoir la prestation de soins de santé transfrontières, les soins dispensés, les prestataires et les patients, les coûts et les résultats. Dans ce contexte, déjà peu clair, la disposition cite de manière générale la législation sur la protection des données, mais sans ajouter d'exigence spécifique concernant l'utilisation ultérieure de données relatives à la santé, alors que l'article 8, paragraphe 4, de la directive 95/46/CE le prévoit. En outre, le deuxième paragraphe énonce l'obligation inconditionnelle de transférer un grand volume de données à la Commission au moins une fois par an. Comme aucune évaluation de la nécessité de ce transfert n'est mentionnée expressément, il semble que le législateur communautaire ait déjà établi lui-même cette nécessité.

42.

Le CEPD formule ci-après plusieurs recommandations permettant d'aborder comme il se doit les éléments susmentionnés; il les a regroupées en cinq points essentiels impliquant des modifications à apporter.

43.

L'article 4 définit les principaux termes utilisés dans la proposition. Le CEPD recommande vivement d'y introduire une définition des données relatives à la santé. Il faudrait à cette fin partir d'une interprétation large de ce concept, telle qu'elle est décrite à la section II du présent avis (points 14 et 15).

44.

Le CEPD recommande vivement aussi d'introduire dans la proposition un article spécifique sur la protection des données, qui permettrait de définir de manière claire et compréhensible la dimension globale «respect de la vie privée». Cette disposition devrait a) décrire les responsabilités des États membres de l'affiliation et du traitement, y compris — entre autres — celle de garantir la sécurité du traitement des données, et b) recenser les principaux domaines à développer, à savoir l'harmonisation au niveau des mesures de sécurité et la prise en compte du respect de la vie privée dans la santé en ligne. Des dispositions particulières peuvent être prévues pour ces questions (dans le cadre de l'article proposé), comme suggéré aux points 3 et 4 ci-dessous.

45.

Dans la ligne de la modification prévue au point 2, le CEPD recommande à la Commission d'adopter un mécanisme permettant de définir un niveau de sécurité acceptable par tous concernant les données relatives à la santé au niveau national, compte tenu des normes techniques en vigueur dans ce domaine. Cet élément devrait être mentionné dans la proposition. Sa mise en œuvre pourrait se faire par le recours à la procédure de comité, qui est déjà décrite à l'article 19 et s'applique à d'autres parties de la proposition. De plus, d'autres instruments pourraient être utilisés pour élaborer des orientations utiles avec toutes les parties prenantes, comme le groupe de travail «Article 29» et le CEPD.

46.

L'article 14 sur la reconnaissance des prescriptions établies dans un autre État membre prévoit l'élaboration d'un modèle de prescription communautaire, favorisant l'interopérabilité des prescriptions électroniques. Cette mesure doit être adoptée par la procédure de comité définie à l'article 19, paragraphe 2.

47.

Le CEPD recommande que le modèle proposé de prescription électronique incorpore les concepts de respect de la vie privée et de sécurité des données, et ce dès le stade de la définition sémantique de base dudit modèle. Ce point devrait être expressément mentionné à l'article 14, paragraphe 2, point a). Ici aussi, la participation de toutes les parties prenantes revêt une grande importance. Le CEPD souhaite être informé de toute nouvelle mesure prise à ce sujet au moyen de la procédure de comité proposée et y être associé.

48.

Pour éviter tout risque d'erreur, le CEPD préconise de clarifier la notion d'«autres données supplémentaires» figurant à l'article 18, paragraphe 1. Cette disposition devrait en outre être modifiée de manière à énoncer plus explicitement les conditions à respecter aux fins de l'utilisation ultérieure des données relatives à la santé, comme le prévoit l'article 8, paragraphe 4, de la directive 95/46/CE. Par ailleurs, l'obligation de transmettre toutes les données à la Commission, prévue au paragraphe 2, devrait être assortie d'une obligation d'évaluer la nécessité de ces transferts, qui doivent avoir des fins légitimes dûment précisées à l'avance.

49.

Le CEPD souhaite exprimer son soutien aux initiatives visant à améliorer les conditions applicables à la prestation de soins de santé transfrontières. Il est toutefois préoccupé par le fait que les initiatives communautaires en matière de soins de santé ne sont pas toujours véritablement coordonnées en ce qui concerne l'utilisation des TIC, le respect de la vie privée et la sécurité des données, ce qui empêche l'adoption d'une approche uniforme des soins de santé en termes de protection des données.

50.

Le CEPD se félicite de ce que la proposition à l'examen mentionne le respect de la vie privée. Plusieurs modifications s'avèrent toutefois nécessaires, comme expliqué à la section III du présent avis, afin d'énoncer clairement les exigences applicables aux États membres tant de l'affiliation que du traitement et de tenir dûment compte de la dimension «protection des données» des soins de santé transfrontières: