52022PC0197

EXPOSÉ DES MOTIFS

1.CONTEXTE DE LA PROPOSITION

•Justification et objectifs de la proposition

Dans la stratégie européenne pour les données 1 , il est proposé de créer des espaces européens communs de données spécifiques à chaque domaine. L’espace européen des données de santé (ci-après l’«EHDS») est la première proposition d’espace européen commun de données spécifique à un domaine. Il répondra aux particularités du secteur de la santé concernant l’accès et le partage des données de santé électroniques, il constitue l’une des priorités de la Commission européenne dans le domaine de la santé 2 , et il fera partie intégrante de la création d’une union européenne de la santé. L’EHDS constituera un espace commun au sein duquel les personnes physiques pourront aisément contrôler leurs données de santé électroniques. Il permettra aussi aux chercheurs, aux innovateurs et aux décideurs d’utiliser ces données de santé électroniques d’une manière fiable et sûre, qui préserve la confidentialité.

À l’heure actuelle, les personnes physiques ont des difficultés à exercer les droits dont ils jouissent à l’égard de leurs données de santé électroniques, notamment en ce qui concerne l’accès à ces données et leur transmission à l’échelon national et par-delà les frontières, et ce, malgré les dispositions du règlement (UE) 2016/679 (ci-après le «RGPD») 3 , qui protègent les droits des personnes physiques à l’égard de leurs données, y compris leurs données de santé. Comme le montre l’étude d’évaluation des règles des États membres de l’Union en matière de donnée de santé à la lumière du RGPD 4 , le manque d’uniformité dans la mise en œuvre et l’interprétation du RGPD par les États membres crée des incertitudes juridiques considérables qui engendrent des obstacles à l’utilisation secondaire des données de santé électroniques. Il en découle certaines situations dans lesquelles les personnes physiques ne peuvent pas bénéficier de traitements innovants et les décideurs ne peuvent pas réagir efficacement à une crise sanitaire en raison d’obstacles empêchant leur accès, ainsi que celui des chercheurs, des innovateurs et des organismes de réglementation, aux données de santé électroniques nécessaires. Par ailleurs, en raison de différences dans les normes et de l’interopérabilité limitée, les fabricants de produits de santé numérique et les fournisseurs de services de santé numérique actifs dans un État membre font face à des obstacles et à des coûts supplémentaires lorsqu’ils entrent dans un autre État membre.

En outre, la pandémie de COVID-19 a montré encore davantage l’importance des données de santé électroniques pour l’élaboration de politiques en réaction aux urgences sanitaires. Elle a également mis en exergue l’impératif de garantir un accès rapide aux données de santé électroniques à caractère personnel à des fins de préparation et de réaction aux menaces sanitaires, ainsi qu’à des fins de traitement, mais aussi de recherche, d’innovation, de sécurité des patients, de réglementation, d’élaboration de politiques et de statistiques, ou de médecine personnalisée. Le Conseil européen a reconnu qu’il était urgent de progresser sur la voie de l’EHDS et de faire de ce dernier une priorité.

L’objectif général est de faire en sorte que les personnes physiques de l’Union aient davantage de contrôle sur leurs données de santé électroniques dans la pratique. Il s’agit aussi de garantir un cadre juridique consistant en des mécanismes de gouvernance fiables aux échelons de l’Union et des États membres et en un environnement de traitement sécurisé. Les chercheurs, innovateurs, décideurs et organismes de réglementation aux échelons de l’Union et des États membres pourraient ainsi accéder aux données de santé électroniques pertinentes afin de favoriser un meilleur diagnostic, de développer de meilleurs traitements et d’accroître le bien-être des personnes physiques. Des politiques améliorées et éclairées pourraient ainsi voir le jour. Il s’agit également de contribuer à un véritable marché unique des produits et services de santé numérique, en harmonisant les règles de manière à renforcer l’efficience des services de santé.

L’article 14 de la directive 2011/24/UE relative à l’application des droits des patients en matière de soins de santé transfrontaliers (ci-après la «directive relative aux soins de santé transfrontaliers») 5 a été la première référence à la santé en ligne dans la législation de l’Union. Cependant, comme indiqué dans l’analyse d’impact accompagnant le présent règlement sur l’EHDS, les dispositions pertinentes de ladite directive sont de nature volontaire. Cela explique en partie l’efficacité limitée de cet aspect de la directive en ce qui concerne le renforcement du contrôle des personnes physiques sur leurs données de santé électroniques à caractère personnel à l’échelon national et par-delà les frontières, et son efficacité très limitée en ce qui concerne l’utilisation secondaire des données de santé électroniques. La pandémie de COVID-19 a révélé le besoin urgent et le haut potentiel d’interopérabilité et d’harmonisation, sur la base de l’expertise technique existante à l’échelle national. Dans le même temps, les produits et services de santé numérique, y compris la télémédecine, sont devenus partie intégrante de la fourniture de soins de santé.

L’évaluation des aspects numériques de la directive relative aux soins de santé transfrontaliers couvrait la pandémie de COVID-19 et le règlement (UE) 2021/953 relatif au certificat COVID numérique de l’UE 6 . Ce règlement, d’une durée de validité limitée, porte sur les restrictions à la libre circulation imposées en raison de la COVID-19. L’évaluation montre que des dispositions juridiques favorisant l’harmonisation et une approche commune de l’Union à l’égard de l’utilisation des données de santé électroniques à des fins spécifiques (plutôt que des actions exclusivement volontaires), et des efforts de l’Union en vue de garantir une interopérabilité juridique, sémantique et technique 7 , peuvent être bénéfiques. En particulier, ils peuvent contribuer de manière significative à la libre circulation des personnes physiques et promouvoir l’Union en tant qu’actrice de premier plan dans la définition de normes à l’échelle mondiale dans le domaine de la santé numérique.

L’EHDS favorisera également l’échange de différents types de données de santé électroniques et l’accès à ces dernières, y compris les dossiers médicaux électroniques, les données génomiques, les registres de patients, etc. Il facilitera non seulement la fourniture des soins de santé (services et personnel associés à la fourniture des soins de santé ou utilisation primaire des données de santé électroniques), mais il contribuera aussi à la recherche, à l’innovation, à l’élaboration de politiques et à la réglementation en matière de santé ainsi qu’à la médecine personnalisée (utilisation secondaire des données de santé électroniques). Des mécanismes en faveur de l’altruisme en matière de données dans le secteur de la santé seront également mis en place. L’EHDS contribuera à concrétiser la vision de la Commission pour la transformation numérique de l’UE d’ici 2030, à atteindre l’objectif de la boussole numérique 8 consistant à ce que 100 % des personnes physiques aient accès à leurs dossiers médicaux et à mettre en œuvre la déclaration sur les principes numériques 9 .

•Cohérence avec les dispositions existantes dans le domaine d’action

L’échange transfrontière de données de santé électroniques est, dans une certaine mesure, traité par la directive relative aux soins de santé transfrontaliers, notamment dans son article 14 consacré au réseau «Santé en ligne». Créé en 2011, il s’agit d’un organisme volontaire à l’échelle de l’UE composé d’experts en santé numérique de tous les États membres ainsi que d’Islande et de Norvège. Il s’attelle à favoriser l’interopérabilité des données de santé électroniques au sein de l’Union et à élaborer des lignes directrices, telles que des normes sémantiques et techniques, des ensembles de données et des descriptions des infrastructures. L’évaluation des aspects numériques de la directive relative aux soins de santé transfrontaliers a souligné la nature volontaire de ces travaux et des lignes directrices. Cette caractéristique explique pourquoi ils ont eu une incidence relativement limitée sur le renforcement de l’accès des personnes physiques à leurs données de santé électroniques et de leur contrôle sur celles-ci. L’EHDS vise à remédier à ces problèmes.

L’EHDS repose sur des actes législatifs tels que le RGPD, le règlement (UE) 2017/745 relatif aux dispositifs médicaux (règlement relatif aux dispositifs médicaux) 10 , le règlement (UE) 2017/746 relatif aux dispositifs médicaux de diagnostic in vitro (règlement relatif au diagnostic in vitro) 11 , la proposition de législation sur l’intelligence artificielle 12 , la proposition d’acte sur la gouvernance des données 13 , la proposition de règlement sur les données 14 , la directive 2016/1148 concernant la sécurité des réseaux et des systèmes d’information (directive NIS) 15 et la directive relative aux soins de santé transfrontaliers.

Compte tenu du fait qu’une grande part des données électroniques accessibles dans l’EHDS sont des données de santé à caractère personnel relatives à des personnes physiques au sein de l’Union, la proposition est conçue dans le respect total non seulement du RGPD mais aussi du règlement (UE) 2018/1725 (règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union) 16 . Le RGPD prévoit les droits d’accès, de portabilité et d’accessibilité/de transmission à un nouveau responsable du traitement des données. Les données relatives à la santé y sont aussi désignées comme une «catégorie particulière de données», et se voient ainsi octroyer une protection particulière grâce à la mise en place de garanties supplémentaires pour leur traitement. L’EHDS contribue à l’application des droits inscrits dans le RGPD tels qu’appliqués aux données de santé électroniques, et ce, indépendamment de l’État membre, du type de prestataire de soins de santé, des sources des données de santé électroniques et de l’affiliation de la personne physique. L’EHDS s’appuie sur les possibilités offertes par le RGPD de mettre en place une législation de l’Union sur l’utilisation des données de santé électroniques à caractère personnel pour le diagnostic médical, la fourniture de soins de santé ou de traitements ou la gestion des systèmes et des services de soins de santé. Il permet aussi l’utilisation des données de santé électroniques à des fins de recherches scientifiques ou historiques, à des fins statistiques officielles, et dans l’intérêt général dans le domaine de la santé publique, par exemple pour la protection contre les menaces transfrontières graves pour la santé ou l’assurance de normes de qualité et de sécurité élevées pour les soins de santé et les médicaments ou les dispositifs médicaux. L’EHDS prévoit des dispositions supplémentaires en vue de favoriser l’interopérabilité et renforce le droit des personnes physiques à la portabilité des données dans le secteur de la santé.

Dans le contexte de l’union européenne de la santé, l’EHDS soutiendra les travaux de l’Autorité de préparation et de réaction en cas d’urgence sanitaire (HERA) 17 et contribuera au plan européen de lutte contre le cancer 18 , à la mission de l’UE contre le cancer 19 et à la stratégie pharmaceutique pour l’Europe 20 . L’EHDS créera un environnement juridique et technique qui favorisera la mise au point de médicaments et de vaccins innovants, ainsi que de dispositifs médicaux et de diagnostic in vitro. Cela contribuera à prévenir et détecter les urgences sanitaires et à y réagir rapidement. En outre, l’EHDS contribuera à améliorer la compréhension, la prévention, la détection précoce, le diagnostic, le traitement et la surveillance du cancer, grâce à un accès et à un partage transfrontières sécurisés entre les prestataires de soins de santé au sein de l’Union, notamment des données des personnes physiques relatives au cancer. Par conséquent, en offrant un accès sécurisé à une vaste gamme de données de santé électroniques, l’EHDS ouvrira de nouvelles possibilités en matière de prévention des maladies et de traitement pour les personnes physiques.

La proposition relative à l’EHDS s’appuie aussi sur les exigences qui ont été imposées en matière de logiciels par le règlement relatif aux dispositifs médicaux et la proposition de législation sur l’intelligence artificielle. Les logiciels des dispositifs médicaux doivent déjà être certifiés conformément au règlement relatif aux dispositifs médicaux, et les dispositifs médicaux fondés sur l’IA et les autres systèmes d’IA devront aussi respecter les exigences de la législation sur l’intelligence artificielle une fois celle-ci en vigueur. Cependant, un vide réglementaire a été décelé concernant les systèmes d’information utilisés dans le domaine de la santé, également appelés systèmes de dossiers médicaux électroniques (ci-après les «systèmes de DME»). L’accent est donc mis sur les systèmes de DME qui sont destinés à être utilisés pour stocker et partager les données de santé électroniques des personnes physiques. L’EHDS établit donc des exigences essentielles spécifiquement applicables aux systèmes de DME afin de favoriser l’interopérabilité et la portabilité des données de ces systèmes, ce qui permettra aux personnes physiques de contrôler plus efficacement leurs données de santé électroniques. En outre, les fabricants de dispositifs médicaux et de systèmes d’IA à haut risque qui annoncent l’interopérabilité de leurs produits avec les systèmes de DME devront respecter les exigences essentielles en matière d’interopérabilité prévues dans le règlement sur l’EHDS.

Quant au cadre applicable à l’utilisation secondaire des données de santé électroniques, l’EHDS s’appuie sur la proposition d’acte sur la gouvernance des données et sur la proposition de règlement sur les données. En tant que cadre horizontal, l’acte sur la gouvernance des données se contente d’établir des conditions générales applicables à l’utilisation secondaire des données du secteur public sans créer de véritable droit à l’utilisation secondaire de ces données. La proposition de règlement sur les données renforce la portabilité de certaines données générées par les utilisateurs, qui peuvent inclure des données de santé, mais ne prévoit pas de règles applicables à l’ensemble des données de santé. L’EHDS complète donc ces propositions d’actes législatifs et prévoit des règles plus spécifiques pour le secteur de la santé. Ces règles couvrent l’échange de données de santé électroniques et pourraient avoir une incidence sur les fournisseurs de services de partage de données, sur les formats garantissant la portabilité des données de santé, sur les règles en matière de coopération pour l’altruisme en matière de données dans le domaine de la santé et sur la complémentarité en matière d’accès aux données privées à des fins d’utilisation secondaire.

La directive NIS a établi les premières règles en matière de cybersécurité applicables dans toute l’Union. Cette directive est en cours de révision (proposition de directive NIS2 21 ) et se trouve actuellement au stade des négociations avec les colégislateurs. L’objectif est d’élever le niveau commun d’ambition de l’Union en ce qui concerne son cadre réglementaire en matière de cybersécurité, grâce à un champ d’application plus large, des règles plus claires et des outils de surveillance plus stricts. La proposition de la Commission traite de ces aspects au moyen de trois piliers: 1) les capacités des États membres, 2) la gestion des risques, et 3) la coopération et l’échange d’informations. Les opérateurs du système de soins de santé restent dans le champ d’application. L’EHDS renforce la sécurité et la confiance dans le cadre technique conçu pour faciliter l’échange des données de santé électroniques destinées à une utilisation tant primaire que secondaire.

Une proposition de législation sur la cyberrésilience devrait également être adoptée par la Commission en 2022, dans le but d’établir des exigences horizontales en matière de cybersécurité pour les produits numériques et les services auxiliaires. L’ensemble envisagé d’exigences essentielles en matière de cybersécurité qui sera établi par la législation sur la cyberrésilience s’appliquera à tous les secteurs et à toutes les catégories de produits numériques, et les producteurs et les fournisseurs devront s’y conformer avant de placer les produits sur le marché ou, le cas échéant, au moment de les mettre en service, ainsi que pendant tout le cycle de vie des produits. Ces exigences seront de nature générale et neutres sur le plan technologique. Les exigences de sécurité énoncées dans l’EHDS, notamment en ce qui concerne les systèmes de DME, sont encore plus spécifiques dans certains domaines, tels que le contrôle de l’accès.

L’EHDS s’appuie sur la nouvelle proposition relative à l’identité numérique européenne 22 , qui prévoit des améliorations dans le domaine de l’identification électronique, notamment le portefeuille d’identité numérique. De meilleurs mécanismes d’identification en ligne et hors ligne des personnes physiques et des professionnels de la santé pourraient ainsi être mis en place.

•Cohérence avec les autres politiques de l’Union

La présente proposition est conforme aux objectifs généraux de l’Union. Ces derniers comprennent la création d’une union européenne de la santé plus forte, la mise en œuvre du socle européen des droits sociaux, l’amélioration du fonctionnement du marché intérieur, la promotion de synergies avec le programme de l’Union pour le marché unique numérique et la réalisation d’un ambitieux programme pour la recherche et l’innovation. La proposition apportera en outre un ensemble important d’éléments contribuant à la formation de l’union européenne de la santé, en encourageant l’innovation et la recherche et en améliorant la gestion des futures crises sanitaires.

La proposition est conforme aux priorités de la Commission consistant à adapter l’Europe à l’ère du numérique et à bâtir une économie à l’épreuve du temps et au service des personnes. Elle permet aussi d’explorer le potentiel des régions frontalières en tant que lieux d’essais pilotes de solutions innovantes pour l’intégration européenne, tel que suggéré dans le rapport de la Commission intitulé «Les régions frontalières de l’UE: des laboratoires vivants de l’intégration européenne» 23 . Elle contribue au plan de reprise de la Commission, en tirant les enseignements de la pandémie de COVID-19, et permet que les données de santé électroniques soient plus facilement accessibles si nécessaire.

2.BASE JURIDIQUE, SUBSIDIARITÉ ET PROPORTIONNALITÉ

•Base juridique

La proposition est fondée sur les articles 16 et 114 du traité sur le fonctionnement de l’Union européenne (TFUE). Cette double base juridique est possible s’il est établi que l’acte poursuit plusieurs objectifs à la fois qui sont liés de manière indissociable, sans que l’un soit secondaire ou seulement indirectement lié à l’autre. Tel est le cas de la présente proposition, comme expliqué ci-après. Les procédures prévues pour chaque base juridique sont compatibles entre elles.

Premièrement, l’article 114 du TFUE a pour objectif d’améliorer le fonctionnement du marché intérieur au moyen de mesures visant à rapprocher les règles nationales. Certains États membres ont pris des mesures législatives pour remédier aux problèmes décrits ci-dessus, en établissant des systèmes nationaux de certification pour les systèmes de DME, alors que d’autres ne l’ont pas fait. Cette disparité peut entraîner une fragmentation législative sur le marché intérieur et l’application de règles et de pratiques différentes dans l’Union. Elle pourrait aussi engendrer des coûts pour les entreprises qui devraient se conformer à différents régimes.

La base juridique appropriée est l’article 114 du TFUE, puisque la majeure partie des dispositions du présent règlement vise à améliorer le fonctionnement du marché intérieur et la libre circulation des biens et des services. À cet égard, l’article 114, paragraphe 3, du TFUE exige de façon expresse que, lors de l’accomplissement de l’harmonisation, un niveau élevé de protection de la santé humaine soit garanti, en tenant notamment compte de toute nouvelle évolution fondée sur des faits scientifiques. Cette base juridique est donc également appropriée lorsqu’un acte concerne le domaine de la protection de la santé publique. Elle est aussi pleinement conforme à l’article 168, qui dispose qu’un niveau élevé de protection de la santé humaine doit être assuré dans toutes les politiques de l’Union, tout en respectant la responsabilité des États membres en ce qui concerne la définition de leur politique de santé, ainsi que l’organisation et la fourniture de services de santé et de soins médicaux.

La proposition législative permettra à l’Union de tirer parti de l’échelle du marché intérieur, compte tenu du fait que les produits et les services fondés sur les données de santé sont souvent mis au point à l’aide de données de santé électroniques originaires de différents États membres et commercialisés ensuite dans toute l’Union.

La seconde base juridique de la présente proposition est l’article 16 du TFUE. Le RGPD prévoit d’importantes garanties concernant les droits des personnes physiques à l’égard de leurs données de santé. Cependant, comme indiqué dans la section 1, ces droits ne peuvent pas être exercés en pratique pour des raisons d’interopérabilité et d’harmonisation limitée des exigences et des normes techniques appliquées à l’échelon national et à celui de l’Union. En outre, le champ d’application du droit à la portabilité au titre du RGPD le rend moins efficace dans le secteur de la santé 24 . Il y a donc lieu de mettre en place des dispositions et des garanties juridiquement contraignantes supplémentaires. Il est également nécessaire de concevoir des exigences et des normes spécifiques fondées sur les garanties prévues dans le domaine du traitement des données de santé électroniques afin de tirer avantage de la valeur des données de santé pour la société. En outre, la proposition a pour objectif d’accroître l’utilisation des données de santé électroniques tout en renforçant les droits découlant de l’article 16 du TFUE. De manière générale, l’EHDS permet de concrétiser la possibilité offerte par le RGPD de mettre en place une législation de l’Union à finalités multiples. Parmi celles-ci figurent le diagnostic médical, la fourniture de soins de santé ou de traitements ou la gestion de systèmes et de services de soins de santé. L’EHDS permet également l’utilisation des données de santé électroniques pour des raisons d’intérêt général dans le domaine de la santé publique, par exemple dans le contexte de la protection contre les menaces transfrontières graves pour la santé ou de l’assurance de normes de qualité et de sécurité élevées pour les soins de santé et les médicaments ou les dispositifs médicaux. Il est également utile pour la recherche scientifique ou historique et à des fins statistiques.

•Subsidiarité

La présente proposition vise à harmoniser les flux de données afin d’aider les personnes physiques à bénéficier de la protection et de la libre circulation des données de santé électroniques, en particulier des données à caractère personnel. La proposition n’a pas pour objectif de réglementer le mode de fourniture des soins de santé par les États membres.

Dans le cadre de l’évaluation des aspects numériques de la directive relative aux soins de santé transfrontaliers, la situation actuelle de fragmentation ainsi que les différences et obstacles à l’accès et à l’utilisation des données électroniques de santé ont été passés en revue. L’évaluation a montré qu’une action des États membres n’était à elle seule pas suffisante et pouvait entraver le développement et le déploiement rapides des produits et services de santé numérique, notamment ceux basés sur l’intelligence artificielle.

L’étude mentionnée ci-dessus concernant la mise en œuvre du RGPD dans le secteur de la santé souligne que le règlementprévoit des droits étendus en matière d’accès des personnes physiques à leurs données et de transmission de celles-ci, y compris les données de santé. Néanmoins, sa mise en œuvre est dans la pratique entravée par l’interopérabilité limitée dans le secteur des soins de santé, un problème qui a jusqu’ici essentiellement été traité au moyen d’instruments non contraignants. Ces différences dans les normes et les spécifications locales, régionales et nationales peuvent également empêcher les fabricants de produits de santé numérique et les fournisseurs de services de santé numérique d’entrer sur de nouveaux marchés, sur lesquels ils doivent s’adapter à de nouvelles normes. La proposition législative vise donc à compléter les droits et garanties prévus dans le RGPD, de sorte que ses objectifs puissent effectivement être atteints.

La même étude a examiné le recours massif aux dispositions de spécification facultative dans le cadre du RGPD à l’échelon national. Le recours à ces dispositions a donné lieu à une fragmentation et à des difficultés d’accès aux données de santé électroniques, tant à l’échelon national qu’entre les États membres. Cela a eu une incidence sur la possibilité pour les chercheurs, les innovateurs, les décideurs et les organismes de réglementation de mener à bien leur mission ou leurs activités de recherche et d’innovation. En définitive, ces dispositions ont nui à l’économie européenne.

Dans l’analyse d’impact, l’évaluation de l’article 14 de la directive relative aux soins de santé transfrontaliers montre que les approches adoptées jusqu’ici, qui consistent en des instruments de faible intensité/non contraignants, tels que des lignes directrices et des recommandations visant à favoriser l’interopérabilité, n’ont pas produit les résultats souhaités. L’accès des personnes physiques à leurs données de santé électroniques à caractère personnel et leur contrôle sur celles-ci restent limités, et des insuffisances significatives sont à déplorer dans l’interopérabilité des systèmes d’information utilisés dans le domaine de la santé. De plus, les approches adoptées par les États membres pour remédier aux problèmes n’ont qu’un champ d’application limité et ne répondent pas totalement au problème à l’échelle de l’Union. À l’heure actuelle, l’échange transfrontière de données de santé électroniques reste très limité, ce qui s’explique en partie par la grande diversité de normes appliquées à ces données dans les différents États membres. De nombreux États membres font face à des difficultés majeures en matière d’interopérabilité et de portabilité des données aux échelons national, régional et local, ce qui entrave la continuité des soins et nuit à l’efficience des systèmes de soins de santé. Même si des données de santé sont disponibles au format électronique, elles ne suivent généralement pas les personnes physiques lorsque ces dernières recourent aux services d’un prestataire de soins de santé différent. La proposition relative à l’EHDS répondra à ces défis à l’échelle de l’Union et prévoira des mécanismes en vue d’améliorer les solutions d’interopérabilité utilisées aux échelons national, régional et local et de renforcer les droits des personnes physiques.

Une action à l’échelle de l’Union, de la teneur et de la forme indiquées, s’impose donc en vue de faciliter les flux transfrontières de données de santé électroniques et de favoriser un véritable marché intérieur des données de santé électroniques et des produits et services de santé numérique.

•Proportionnalité

L’initiative a pour but de mettre en place les mesures nécessaires pour atteindre les principaux objectifs. La proposition crée un cadre favorable qui ne va pas au-delà de ce qui est nécessaire pour atteindre les objectifs. Elle s’attaque aux obstacles existants afin de favoriser la concrétisation de la valeur potentielle des données de santé électroniques. Elle fixe un cadre qui réduit la fragmentation et l’insécurité juridique. L’initiative fait appel au travail des autorités nationales et repose sur celui-ci, et demande une forte participation des parties prenantes.

La proposition de règlement engendrera des coûts financiers et administratifs, qui seront supportés grâce aux ressources affectées à l’échelon des États membres et à celui de l’Union. L’analyse d’impact démontre que l’option stratégique privilégiée donne les meilleurs résultats au moindre coût. L’option stratégique privilégiée n’excède pas ce qui est nécessaire pour atteindre les objectifs des traités.

•Choix de l’instrument

La proposition prend la forme d’un nouveau règlement. Le règlement est considéré comme l’instrument le plus adapté, étant donné la nécessité d’un cadre réglementaire qui agit directement sur les droits des personnes physiques et réduit la fragmentation sur le marché unique numérique. Afin de prévenir la fragmentation résultant du manque d’uniformité dans le recours aux clauses pertinentes du RGPD (par exemple, l’article 9, paragraphe 4), l’EHDS recourt aux possibilités offertes par le RGPD de mettre en place une législation de l’Union concernant l’utilisation des données de santé à des fins diverses. Au cours de la préparation de la proposition, différents contextes juridiques nationaux s’appuyant sur le RGPD en prévoyant une législation nationale ont été soigneusement analysés. Afin d’éviter une perturbation majeure, mais aussi les incohérences à l’avenir, l’EHDS vise à proposer une initiative qui prend en considération les principaux éléments communs des différents cadres. La directive n’a pas été sélectionnée comme instrument, car elle engendrerait une mise en œuvre divergente et un marché fragmenté qui pourraient nuire à la protection et à la libre circulation des données à caractère personnel dans le secteur de la santé. La proposition renforcera l’économie des données de santé de l’Union en améliorant la sécurité juridique et en garantissant un cadre juridique sectoriel uniforme et cohérent. La proposition de règlement demande aussi la participation des parties intéressées afin de garantir que les exigences répondent aux besoins des professionnels de la santé, des personnes physiques, du monde universitaire, de l’industrie et des autres parties intéressées pertinentes.

3.RÉSULTATS DES ÉVALUATIONS EX POST, DES CONSULTATIONS DES PARTIES INTÉRESSÉES ET DES ANALYSES D’IMPACT

•Évaluations ex post/bilans de qualité de la législation existante

La directive relative aux soins de santé transfrontaliers a été adoptée en 2011 et était transposée dans tous les États membres en 2015. L’article 14 de la directive, qui établit le réseau «Santé en ligne», a été évalué afin de mieux comprendre son incidence sur la santé numérique dans l’Union. Selon l’évaluation, qui figure en annexe du document de travail des services de la Commission relatif à l’analyse d’impact de l’EHDS, son incidence a été plutôt limitée. L’évaluation des dispositions relatives à la santé en ligne au titre de la directive a conclu que leur efficacité et leur efficience avaient été plutôt limitées, en raison de la nature volontaire des actions du réseau «Santé en ligne».

Les avancées ont été lentes en ce qui concerne l’utilisation des données de santé électroniques à caractère personnel à des fins primaires dans le contexte des soins de santé transfrontières. La plateforme MaSanté@UE (MyHealth@EU) a été mise en œuvre dans dix États membres seulement et elle ne prend actuellement en charge que deux services (la prescription électronique et les dossiers de patients). La faiblesse et la lenteur de l’adoption de la plateforme sont en partie liées au fait que la directive, tout en établissant le droit des personnes physiques à recevoir un dossier écrit concernant le traitement prodigué, n’exige pas que ce dossier médical soit fourni sous forme électronique. L’accès des personnes physiques à leurs données de santé électroniques à caractère personnel reste fastidieux, et les personnes physiques ont un contrôle limité sur leurs propres données de santé et sur l’utilisation de ces données à des fins de diagnostic et de traitement. Le réseau «Santé en ligne» a recommandé que les États membres utilisent les normes et les spécifications du format européen d’échange des dossiers médicaux électroniques dans leurs marchés publics afin de renforcer l’interopérabilité. Cependant, l’adoption effective du format par ceux-ci a été limitée, ce qui a donné lieu à une situation fragmentée et à une inégalité d’accès aux données de santé électroniques et de portabilité de ces dernières.

La plupart des États membres devraient mettre la plateforme MaSanté@UE (MyHealth@EU) en œuvre d’ici 2025. Ce n’est que lorsque davantage d’États membres auront mis en œuvre la plateforme MaSanté@UE (MyHealth@EU) et mis au point les outils nécessaires que leur utilisation, leur développement et leur maintenance deviendront plus efficients dans toute l’Union. Les avancées en matière de santé en ligne de ces dernières années demandent toutefois une coordination accrue de l’action à l’échelle de l’Union.

À la suite de la pandémie de COVID-19 en Europe, le réseau «Santé en ligne» s’est néanmoins avéré très efficace et efficient en période de crise de santé publique, favorisant ainsi la convergence politique.

Concernant l’utilisation secondaire des données de santé électroniques, les activités du réseau «Santé en ligne» ont été très limitées et peu efficaces. Les quelques documents non contraignants relatifs aux mégadonnées n’ont pas donné lieu à de nouvelles actions spécifiques et leur mise en œuvre reste en pratique très limitée. À l’échelon national, d’autres acteurs que ceux représentés dans le réseau «Santé en ligne» ont fait leur apparition dans le domaine de l’utilisation secondaire des données de santé électroniques. Certains États membres ont mis en place différents organes pour traiter ce sujet et ont participé à l’action commune pour l’espace européen des données de santé (TEHDaS). Cependant, ni cette action commune ni les nombreux fonds mis à disposition par la Commission, par exemple au titre d’Horizon Europe, à l’appui de l’utilisation secondaire des données de santé électroniques, n’ont été suffisamment mis en œuvre en cohérence avec les activités du réseau «Santé en ligne».

Il a donc été conclu que l’actuelle structure du réseau «Santé en ligne» n’était plus appropriée. Elle ne permet qu’une coopération non contraignante en matière d’utilisation primaire des données de santé électroniques et d’interopérabilité, qui n’a pas réglé de façon systématique les problèmes d’accès aux données et de portabilité de celles-ci à l’échelon national et par-delà les frontières. De plus, le réseau «Santé en ligne» n’est pas à même de répondre aux besoins liés à l’utilisation secondaire des données de santé électroniques de manière efficace et efficiente. La directive relative aux soins de santé transfrontaliers prévoit des habilitations concernant les actes d’exécution sur l’utilisation primaire et secondaire des données de santé électroniques, mais ces habilitations sont limitées.

La pandémie de COVID-19 a mis en évidence et souligné l’importance d’un accès sûr et sécurisé aux données relatives à la santé publique et aux soins de santé et de la disponibilité de ces données à travers les frontières des États membres, ainsi que la grande disponibilité de données de santé électroniques à des fins de santé publique dans le contexte de la libre circulation des personnes au sein de l’Union. S’appuyant sur un solide cadre réglementaire, l’UE a très efficacement établi des normes et des services à l’échelle de l’Union afin de faciliter la libre circulation des personnes, tels que le certificat COVID numérique de l’UE. Cependant, les avancées globales semblent entravées par l’absence de normes contraignantes ou obligatoires dans l’Union et, en conséquence, par l’interopérabilité limitée. La résolution de ce problème n’aurait pas seulement des retombées positives pour les personnes physiques; elle contribuerait également à la réalisation du marché unique numérique et à la réduction des obstacles à la libre circulation des produits et services de santé numérique.

•Consultation des parties intéressées

Au cours de la préparation de la présente proposition relative à l’EHDS, les parties intéressées ont été consultées de différentes manières. La consultation publique a permis de recueillir les avis des parties intéressées concernant les options possibles pour mettre en place l’EHDS 25 . Des retours ont été reçus de différents groupes de parties intéressées. Le détail de leurs avis figure à l’annexe du document de travail des services de la Commission relatif à l’analyse d’impact.

Une consultation publique a eu lieu de mai à juillet 2021. Au total, 382 réponses valables ont été reçues. Les répondants se sont dits favorables à une action à l’échelle de l’Union afin d’accélérer la recherche dans le domaine de la santé (89 %), de renforcer le contrôle des personnes physiques sur leurs propres données de santé (88 %) et de faciliter la fourniture de soins de santé à travers les frontières (83 %). Ils se sont également dits très favorables à une amélioration de l’accès aux données de santé et du partage de celles-ci au moyen d’une infrastructure numérique (72 %) ou d’une infrastructure de l’Union (69 %). La plupart des répondants (77 %) sont aussi d’avis que les personnes physiques devraient pouvoir transmettre, aux systèmes de DME, les données collectées à partir des systèmes de santé mobile et de télémédecine. Un système européen de certification visant à favoriser l’interopérabilité a reçu le soutien de 52 % des répondants.

Dans le domaine de l’utilisation secondaire des données de santé, la plupart des répondants (87 %) ont déclaré qu’un organisme de l’Union pourrait faciliter l’accès aux données de santé à des fins secondaires. 67 % des répondants sont favorables à l’utilisation obligatoire de spécifications et de normes techniques.

L’avis des parties intéressées a aussi été recueilli au moyen de l’étude d’évaluation des règles des États membres de l’Union en matière de données de santé à la lumière du RGPD. Au cours de cette étude, cinq ateliers ont été organisés avec des représentants des ministères de la santé, des experts, des représentants des parties intéressées et des experts des offices nationaux de protection des données 26 . Une enquête a aussi été menée auprès des parties intéressées afin de revalider et de compléter les thèmes abordés et sélectionnés. Au total, 543 réponses ont été reçues dans le cadre de l’enquête. 73 % des répondants à une enquête en ligne estiment que le stockage des données de santé dans un espace de données à caractère personnel ou sur un portail destiné aux patients facilite la transmission de ces données entre les prestataires de soins de santé. Par ailleurs, 87 % d’entre eux estiment que le manque de portabilité des données entraîne une hausse des coûts des soins de santé, tandis que 84 % estiment que celui-ci entraîne un retard dans le diagnostic et le traitement. Quelque 84 % des répondants sont d’avis que des mesures supplémentaires devraient être prises à l’échelle de l’Union pour renforcer le contrôle des personnes physiques sur leurs données de santé. Quelque 81 % des répondants estiment que l’utilisation de différentes bases juridiques du RGPD entrave le partage des données de santé. Quelque 81 % des répondants suggèrent que l’Union devrait faciliter l’utilisation secondaire des données de santé au titre de la même base juridique.

Une étude a été menée sur les lacunes réglementaires concernant la fourniture transfrontière de produits et de services de santé numérique, notamment fondés sur l’intelligence artificielle, et l’évaluation du cadre existant pour l’échange transfrontière de données de santé. Une étude relative aux données de santé, à la santé numérique et à l’intelligence artificielle dans les soins de santé a été réalisée entre septembre 2020 et août 2021. Cette étude apporte les preuves nécessaires à l’élaboration de politiques éclairées dans les domaines des produits et services de santé numérique, de l’intelligence artificielle, de la gouvernance en matière d’utilisation de données de santé et de l’évaluation de l’article 14 de la directive relative aux soins de santé transfrontaliers. Les activités de consultation incluaient des entretiens, des groupes de discussion et des enquêtes en ligne. Les parties intéressées sont favorables à des mesures dans plusieurs domaines, y compris l’orientation en matière de qualité des produits et services de santé numérique, l’interopérabilité, le remboursement, l’identification et l’authentification, et l’habileté ainsi que les compétences numériques. En ce qui concerne l’utilisation primaire, les parties intéressées sont favorables à l’idée de confier aux autorités nationales de santé numérique des tâches en vue de favoriser la fourniture transfrontière de services de santé numérique et l’accès aux données de santé électroniques. Elles sont en outre favorables à une extension des services de MaSanté@UE (MyHealth@EU). Elles sont également favorables à l’idée de conférer aux personnes physiques le droit à la portabilité de leurs dossiers médicaux électroniques dans un format interopérable. En ce qui concerne l’utilisation secondaire, elles sont favorables à la mise en place d’un cadre et d’une structure juridiques et de gouvernance, qui s’appuie sur la création d’organismes responsables de l’accès aux données de santé dans plusieurs États membres, avec une coopération à l’échelle de l’Union par l’intermédiaire d’un réseau ou d’un groupe consultatif. Pour réduire les obstacles, elles seraient favorables à l’adoption de spécifications et de normes.

Une étude sur des infrastructures et un écosystème de données à l’appui de l’analyse d’impact de l’EHDS 27 , a été réalisée entre avril et décembre 2021. Ladite étude vise à présenter des données factuelles à l’appui de l’analyse d’impact des options en matière d’infrastructure européenne de santé numérique. Elle met en évidence, caractérise et évalue les options en matière d’infrastructure numérique, rend compte de leur rentabilité et fournit des données sur les effets attendus, pour l’utilisation tant primaire que secondaire des données de santé électroniques. Des ateliers interactifs ont été organisés pour 65 parties intéressées qui utilisent activement des données de santé: ministères de la santé, autorités de santé numérique, points de contact nationaux pour la santé en ligne, infrastructures de recherche sur les données de santé, agences de réglementation, organismes responsables de l’accès aux données de santé, prestataires de soins de santé, patients et groupes de défense. En outre, une enquête axée sur les coûts, comprenant des questions relatives à la valeur, aux avantages, à l’incidence et au coût des différentes options, a été élaborée.

Enfin, l’étude d’analyse d’impact a été réalisée entre juin et décembre 2021. Elle visait à présenter des données factuelles à l’appui de l’analyse d’impact des options en matière d’EHDS. L’étude présente et évalue les options stratégiques générales en matière d’EHDS, sur la base des preuves réunies dans le cadre des études précédentes. La consultation publique sur les obstacles transfrontières à surmonter 28 montre aussi que les personnes physiques sont confrontées à des obstacles dans le contexte des régions transfrontalières. De plus amples détails sur ces études figurent à l’annexe du document de travail des services de la Commission.

•Obtention et utilisation d’expertise

Plusieurs études et contributions ont étayé le travail sur l’EHDS, y compris:

●une étude d’évaluation des règles des États membres de l’Union en matière de données de santé à la lumière du RGPD 29 ;

●une étude sur les lacunes réglementaires concernant la fourniture transfrontière de produits et de services de santé numérique, notamment fondés sur l’intelligence artificielle, et l’évaluation du cadre existant pour l’échange transfrontière de données de santé (à venir);

●une étude sur une infrastructure et un écosystème de données à l’appui de l’analyse d’impact de l’EHDS (à venir);

●une étude à l’appui de l’analyse d’impact des options stratégiques pour une initiative de l’Union sur un EHDS (à venir);

●une étude sur l’interopérabilité des dossiers médicaux électroniques dans l’Union européenne (MonitorEHR) 30 ;

●une étude sur l’utilisation de données réelles pour la recherche, les soins cliniques, la prise de décision réglementaire, l’évaluation des technologies de la santé, et l’élaboration de politiques, et son résumé 31 ;

●une étude de marché sur la télémédecine 32 ;

●l’avis préliminaire du Contrôleur européen de la protection des données sur l’EHDS 33 .

•Analyse d’impact

Une analyse d’impact a été réalisée pour la présente proposition. Le 26 novembre 2021, le comité d’examen de la réglementation a émis un avis négatif concernant la première version présentée. L’analyse d’impact a ensuite été révisée en profondeur pour répondre aux observations puis soumise à nouveau au comité, qui a émis un avis positif sans réserve le 26 janvier 2022. L’annexe 1 du document de travail des services de la Commission comprend les avis du comité et les recommandations, et précise comment ces dernières ont été prises en considération.

La Commission a examiné différentes options stratégiques pour atteindre les objectifs généraux de la proposition. Ces derniers consistent à garantir que les personnes physiques ont le contrôle de leurs propres données de santé électroniques, qu’elles peuvent bénéficier d’une gamme de produits et de services liés à la santé, et que les chercheurs, les innovateurs, les décideurs et les organismes de réglementation peuvent exploiter au maximum les données de santé électroniques disponibles.

Trois options stratégiques impliquant des degrés variables d’intervention réglementaire et deux variantes supplémentaires de ces options ont été évaluées:

–Option 1: intervention de faible intensité: cette option repose sur un mécanisme de coopération renforcée et des instruments volontaires qui couvriraient les produits et services de santé numérique et l’utilisation secondaire des données de santé électroniques. Elle serait étayée par une gouvernance et une infrastructure numérique améliorées.

–Option 2 et 2+: intervention d’intensité moyenne: cette option renforcerait les droits des personnes physiques à contrôler leurs données de santé de manière numérique et créerait un cadre de l’Union pour l’utilisation secondaire des données de santé électroniques. La gouvernance reposerait sur des organismes nationaux pour l’utilisation primaire et secondaire des données de santé électroniques qui mettraient les politiques en œuvre à l’échelon national et, à l’échelle de l’Union, contribueraient à l’élaboration des exigences appropriées. Deux infrastructures numériques faciliteraient le partage transfrontière et l’utilisation secondaire des données de santé électroniques. La mise en œuvre serait favorisée par une certification obligatoire des systèmes de DME et un étiquetage facultatif des applications de bien-être, afin de garantir la transparence pour les autorités, les acheteurs et les utilisateurs.

–Option 3 et 3+: intervention de forte intensité: cette option irait plus loin que l’option 2 en confiant à un organe de l’Union, existant ou nouveau, la définition des exigences à l’échelle de l’Union et l’accès aux données de santé électroniques transfrontières. Elle élargirait aussi la couverture de la certification.

L’option privilégiée est l’option 2+, qui s’appuie sur l’option 2. Elle garantirait une certification des systèmes de DME, un étiquetage facultatif des applications de bien-être, et un effet en cascade pour les dispositifs médicaux destinés à être interopérables avec les systèmes de DME. Elle garantirait le meilleur équilibre entre efficacité et efficience dans la réalisation des objectifs. L’option 1 n’améliorerait la situation de départ que de façon marginale, puisqu’elle repose sur une base volontaire. L’option 3 serait également efficace, mais aurait un coût plus élevé, pourrait avoir une plus grande incidence sur les PME et pourrait être plus difficile à mettre en œuvre sur le plan politique.

L’option privilégiée garantirait que les personnes physiques peuvent accéder à leurs données de santé électroniques et les transmettre de façon numérique, et permettrait d’accéder à ces données quels que soient le prestataire de soins de santé et la source des données. MaSanté@UE (MyHealth@EU) deviendrait obligatoire et les personnes physiques pourraient échanger leurs données de santé électroniques à caractère personnel au-delà des frontières dans une langue étrangère. Les exigences et la certification obligatoires (pour les systèmes de DME et les dispositifs médicaux qui revendiquent l’interopérabilité avec les systèmes de DME) ainsi qu’un étiquetage facultatif des applications de bien-être garantiraient la transparence pour les utilisateurs et les acheteurs et réduiraient les obstacles transfrontières au marché pour les fabricants.

Les exigences obligatoires ont été maintenues, mais la certification par une tierce partie a été convertie en autocertification combinée à une clause de révision préalable, ce qui permet une éventuelle transition ultérieure vers une certification par une tierce partie. Compte tenu du caractère nouveau de la certification, il a été décidé d’opter pour une approche graduelle, qui donnera aux États membres et aux fabricants moins préparés davantage de temps pour mettre en place le système de certification et renforcer leurs capacités. Dans le même temps, les États membres plus avancés pourraient nécessiter des contrôles spécifiques à l’échelon national dans le contexte de l’acquisition, du financement et du remboursement des systèmes de DME. Ce changement réduirait les coûts de certification estimés pour un fabricant de systèmes de DME de 20 000-50 000 EUR à 12 000-38 000 EUR, ce qui pourrait donner lieu à une réduction d’environ 30 % des coûts totaux pour les fabricants (de 0,3-1,7 milliard d’EUR à 0,2-1,2 milliard d’EUR).

Ce système semble le plus proportionné pour les fabricants sur le plan de la charge administrative et des limitations potentielles de la capacité des organismes notifiés pour la certification par une tierce partie. Les avantages réels pour les États membres, les patients et les acheteurs devront cependant être soigneusement analysés dans le contexte de l’évaluation du cadre juridique après cinq ans.

En ce qui concerne l’utilisation secondaire des données de santé électroniques, les chercheurs, les innovateurs, les décideurs et les organismes de réglementation pourraient avoir accès à des données de qualité pour leurs travaux de manière sécurisée, avec une gouvernance fiable et à des coûts inférieurs à ceux d’un système fondé sur le consentement. Le cadre commun pour l’utilisation secondaire réduirait la fragmentation et les obstacles à l’accès transfrontière. L’option privilégiée exige des États membres qu’ils mettent en place, sur la base de l’acte sur la gouvernance des données, un ou plusieurs organismes responsables de l’accès aux données de santé (avec un organisme de coordination) en mesure de donner accès aux données de santé électroniques à des tiers, qu’il s’agisse d’un nouvel organisme ou d’une composante d’un organisme existant. Une partie des coûts sera compensée par les redevances appliquées par les organismes responsables de l’accès aux données de santé. La mise en place des organismes responsables de l’accès aux données de santé devrait réduire les coûts d’accès aux données de santé électroniques pour les organismes de réglementation et les décideurs, grâce à une plus grande transparence de l’efficacité des médicaments, résultant en une réduction des coûts dans les procédures réglementaires et dans les marchés publics dans le domaine de la santé. La numérisation peut aussi réduire les examens inutiles et garantir la transparence dans les dépenses, ce qui permet de réaliser des économies sur le budget de la santé. Des fonds de l’Union seront mis à disposition en faveur de la numérisation.

L’objectif est de garantir la transparence des informations concernant les ensembles de données pour les utilisateurs de données. Une approche graduelle a également été adoptée en ce sens. Cela signifierait que la description des ensembles de données serait obligatoire pour tous les ensembles de données, à l’exclusion de ceux détenus par des microentreprises, tandis que l’étiquette de qualité des données autodéclarée ne serait obligatoire que pour les détenteurs de données possédant des ensembles de données financés par des fonds publics et facultatif pour les autres. Ces nuances introduites après l’analyse d’impact ne modifient pas sensiblement le calcul des coûts pour les détenteurs de données résultant de l’analyse d’impact.

Les avantages économiques totaux de cette option sur dix ans devraient être de plus de 11 milliards d’EUR par rapport à l’option de référence. Ce montant serait réparti de manière presque égale entre les avantages découlant des mesures sur les utilisations primaires (5,6 milliards d’EUR) et secondaires (5,4 milliards d’EUR) des données de santé.

Dans le domaine de l’utilisation primaire des données de santé, les patients et les prestataires de soins de santé verront des bénéfices de l’ordre de 1,4 milliard d’EUR et de 4,0 milliards d’EUR environ résultant d’économies dans les services de santé grâce à une plus grande actualisation de la télémédecine et à des échanges de données de santé plus efficients, notamment par-delà les frontières.

En ce qui concerne l’utilisation secondaire des données de santé, les chercheurs et les innovateurs dans le domaine de la santé numérique, des dispositifs médicaux et des médicaments verraient des bénéfices de plus de 3,4 milliards d’EUR grâce à une utilisation secondaire plus efficiente des données de santé. Les patients et les prestataires de soins de santé bénéficieraient d’économies comprises entre 0,3 et 0,9 milliard d’EUR grâce à un accès à des produits médicaux plus innovants et à une meilleure prise de décision. L’utilisation plus intensive de données réelles dans l’élaboration des politiques de santé entraînerait des économies supplémentaires, estimées à 0,8 milliard d’EUR, pour les décideurs et les organismes de réglementation.

Les coûts totaux de l’option privilégiée sur dix ans sont estimés à 0,7-2,0 milliards d’EUR par rapport à la situation de départ. L’essentiel des coûts proviendrait de mesures concernant l’utilisation primaire (0,3-1,3 milliard d’EUR) et secondaire (0,4-0,7 milliard d’EUR) des données de santé.

Dans le domaine de l’utilisation primaire des données de santé, les fabricants de systèmes de DME et de produits destinés à être connectés aux systèmes de DME supporteraient l’essentiel des coûts. Ces derniers s’élèveraient à 0,2-1,2 milliard d’EUR environ, imputables à l’introduction progressive de la certification des systèmes de DME, des dispositifs médicaux et des systèmes d’IA à haut risque et de l’étiquetage facultatif des applications de bien-être. Le reste (moins de 0,1 milliard d’EUR) serait supporté par les autorités publiques, à l’échelon national et à celui de l’Union, pour l’achèvement de la couverture de MaSanté@UE (MyHealth@EU).

Dans le domaine de l’utilisation secondaire des données de santé, les autorités publiques, y compris les organismes de réglementation et les décideurs à l’échelon des États membres et à celui de l’Union, supporteraient les coûts (0,4-0,7 milliard d’EUR) du déploiement des organismes responsables de l’accès aux données de santé et de l’infrastructure numérique nécessaire pour connecter ces organismes, les infrastructures de recherche et les organes de l’Union, ainsi que les coûts de promotion de l’interopérabilité et de la qualité des données.

L’option privilégiée se limite aux aspects que les États membres ne peuvent couvrir de manière satisfaisante à eux seuls, conformément à l’évaluation de l’article 14 de la directive relative aux soins de santé transfrontaliers. L’option privilégiée est proportionnée, étant donné l’intensité moyenne de la proposition et les résultats escomptés pour les personnes physiques et le secteur.

L’évaluation des incidences environnementales, conformément à la loi européenne sur le climat 34 , montre que la présente proposition aurait des incidences limitées sur le climat et l’environnement. S’il est vrai que les nouvelles infrastructures numériques et les volumes accrus de trafic et de stockage de données pourraient accroître la pollution numérique, la plus grande interopérabilité dans le domaine de la santé compenserait largement ces effets négatifs en réduisant la pollution liée aux déplacements et à la consommation d’énergie et de papier.

•Réglementation affûtée et simplification

Sans objet.

•Droits fondamentaux

Compte tenu du fait que l’utilisation de données de santé électroniques nécessite le traitement de données à caractère personnel sensibles, certains éléments de la proposition de règlement relèvent du champ d’application de la législation de l’Union relative à la protection des données, à laquelle les dispositions de la présente proposition sont conformes. Ces dispositions sont destinées à compléter les droits prévus par celle-ci en renforçant le contrôle des personnes physiques sur leurs données de santé électroniques et leur accès à ces dernières. La proposition devrait avoir une incidence positive significative sur les droits fondamentaux relatifs à la protection des données à caractère personnel et à la libre circulation. En effet, grâce à MaSanté@UE (MyHealth@EU), les personnes physiques pourront effectivement partager leurs données de santé électroniques à caractère personnel dans la langue du pays de destination lorsqu’elles se rendent à l’étranger ou emporter leurs données de santé électroniques à caractère personnel avec elles lorsqu’elles déménagent dans un autre pays. Les personnes physiques disposeront de possibilités supplémentaires d’accéder à leurs données de santé électroniques, et de les transmettre, de façon numérique, sur la base des dispositions du RGPD. Les opérateurs de marché dans le secteur de la santé (qu’il s’agisse de prestataires de soins de santé ou de fournisseurs de produits et de services numériques) seront tenus de partager les données de santé électroniques avec les tiers du secteur de la santé sélectionnés par les utilisateurs. La proposition donnera les moyens de faire appliquer ces droits (grâce à des normes communes, des spécifications et des étiquettes) sans compromettre les mesures de sécurité requises pour protéger les droits des personnes physiques au titre du RGPD. Elle contribuera à renforcer la protection des données à caractère personnel liées à la santé et à la libre circulation de ces données, comme prévu à l’article 16 du TFUE et dans le RGPD.

La proposition suivra et respectera la législation de l’Union relative à la protection des données en ce qui concerne l’utilisation secondaire des données de santé électroniques, par exemple pour l’innovation, la recherche, les politiques publiques, la sécurité des patients, la réglementation ou la médecine personnalisée. De solides garanties et mesures de sécurité seront appliquées pour garantir que les droits fondamentaux en matière de protection des données sont pleinement protégés, conformément à l’article 8 de la charte des droits fondamentaux de l’Union. La proposition définit un cadre de l’Union pour l’accès aux données de santé électroniques à des fins de recherche scientifique et historique et à des fins statistiques, sur la base des possibilités offertes à cet égard par le RGPD et, pour les institutions et organes de l’Union, par le règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union. Ce cadre comprendra les mesures adaptées et spécifiques nécessaires pour protéger les droits fondamentaux et les intérêts des personnes physiques conformément à l’article 9, paragraphe 2, points h), i) et j), du RGPD et à l’article 10, paragraphe 2, points h), i) et j), du règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union. La mise en place d’organismes responsables de l’accès aux données de santé garantira un accès prévisible et simplifié aux données de santé électroniques, et une transparence, une responsabilité et une sécurité accrues dans le traitement des données. La coordination de ces organismes à l’échelle de l’Union et l’insertion de leurs activités dans un cadre commun garantiront des conditions égales pour tous, ce qui contribuera à l’analyse transfrontière des données de santé électroniques à des fins de recherche, d’innovation, de statistiques officielles, d’élaboration de politiques et de réglementation. La promotion de l’interopérabilité des données de santé électroniques et de leur utilisation secondaire contribuera à favoriser un marché intérieur européen des données de santé électroniques conforme à l’article 114 du TFUE.

4.INCIDENCE BUDGÉTAIRE

La présente proposition établit un certain nombre d’obligations pour les autorités des États membres et la Commission et exige des actions spécifiques en vue de favoriser l’établissement et le fonctionnement de l’EHDS. Celles-ci couvrent notamment la création, le déploiement et la maintenance d’infrastructures pour l’utilisation primaire et secondaire des données de santé électroniques. L’EHDS est étroitement lié à plusieurs autres actions de l’Union dans les domaines de la santé et de l’aide sociale, de la numérisation, de la recherche, de l’innovation et des droits fondamentaux.

Les programmes de travail du programme «L’UE pour la santé» pour 2021 et 2022 prévoient déjà un soutien à la création et à l’établissement de l’EHDS avec une contribution initiale substantielle de près de 110 millions d’EUR. Cette contribution couvre le fonctionnement de l’infrastructure existante pour l’utilisation primaire des données de santé électroniques [MaSanté@UE (MyHealth@EU)] et l’utilisation secondaire des données de santé électroniques [DonnéesDeSanté@UE (HealthData@EU)], l’adoption de normes internationales par les États membres, des actions de renforcement des capacités et d’autres actions préparatoires, un projet pilote d’infrastructure pour l’utilisation secondaire des données de santé, un projet pilote pour l’accès des patients à leurs données de santé via MaSanté@UE (MyHealth@EU) et sa version à grande échelle, et la création de services centraux pour l’utilisation secondaire des données de santé.

La mise en œuvre des obligations par la Commission et les actions d’appui associées au titre de la présente proposition juridique auront un coût de 220 millions d’EUR entre 2023 et 2027 et seront financées directement par le programme «L’UE pour la santé» (170 millions d’EUR) et par un soutien supplémentaire du programme pour une Europe numérique (50 millions d’EUR) 35 . Dans les deux cas, les dépenses liées à la présente proposition seront couvertes par les montants programmés de ces programmes.

La mise en œuvre d’actions en faveur du contrôle par les personnes physiques des données de santé électroniques à caractère personnel pour la fourniture de soins de santé (chapitre II) et de l’accès à ces données nécessitera 110 millions d’EUR. Ces actions comprennent les opérations des services de la plateforme européenne de santé numérique pour MaSanté@UE (MyHealth@EU), les audits des États membres pour les points de contact nationaux pour la santé numérique dans le cadre de MaSanté@UE (MyHealth@EU), un soutien à l’adoption de normes internationales et un soutien à l’accès des patients aux données de santé via MaSanté@UE (MyHealth@EU).

La mise en œuvre du système d’autocertification des systèmes de DME (chapitre III) nécessitera plus de 14 millions d’EUR pour développer et gérer une base de données européenne pour les systèmes de DME et les applications de bien-être interopérables. En outre, les États membres devront désigner des autorités de surveillance du marché chargées de la mise en œuvre des exigences législatives. Leur fonction de supervision dans le cadre de l’autocertification des systèmes de DME pourrait s’appuyer sur les arrangements existants, par exemple en matière de surveillance du marché, mais nécessiterait une expertise et des ressources humaines et financières suffisantes. Les actions relatives à l’utilisation secondaire des données de santé électroniques pour la recherche, l’innovation, l’élaboration de politiques, la prise de décisions réglementaires, la sécurité des patients ou la médecine personnalisée (chapitre IV) nécessiteront 96 millions d’EUR. Ce financement couvrira la plateforme européenne et les audits des États membres pour les nœuds de connexion, dans le cadre de l’infrastructure pour l’utilisation secondaire des données de santé électroniques [DonnéesDeSanté@UE (HealthData@EU)].

En outre, les coûts de connexion des États membres aux infrastructures européennes au sein de l’EHDS seront en partie couverts par les programmes de financement de l’Union qui compléteront le programme «L’UE pour la santé». Des instruments tels que la facilité pour la reprise et la résilience et le Fonds européen de développement régional (FEDER) pourront financer la connexion des États membres aux infrastructures européennes.

La mise en œuvre des objectifs et des dispositions du présent règlement sera complétée par d’autres actions au titre du programme pour une Europe numérique, du mécanisme pour l’interconnexion en Europe et d’Horizon Europe. Ces programmes visent respectivement, entre autres, à développer et renforcer les ressources en matière de données de qualité et les mécanismes d’échange correspondants 36 (au titre de l’objectif spécifique «Intelligence artificielle») et à développer, promouvoir et favoriser l’excellence scientifique 37 , y compris dans le domaine de la santé. Parmi les exemples de cette complémentarité figurent le soutien horizontal au développement et au pilotage à grande échelle d’une plateforme intergicielle intelligente pour des espaces communs de données, dans le cadre de laquelle 105 millions d’EUR ont déjà été alloués au titre du programme pour une Europe numérique en 2021-2022; des investissements spécifiques à un domaine, visant à faciliter l’accès transfrontière sécurisé aux images oncologiques et aux données génomiques, soutenus à hauteur de 38 millions d’EUR pour la période 2021-2022 par le programme pour une Europe numérique; et des projets de recherche et d’innovation ainsi que des actions de coordination et de soutien en matière de qualité et d’interopérabilité des données de santé, déjà soutenus par Horizon Europe (volet 1) à hauteur de 108 millions d’EUR en 2021 et 2022, mais aussi par le programme «Infrastructures de recherche» à hauteur de 59 millions d’EUR. En 2021 et 2022, Horizon Europe a apporté un soutien supplémentaire à l’utilisation secondaire des données de santé concernant la COVID-19 (42 millions d’EUR) et le cancer (3 millions d’EUR).

En outre, en l’absence de connectivité physique dans le secteur de la santé, le mécanisme pour l’interconnexion en Europe contribuera aussi au développement de projets d’intérêt commun relatifs au déploiement de réseaux à très haute capacité répondant aux impératifs de sûreté et de sécurité et à l’accès à ces derniers, y compris des systèmes 5G, et au renforcement de la résilience et des capacités des réseaux numériques dorsaux sur les territoires de l’Union 38 . Un montant de 130 millions d’EUR est prévu en 2022 et 2023 pour l’interconnexion des infrastructures en nuage, y compris dans le domaine de la santé.

Les coûts administratifs de la Commission sont estimés à environ 17 millions d’EUR et incluent les coûts liés aux ressources humaines et autres dépenses administratives.

La fiche financière législative jointe à la présente proposition décrit les implications de cette dernière sur le plan des ressources budgétaires, humaines et administratives.

5.AUTRES ÉLÉMENTS

•Plans de mise en œuvre et modalités de suivi, d’évaluation et d’information

Du fait de la nature dynamique de la transformation numérique de la santé, le suivi de l’évolution des incidences de l’EHDS constituera une part essentielle de l’action dans ce domaine. Afin de garantir que les mesures retenues produisent véritablement les résultats escomptés et de faciliter d’éventuelles révisions futures, il est nécessaire de procéder au suivi et à l’évaluation de la mise en œuvre de la présente proposition.

Le suivi des objectifs spécifiques et des obligations réglementaires se fera essentiellement sur la base des rapports présentés par les autorités de santé numérique et les organismes responsables de l’accès aux données de santé. Un suivi des indicateurs de MaSanté@UE (MyHealth@EU) et de l’infrastructure pour l’utilisation secondaire des données de santé électroniques sera également effectué.

La mise en œuvre des infrastructures, en particulier la mise en place de la plateforme européenne de la nouvelle infrastructure pour l’utilisation secondaire des données de santé électroniques, se fera en cohérence avec le cadre de gouvernance informatique global de la Commission européenne. Les choix concernant le développement et les acquisitions informatiques seront donc soumis à une autorisation préalable du comité chargé des technologies de l’information et de la cybersécurité de la Commission européenne.

•Explication détaillée des dispositions spécifiques de la proposition

Le chapitre I présente l’objet et le champ d’application du règlement, énonce les définitions utilisées tout au long de l’instrument et explique sa relation avec d’autres instruments de l’Union.

Le chapitre II développe les droits et mécanismes supplémentaires visant à compléter les droits des personnes physiques prévus en vertu du RGPD concernant leurs données de santé électroniques. Il décrit en outre les obligations des différents professionnels de la santé à l’égard des données de santé électroniques. Certains types de données de santé électroniques sont désignés comme prioritaires en vue de leur intégration dans l’EHDS dans le cadre d’un processus en plusieurs étapes avec une période de transition. Les États membres devront mettre en place une autorité de santé numérique chargée de surveiller ces droits et mécanismes et de veiller à ce que ces droits supplémentaires des personnes physiques soient correctement appliqués. Ce chapitre contient des dispositions concernant l’interopérabilité de certains ensembles de données relatifs à la santé. Les États membres devront aussi désigner un point de contact national chargé de faire respecter les obligations et les exigences prévues dans ce chapitre. Enfin, l’infrastructure commune MaSanté@UE (MyHealth@EU) est destinée à fournir l’infrastructure nécessaire pour faciliter l’échange transfrontière de données de santé électroniques.

Le chapitre III porte sur la mise en œuvre d’un système d’autocertification obligatoire pour les systèmes de DME, au titre duquel ces systèmes doivent respecter des exigences essentielles en matière d’interopérabilité et de sécurité. Cette approche est nécessaire pour garantir que les différents systèmes de dossiers médicaux électroniques sont compatibles et permettent une transmission aisée des données de santé électroniques entre eux. Ce chapitre définit les obligations de chaque opérateur économique de systèmes de DME, les exigences relatives à la conformité de ces systèmes, ainsi que les obligations des autorités de surveillance du marché chargées des systèmes de DME dans le contexte de leurs activités de surveillance du marché. Il inclut également des dispositions concernant l’étiquetage facultatif des applications de bien-être, interopérables avec les systèmes de DME, et établit une base de données de l’Union dans laquelle les systèmes de DME certifiés et les applications de bien-être pour lesquelles une étiquette a été délivrée seront consignés.

Le chapitre IV facilite l’utilisation secondaire des données de santé électroniques, par exemple pour la recherche, l’innovation, l’élaboration de politiques, la sécurité des patients ou les activités réglementaires. Il définit un ensemble de types de données qui peuvent être utilisées à des fins définies, ainsi que des finalités interdites (par exemple, l’utilisation des données contre les personnes, pour de la publicité commerciale, pour la majoration de primes d’assurance ou pour la mise au point de produits dangereux). Les États membres devront mettre en place un organisme responsable de l’accès aux données de santé pour l’utilisation secondaire des données de santé électroniques et veiller à ce que les détenteurs de données mettent les données électroniques à disposition des utilisateurs de données. Ce chapitre contient également des dispositions concernant la mise en œuvre de l’altruisme en matière de données dans le secteur de la santé. Les devoirs et obligations de l’organisme responsable de l’accès aux données de santé, des détenteurs de données et des utilisateurs de données sont également définis. En particulier, les détenteurs de données doivent coopérer avec l’organisme responsable de l’accès aux données de santé afin de garantir la disponibilité des données de santé électroniques pour les utilisateurs de données. Par ailleurs, les responsabilités sont définies pour les organismes responsables de l’accès aux données de santé et les utilisateurs de données en tant que responsables conjoints du traitement des données de santé électroniques traitées.

L’utilisation secondaire des données de santé électroniques peut entraîner des coûts. Ce chapitre inclut des dispositions générales relatives à la transparence du calcul des redevances. Sur le plan pratique, des exigences sont notamment définies concernant la sécurité de l’environnement de traitement sécurisé. Un tel environnement de traitement sécurisé est requis pour accéder aux données de santé électroniques et les traiter dans le cadre de ce chapitre. Les conditions et les informations requises dans le formulaire de demande de données à remplir pour obtenir l’accès aux données de santé électroniques sont énumérées à la section 3. Les conditions liées à la délivrance de l’autorisation de traitement de données sont également décrites.

La section 4 de ce chapitre contient essentiellement des dispositions relatives à l’établissement et à la facilitation de l’accès transfrontière aux données de santé électroniques, de sorte qu’un utilisateur de données dans un État membre puisse avoir accès à des données de santé électroniques d’un autre État membre pour une utilisation secondaire, sans avoir à demander une autorisation de traitement de données à tous ces États membres. L’infrastructure transfrontière conçue pour permettre un tel processus et son fonctionnement sont également décrits.

Enfin, ce chapitre contient des dispositions relatives à la description des ensembles de données et à leur qualité. Ces dispositions permettront aux utilisateurs de données de déterminer le contenu et la qualité potentielle des ensembles de données utilisés et d’évaluer si ces ensembles de données sont adaptés à leur finalité.

Le chapitre V vise à présenter d’autres mesures destinées à favoriser le renforcement des capacités par les États membres afin d’accompagner le développement de l’EHDS. Ces mesures incluent l’échange d’informations sur les services publics numériques, le financement, etc. Par ailleurs, ce chapitre régit l’accès international aux données à caractère non personnel dans l’EHDS.

Le chapitre VI crée le «comité de l’espace européen des données de santé» (ci-après le «comité de l’EHDS»), qui facilitera la coopération entre les autorités de santé numérique et les organismes responsables de l’accès aux données de santé, en particulier la relation entre les utilisations primaire et secondaire des données de santé électroniques. Des sous-groupes spécialisés, par exemple dans l’utilisation primaire ou dans l’utilisation secondaire des données de santé électroniques, peuvent être créés afin d’aborder certaines questions ou se concentrer sur des processus spécifiques. Le comité sera chargé d’encourager la collaboration entre les autorités de santé numérique et les organismes responsables de l’accès aux données de santé. Ce chapitre définit également la composition du comité et l’organisation de son fonctionnement.

Par ailleurs, ce chapitre contient des dispositions relatives aux groupes de responsabilité conjointe du traitement pour l’infrastructure de l’Union, qui seront chargés de prendre les décisions relatives à l’infrastructure numérique transfrontière nécessaire, pour l’utilisation tant primaire que secondaire des données de santé électroniques.

Le chapitre VII permet à la Commission d’adopter des actes délégués sur l’EHDS. La Commission a l’intention de créer, après l’adoption de la proposition, un groupe d’experts conformément à la décision C(2016) 3301, afin d’être conseillée et de bénéficier d’une assistance dans la préparation d’actes délégués ainsi que sur les questions liées à la mise en œuvre du règlement, notamment en ce qui concerne:

–la mise en place de systèmes et de services européens de santé numérique offrant des avantages économiques et sociaux durables ainsi que des applications interopérables, de manière à atteindre un niveau élevé de confiance et de sécurité, à renforcer la continuité des soins et à garantir l’accès à des soins de santé sûrs et de qualité élevée;

–l’amélioration de l’interopérabilité des données de santé électroniques pour les soins de santé, sur la base des normes européennes, internationales ou nationales existantes et de l’expérience d’autres espaces de données;

–la mise en œuvre harmonisée de l’accès aux données de santé électroniques et de leur partage en vue de leur utilisation primaire, à l’échelon national et à celui de l’Union;

–l’interopérabilité des systèmes de DME et d’autres produits transmettant des données aux dossiers médicaux électroniques, y compris les dispositifs médicaux, les systèmes d’IA et les applications de bien-être. Le cas échéant, le groupe d’experts coopérera avec le Groupe de coordination en matière de dispositifs médicaux et le Comité européen de l’intelligence artificielle;

–les catégories minimales de données de santé électroniques pour une utilisation secondaire;

–la mise en œuvre harmonisée de l’accès aux données de santé électroniques pour l’utilisation secondaire, à l’échelon national et à celui de l’Union;

–les activités d’altruisme en matière de données dans le secteur de la santé;

–la politique harmonisée en matière de redevances pour l’utilisation secondaire des données de santé électroniques;

–les sanctions appliquées par les organismes responsables de l’accès aux données de santé;

–les exigences minimales et les spécifications techniques applicables à DonnéesDeSanté@UE (HealthData@EU) et aux environnements de traitement sécurisés;

–les exigences et les spécifications techniques applicables à l’étiquette de qualité et d’utilité des données;

–les ensembles minimaux de données;

–les exigences techniques à l’appui de l’altruisme en matière de données dans le secteur de la santé;

–d’autres éléments relatifs à l’utilisation primaire et secondaire des données de santé électroniques.

Le groupe d’experts peut coopérer avec le Groupe de coordination en matière de dispositifs médicaux et le Comité européen de l’intelligence artificielle et consulter ces derniers, le cas échéant.

Le chapitre VIII contient des dispositions en matière de coopération et de sanctions et établit les dispositions finales.

2022/0140 (COD)

Proposition de

RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL

relatif à l’espace européen des données de santé

(Texte présentant de l’intérêt pour l’EEE)

LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L’UNION EUROPÉENNE,

vu le traité sur le fonctionnement de l’Union européenne, et notamment ses articles 16 et 114,

vu la proposition de la Commission européenne,

après transmission du projet d’acte législatif aux parlements nationaux,

vu l’avis du Comité économique et social européen 39 ,

vu l’avis du Comité des régions 40 ,

statuant conformément à la procédure législative ordinaire,

considérant ce qui suit:

(1)L’objectif du présent règlement est d’établir l’espace européen des données de santé (ci-après l’«EHDS») afin d’améliorer l’accès des personnes physiques à leurs données de santé électroniques à caractère personnel et leur contrôle sur ces données dans le contexte des soins de santé (utilisation primaire des données de santé électroniques), ainsi qu’à d’autres fins dans l’intérêt de la société, telles que la recherche, l’innovation, l’élaboration de politiques, la sécurité des patients, la médecine personnalisée, les statistiques officielles ou les activités réglementaires (utilisation secondaire des données de santé électroniques). En outre, l’objectif du présent règlement est d’améliorer le fonctionnement du marché intérieur en établissant un cadre juridique uniforme, en particulier pour le développement, la commercialisation et l’utilisation des systèmes de dossiers médicaux électroniques («systèmes de DME») dans le respect des valeurs de l’Union.

(2)La pandémie de COVID-19 a mis en évidence l’impératif de disposer d’un accès rapide aux données de santé électroniques à des fins de préparation et de réaction aux menaces sanitaires, ainsi qu’à des fins de diagnostic et de traitement et d’utilisation secondaire des données de santé. Cet accès rapide aurait participé, par une surveillance et un suivi efficients de la santé publique, à une gestion plus efficace de la pandémie, et aurait en définitive contribué à sauver des vies. En 2020, la Commission a adapté d’urgence son système de gestion des données cliniques des patients, établi par la décision d’exécution (UE) 2019/1269 de la Commission 41 , afin de permettre aux États membres de partager les données de santé électroniques des patients atteints de COVID-19 passant d’un prestataire de soins de santé et d’un État membre à un autre au plus fort de la pandémie, mais il s’agissait d’une solution d’urgence, qui montre la nécessité d’une approche structurelle à l’échelon des États membres et à l’échelon de l’Union.

(3)La crise de la COVID-19 a fermement ancré le travail du réseau «Santé en ligne», un réseau volontaire d’autorités de santé numérique, en tant que principal pilier pour le développement d’applications mobiles de recherche des contacts et d’alerte et pour les aspects techniques des certificats COVID numériques de l’UE. Elle a aussi mis en évidence la nécessité de partager des données de santé électroniques faciles à trouver, accessibles, interopérables et réutilisables (c’est-à-dire répondant aux principes «FAIR»), et de garantir que les données de santé électroniques sont aussi ouvertes que possible et aussi fermées que nécessaire. Des synergies entre l’EHDS, le nuage européen pour la science ouverte 42 et les infrastructures de recherche européennes devraient être assurées, et des enseignements devraient être tirés des solutions de partage des données mises au point au titre de la plateforme européenne de données sur la COVID-19.

(4)Le traitement des données de santé électroniques à caractère personnel est soumis aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil 43 et, pour les institutions et organes de l’Union, du règlement (UE) 2018/1725 du Parlement européen et du Conseil 44 . Les références aux dispositions du règlement (UE) 2016/679 doivent être considérées comme des références aux dispositions correspondantes du règlement (UE) 2018/1725 pour les institutions et organes de l’Union, le cas échéant.

(5)De plus en plus d’Européens franchissent les frontières nationales pour travailler, étudier, rendre visite à des proches ou voyager. Afin de faciliter l’échange de données de santé, et conformément à la nécessité d’autonomiser les citoyens, ceux-ci devraient pouvoir accéder à leurs données de santé dans un format électronique qui puisse être reconnu et accepté partout dans l’Union. Ces données de santé électroniques à caractère personnel pourraient inclure des données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la fourniture de services de soins de santé, qui révèlent des informations sur leur état de santé, des données à caractère personnel relatives aux caractéristiques génétiques innées ou acquises d’une personne physique, qui donnent des informations uniques sur la physiologie ou la santé d’une personne physique et qui résultent, en particulier, d’une analyse d’un échantillon biologique de la personne physique en question, ainsi que des données sur des facteurs déterminants pour la santé, tels que le comportement, les facteurs environnementaux, les influences physiques, les soins médicaux et les facteurs sociaux ou éducatifs. Les données de santé électroniques comprennent également les données qui ont été initialement collectées à des fins de recherche, de statistiques, d’élaboration de politiques ou de réglementation et qui peuvent être mises à disposition conformément aux règles énoncées au chapitre IV. Les données de santé électroniques concernent toutes les catégories de ces données, indépendamment du fait que ces données sont fournies par la personne concernée ou par d’autres personnes physiques ou morales, telles que des professionnels de la santé, ou sont traitées en relation avec la santé ou le bien-être d’une personne physique, et devraient également inclure les données déduites et dérivées, telles que les diagnostics, les analyses et les examens médicaux, ainsi que les données observées et enregistrées par des moyens automatiques.

(6)Le chapitre III du règlement (UE) 2016/679 contient des dispositions spécifiques concernant les droits des personnes physiques à l’égard du traitement de leurs données à caractère personnel. L’EHDS s’appuie sur ces droits et développe certains d’entre eux plus avant. L’EHDS devrait favoriser la mise en œuvre cohérente de ces droits tels qu’appliqués aux données de santé électroniques, indépendamment de l’État membre dans lequel les données de santé électroniques à caractère personnel sont traitées, du type de prestataire de soins de santé, des sources des données ou de l’État membre d’affiliation de la personne physique. Les droits et les règles relatifs à l’utilisation primaire des données de santé électroniques à caractère personnel prévus aux chapitres II et III du présent règlement concernent toutes les catégories de ces données, indépendamment de la manière dont elles ont été collectées ou de la personne qui les a fournies, du fondement juridique du traitement au titre du règlement (UE) 2016/679 ou du statut du responsable du traitement en tant qu’organisation publique ou privée du fondement juridique de leur traitement.

(7)Dans les systèmes de santé, les données de santé électroniques à caractère personnel sont habituellement rassemblées dans des dossiers médicaux électroniques, qui contiennent généralement les antécédents médicaux, les diagnostics et traitements, les médicaments, les allergies, les immunisations, ainsi que les images de radiologie et les résultats de laboratoire d’une personne physique, partagés entre différentes entités du système de santé (médecins généralistes, hôpitaux, pharmacies, services de soins). Afin d’autoriser la personne physique ou les professionnels de la santé à accéder aux données de santé électroniques, à les partager ou à les modifier, certains États membres ont pris les mesures juridiques et techniques nécessaires et ont mis en place des infrastructures centralisées qui connectent les systèmes de DME utilisés par les prestataires de soins de santé et les personnes physiques. D’autres États membres aident les prestataires de soins de santé publics et privés à mettre en place des espaces de données de santé afin de permettre l’interopérabilité entre les différents prestataires de soins de santé. Plusieurs États membres ont aussi soutenu ou fourni des services d’accès aux données de santé pour les patients et les professionnels de la santé (par exemple, au moyen de portails destinés aux patients ou aux professionnels de la santé). Ils ont aussi pris des mesures pour garantir que les systèmes de DME ou les applications de bien-être peuvent transmettre les données de santé électroniques au système de DME central (certains États membres le font en garantissant, par exemple, un système de certification). Tous les États membres n’ont cependant pas mis en place de tels systèmes, et les États membres qui l’ont fait les ont mis en place de manière fragmentée. Afin de faciliter la libre circulation des données de santé à caractère personnel dans toute l’Union et d’éviter des conséquences négatives pour les patients lorsqu’ils reçoivent des soins de santé dans un contexte transfrontière, une action de l’Union est nécessaire afin de garantir que les personnes ont un accès amélioré à leurs propres données de santé électroniques à caractère personnel et sont habilitées à les partager.

(8)Le droit d’accès aux données par une personne physique, établi par l’article 15 du règlement (UE) 2016/679, devrait être développé plus avant dans le secteur de la santé. En vertu du règlement (UE) 2016/679, les responsables du traitement ne doivent pas fournir un accès immédiat aux données. Si des portails destinés aux patients, des applications mobiles et d’autres services d’accès aux données à caractère personnel relatives à la santé existent en de nombreux endroits, y compris des solutions nationales dans certains États membres, en de nombreux endroits, le droit d’accès aux données de santé reste communément mis en œuvre en mettant les données de santé sollicitées à disposition au format papier ou sous forme de documents numérisés, une solution chronophage. Cette solution peut sérieusement entraver l’accès rapide des personnes physiques à leurs données de santé et peut avoir une incidence négative sur les personnes physiques qui ont besoin d’un accès immédiat à ces données en raison de situations d’urgence concernant leur état de santé.

(9)Dans le même temps, il y a lieu de tenir compte du fait qu’un accès immédiat à certains types de données de santé électroniques à caractère personnel peut nuire à la sécurité des personnes physiques, être contraire à l’éthique ou inapproprié. Il pourrait par exemple être contraire à l’éthique d’informer un patient par voie électronique du diagnostic d’une maladie incurable susceptible de lui être rapidement fatale au lieu de lui fournir cette information lors d’une consultation avec celui-ci. Il y a donc lieu de garantir une possibilité d’exceptions limitées dans la mise en œuvre de ce droit. Une telle exception peut être imposée par les États membres lorsqu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique, conformément aux exigences de l’article 23 du règlement (UE) 2016/679. Ces restrictions devraient être mises en œuvre en suspendant la présentation des données de santé électroniques à caractère personnel concernées à la personne physique pendant une période limitée. Lorsque les données relatives à la santé ne sont disponibles que sur support papier, si les efforts déployés pour mettre les données à disposition par voie électronique sont disproportionnés, les États membres ne devraient pas être tenus de les convertir en format électronique. Toute transformation numérique dans le secteur des soins de santé devrait viser à être inclusive et bénéficier également aux personnes physiques ayant une capacité limitée à accéder aux services numériques et à les utiliser. Les personnes physiques devraient pouvoir donner l’autorisation aux personnes physiques de leur choix, telles que leurs parents ou leurs proches, d’accéder ou de contrôler l’accès à leurs données de santé électroniques à caractère personnel ou d’utiliser des services de santé numérique en leur nom. Cette autorisation pourrait aussi être utile pour des raisons pratiques dans d’autres situations. Des services de procuration devraient être établis par les États membres afin de mettre ces autorisations en œuvre, et ils devraient être mis en relation avec les services d’accès aux données à caractère personnel relatives à la santé, tels que les portails destinés aux patients ou les applications mobiles d’interaction avec les patients. Les services de procuration devraient aussi permettre aux tuteurs d’agir pour le compte des enfants qui sont à leur charge; dans ce genre de situations, les autorisations pourraient être automatiques. Afin de tenir compte des cas dans lesquels la présentation de certaines données de santé électroniques à caractère personnel de mineurs à leurs tuteurs pourrait être contraire aux intérêts ou à la volonté du mineur, les États membres devraient pouvoir prévoir de telles limitations et garanties dans le droit national, ainsi que la mise en œuvre technique nécessaire. Les services d’accès aux données à caractère personnel relatives à la santé, tels que les portails ou les applications mobiles destinés aux patients, devraient utiliser ces autorisations et ainsi permettre aux personnes physiques autorisées d’accéder aux données de santé électroniques à caractère personnel relevant du champ d’application de l’autorisation, afin de pouvoir produire l’effet désiré.

(10)Certains États membres permettent aux personnes physiques d’ajouter des données de santé électroniques à leur DME ou de stocker des informations supplémentaires dans leur dossier médical personnel séparé auquel les professionnels de la santé peuvent accéder. Il ne s’agit toutefois pas d’une pratique courante dans tous les États membres, et elle devrait donc être instaurée par l’EHDS dans toute l’Union. Les informations introduites par les personnes physiques peuvent ne pas être aussi fiables que les données de santé électroniques introduites et vérifiées par des professionnels de la santé, elles devraient donc être clairement signalées afin d’indiquer la source de ces données supplémentaires. En accédant plus facilement et plus rapidement à leurs données de santé électroniques, les personnes physiques peuvent aussi relever les éventuelles erreurs, telles que les informations incorrectes ou les dossiers médicaux incorrectement attribués, et les faire rectifier en exerçant leurs droits au titre du règlement (UE) 2016/679. Dans ces cas, les personnes physiques devraient être autorisées à demander la rectification des données de santé électroniques incorrectes en ligne, immédiatement et gratuitement, par exemple par l’intermédiaire du service d’accès aux données à caractère personnel relatives à la santé. Les demandes de rectification des données devraient être évaluées et, le cas échéant, mises en œuvre par les responsables du traitement au cas par cas, si nécessaire en faisant intervenir des professionnels de la santé.

(11)Les personnes physiques devraient en outre avoir la possibilité d’échanger des données de santé électroniques à caractère personnel avec les professionnels de la santé de leur choix et de leur donner accès à celles-ci, allant ainsi au-delà du droit à la portabilité des données établi à l’article 20 du règlement (UE) 2016/679. C’est nécessaire afin de venir à bout des difficultés et des obstacles objectifs dans la configuration actuelle. En vertu du règlement (UE) 2016/679, la portabilité est limitée aux données traitées sur la base du consentement ou d’un contrat, ce qui exclut les données traitées en vertu d’autres bases juridiques, comme lorsque le traitement est fondé sur le droit, par exemple lorsque leur traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Cela ne s’applique qu’aux données fournies par la personne concernée à un responsable du traitement, ce qui exclut de nombreuses données déduites ou indirectes, telles que les diagnostics ou les examens médicaux. Enfin, en vertu du règlement (UE) 2016/679, la personne physique a le droit d’obtenir que les données à caractère personnel soient transmises directement d’un responsable du traitement à un autre uniquement lorsque c’est techniquement possible. Ce règlement n’impose toutefois pas d’obligation de faire en sorte que cette transmission directe soit techniquement possible. Tous ces éléments limitent la portabilité des données et pourraient limiter ses avantages pour la fourniture de services de soins de santé de qualité, sûrs et efficients à la personne physique.

(12)Les personnes physiques devraient être en mesure d’exercer un contrôle sur la transmission des données de santé électroniques à caractère personnel à d’autres prestataires de soins de santé. Les prestataires de soins de santé et les autres organisations fournissant des DME devraient faciliter l’exercice de ce droit. Les parties intéressées telles que les prestataires de soins de santé, les prestataires de services de santé numérique, les fabricants de systèmes de DME ou de dispositifs médicaux ne devraient pas limiter ou empêcher l’exercice du droit de portabilité en raison de l’utilisation de normes propriétaires ou d’autres mesures prises pour limiter la portabilité. C’est la raison pour laquelle le cadre défini par le présent règlement s’appuie sur le droit à la portabilité des données établi dans le règlement (UE) 2016/679, en veillant à ce que les personnes physiques, en tant que personnes concernées, puissent transmettre leurs données de santé électroniques, y compris les données déduites, quelle que soit la base juridique du traitement des données de santé électroniques. Ce droit devrait s’appliquer aux données de santé électroniques traitées par les responsables du traitement publics ou privés, quelle que soit la base juridique du traitement des données conformément au règlement (UE) 2016/679. Ce droit devrait s’appliquer à toutes les données de santé électroniques.

(13)Les personnes physiques sont susceptibles de ne pas vouloir autoriser l’accès à certaines de leurs données de santé électroniques à caractère personnel, mais d’accepter pour d’autres. Ce partage sélectif des données de santé électroniques à caractère personnel devrait être possible. Cependant, ces restrictions pourraient avoir des conséquences mortelles et l’accès aux données de santé électroniques à caractère personnel devrait donc être possible pour protéger les intérêts vitaux, à titre dérogatoire en cas d’urgence. Selon le règlement (UE) 2016/679, les intérêts vitaux concernent des situations dans lesquelles il est nécessaire de protéger un intérêt essentiel à la vie de la personne concernée ou à celle d’une autre personne physique. Le traitement de données de santé électroniques à caractère personnel fondé sur l’intérêt vital d’une autre personne physique ne devrait en principe avoir lieu que lorsqu’il ne peut manifestement pas être fondé sur une autre base juridique. Des dispositions juridiques plus spécifiques sur les mécanismes des restrictions appliquées par la personne physique sur certaines de ses données de santé électroniques à caractère personnel devraient être prévues par les États membres dans leur droit national. L’indisponibilité des données de santé électroniques à caractère personnel restreintes pouvant avoir une incidence sur la fourniture ou sur la qualité des services de santé délivrés à la personne physique, cette dernière devrait assumer la responsabilité de l’impossibilité pour le prestataire de soins de santé de prendre les données en considération au moment de fournir les services de santé.

(14)Dans le contexte de l’EHDS, les personnes physiques devraient pouvoir exercer leurs droits tels qu’ils sont prévus dans le règlement (UE) 2016/679. L’autorité de contrôle établie en application de l’article 51 du règlement (UE) 2016/679 devrait rester compétente, en particulier pour surveiller le traitement des données de santé électroniques à caractère personnel et pour traiter les plaintes déposées par les personnes physiques. Afin d’exécuter leurs missions dans le secteur de la santé et de faire respecter les droits des personnes physiques, les autorités de santé numérique devraient coopérer avec l’autorité de contrôle au titre du règlement (UE) 2016/679.

(15)L’article 9, paragraphe 2, point h), du règlement (UE) 2016/679 prévoit des exceptions lorsque le traitement des données sensibles est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire, ou de la gestion des systèmes et des services de soins de santé sur la base du droit de l’Union ou du droit d’un État membre. Le présent règlement devrait prévoir des conditions et des garanties pour le traitement des données de santé électroniques par les prestataires de soins de santé et les professionnels de la santé conformément à l’article 9, paragraphe 2, point h), du règlement (UE) 2016/679 aux fins d’accéder aux données de santé électroniques à caractère personnel fournies par la personne physique ou transmises par d’autres prestataires de soins de santé. Le présent règlement devrait cependant être sans préjudice des législations nationales relatives au traitement des données de santé, notamment de la législation établissant les catégories de professionnels de la santé qui peuvent traiter différentes catégories de données de santé électroniques.

(16)L’accès rapide et total des professionnels de la santé aux dossiers médicaux des patients est fondamental pour garantir la continuité des soins et éviter les duplications et les erreurs. Cependant, par manque d’interopérabilité, dans de nombreux cas, les professionnels de la santé ne peuvent pas accéder aux dossiers médicaux complets de leurs patients et ne peuvent pas prendre des décisions médicales optimales pour leur diagnostic et leur traitement, ce qui se traduit par des coûts supplémentaires considérables pour les systèmes de santé et pour les personnes physiques et peut aboutir à une issue plus défavorable pour la santé des personnes physiques. Les données de santé électroniques mises à disposition dans un format interopérable, qui peuvent être transmises entre prestataires de soins de santé, peuvent aussi réduire la charge administrative qui consiste pour les professionnels de la santé à introduire manuellement ou à copier les données de santé d’un système électronique à l’autre. Il y a donc lieu de doter les professionnels de la santé de moyens électroniques appropriés, comme des portails destinés aux professionnels de la santé, pour utiliser les données de santé électroniques à caractère personnel dans l’exercice de leurs fonctions. De plus, l’accès aux dossiers médicaux personnels devrait être transparent vis-à-vis des personnes physiques et ces dernières devraient pouvoir exercer un contrôle total sur cet accès, notamment en limitant l’accès à l’ensemble ou à une partie des données de santé électroniques à caractère personnel qui figurent dans leurs dossiers. Les professionnels de la santé ne devraient pas entraver la mise en œuvre des droits des personnes physiques, en refusant, par exemple, de prendre en considération les données de santé électroniques provenant d’un autre État membre fournies dans le format européen d’échange des dossiers de santé informatisés interopérable et fiable.

(17)La pertinence des différentes catégories de données de santé électroniques pour les différents scénarios de soins de santé varie. Différentes catégories ont aussi atteint différents niveaux de maturité en matière de normalisation, et la mise en œuvre de mécanismes en vue de leur échange peut donc être plus ou moins complexe selon la catégorie. L’amélioration de l’interopérabilité et du partage de données devrait donc être progressive et il est nécessaire de hiérarchiser les catégories de données de santé électroniques. Les catégories de données de santé électroniques telles que les dossiers des patients, les résultats et les comptes rendus de laboratoire, les rapports de sortie de l’hôpital, l’imagerie médicale et les rapports y afférents ont été sélectionnées par le réseau «Santé en ligne» comme étant les plus pertinentes pour la majorité des situations de soins de santé et devraient être considérées comme des catégories prioritaires pour que les États membres mettent en œuvre l’accès à celles-ci et leur transmission. Si de nouveaux besoins en matière d’échange d’autres catégories de données de santé électroniques sont mis en évidence à des fins de soins de santé, la liste des catégories prioritaires devrait être allongée. La Commission devrait être habilitée à allonger la liste des catégories prioritaires, après analyse des aspects pertinents liés à la nécessité et à la possibilité d’échanger de nouveaux ensembles de données, tels que leur prise en charge par les systèmes établis au niveau national ou régional par les États membres. Il y a lieu d’accorder une attention particulière à l’échange de données dans les régions frontalières des États membres voisins où la fourniture de services de santé transfrontières est plus fréquente et nécessite des procédures encore plus rapides que dans le reste de l’Union.

(18)L’accès aux données de santé électroniques et le partage de ces données devraient être autorisés pour toutes les données présentes dans le DME d’une personne physique, lorsque c’est techniquement possible. Il se peut toutefois que certaines données de santé électroniques ne soient pas structurées ou codées, et la transmission entre prestataires de soins de santé pourrait alors être limitée ou uniquement possible dans des formats qui ne permettent pas la traduction (lorsque les données sont partagées par-delà les frontières). Afin de laisser suffisamment de temps pour se préparer à la mise en œuvre, les dates d’application différée devraient être déterminées de manière à permettre de se préparer sur le plan juridique, organisationnel, sémantique et technique pour la transmission de différentes catégories de données de santé électroniques. Lorsque la nécessité d’échanger de nouvelles catégories de données de santé électroniques est mise en évidence, les dates d’application correspondantes devraient être déterminées de manière à permettre la mise en œuvre de cet échange.

(19)Le niveau de disponibilité des données à caractère personnel sur la santé et la génétique au format électronique varie selon les États membres. L’EHDS devrait permettre aux personnes physiques de disposer plus facilement de ces données au format électronique. De plus, il contribuerait à la réalisation de l’objectif consistant à ce que 100 % des citoyens de l’UE aient accès à leur dossier médical électronique d’ici 2030, comme le prévoit le programme politique «La voie à suivre pour la décennie numérique». Afin de rendre les données de santé électroniques accessibles et transmissibles, il convient que ces données soient consultables et soient transmises dans un format européen commun interopérable d’échange de dossiers de santé électroniques, au moins pour certaines catégories de données de santé électroniques, telles que les dossiers des patients, les prescriptions et dispensations électroniques, l’imagerie médicale et les rapports y afférents, les résultats de laboratoire et les rapports de sortie, sous réserve de périodes de transition. Lorsque des données de santé électroniques à caractère personnel sont mises à la disposition d’un prestataire de soins de santé ou d’une pharmacie par une personne physique, ou sont transmises par un autre responsable du traitement des données dans le format européen d’échange des dossiers médicaux électroniques, les données de santé électroniques doivent être lues et acceptées pour la prestation de soins de santé ou la délivrance d’un médicament, favorisant ainsi la prestation des services de soins de santé ou la délivrance d’une prescription électronique. La recommandation de la Commission (UE) 2019/243 45 jette les bases d’un tel format européen commun d’échange des dossiers de santé informatisés. L’utilisation du format européen d’échange des dossiers médicaux électroniques devrait se généraliser à l’échelon de l’UE et à l’échelon des États membres. Alors que le réseau «Santé en ligne», créé en application de l’article 14 de la directive 2011/24/UE du Parlement européen et du Conseil 46 , recommandait aux États membres d’utiliser le format européen d’échange des dossiers médicaux électroniques dans les marchés publics afin d’améliorer l’interopérabilité, son adoption a été limitée dans la pratique, ce qui a entraîné un paysage fragmenté ainsi qu’un accès et une portabilité inégaux des données de santé électroniques.

(20)Si les systèmes de DME sont largement répandus, le niveau de numérisation des données de santé varie dans les États membres en fonction des catégories de données et de la couverture des prestataires de soins de santé qui enregistrent les données de santé au format électronique. Afin de soutenir la mise en œuvre des droits des personnes concernées en matière d’accès et d’échange de données de santé électroniques, une action de l’UE est nécessaire pour éviter d’amplifier la fragmentation. Pour contribuer à la qualité et à la continuité des soins de santé, certaines catégories de données de santé devraient être enregistrées au format électronique de manière systématique et conformément aux exigences spécifiques en matière de qualité des données. Le format européen d’échange des dossiers médicaux électroniques devrait servir de base aux spécifications relatives à l’enregistrement et à l’échange de données de santé électroniques. La Commission devrait être habilitée à adopter des actes d’exécution pour déterminer des aspects supplémentaires relatifs à l’enregistrement des données de santé électroniques, tels que les catégories de prestataires de soins de santé qui doivent enregistrer les données de santé par voie électronique, les catégories de données à enregistrer par voie électronique ou les exigences en matière de qualité des données.

(21)En vertu de l’article 168 du traité, les États membres sont responsables de leur politique de santé, en particulier des décisions relatives aux services (y compris la télémédecine) qu’ils fournissent et remboursent. Toutefois, les différentes politiques de remboursement ne doivent pas constituer d’obstacles à la libre circulation des services de santé numérique tels que la télémédecine, y compris des services pharmaceutiques en ligne. Lorsque des services numériques accompagnent la prestation d’un service de santé physique, ils devraient être inclus dans la prestation globale de soins.

(22)Le règlement (UE) nº 910/2014 du Parlement européen et du Conseil 47 fixe les conditions dans lesquelles les États membres procèdent à l’identification des personnes physiques dans des situations transfrontières en utilisant des moyens d’identification électronique délivrés par un autre État membre, et il établit des règles pour la reconnaissance mutuelle de ces moyens d’identification électronique. L’EHDS exige un accès sécurisé aux données de santé électroniques, y compris dans les scénarios transfrontières où le professionnel de santé et la personne physique sont originaires d’États membres différents, afin d’éviter les cas d’accès non autorisés. Dans le même temps, l’existence de différents moyens d’identification électronique ne devrait pas constituer un obstacle à l’exercice des droits des personnes physiques et des professionnels de la santé. Le déploiement de mécanismes d’identification et d’authentification interopérables et transfrontières pour les personnes physiques et les professionnels de la santé dans l’ensemble de l’EHDS nécessite un renforcement de la coopération à l’échelle de l’UE au sein du comité de l’espace européen des données de santé («comité de l’EHDS»). Étant donné que les droits des personnes physiques en matière d’accès et de transmission des données de santé électroniques à caractère personnel doivent être mis en œuvre de manière uniforme dans toute l’UE, une gouvernance et une coordination solides sont nécessaires tant à l’échelon de l’UE qu’à l’échelon des États membres. Les États membres devraient établir des autorités compétentes en matière de santé numérique pour la planification et la mise en œuvre de normes relatives à l’accès aux données de santé électroniques, à leur transmission et à l’application des droits des personnes physiques et des professionnels de la santé. En outre, des éléments de gouvernance sont nécessaires dans les États membres pour faciliter la participation des acteurs nationaux à la coopération à l’échelle de l’UE, à travers la canalisation de l’expertise et l’orientation de la conception des solutions nécessaires pour atteindre les objectifs de l’EHDS. Des autorités de santé numérique existent dans la plupart des États membres et s’occupent des DME, de l’interopérabilité, de la sécurité ou de la normalisation. Des autorités de santé numérique devraient être établies dans tous les États membres, en tant qu’organisations séparées ou rattachées aux autorités existantes.

(23)Les autorités de santé numérique devraient disposer des compétences techniques suffisantes, en rassemblant éventuellement des experts de différentes organisations. Les activités des autorités de santé numérique devraient être bien organisées et contrôlées afin de garantir leur efficacité. Les autorités de santé numérique devraient prendre les mesures nécessaires pour garantir les droits des personnes physiques en mettant en place des solutions techniques nationales, régionales et locales telles que des systèmes de DME, des systèmes d’intermédiation de données et des portails patients nationaux. Ce faisant, elles devraient appliquer à ces solutions des normes et des spécifications communes, promouvoir l’application de ces normes et spécifications dans les marchés publics et utiliser d’autres moyens innovants, y compris le remboursement des solutions qui sont conformes aux exigences d’interopérabilité et de sécurité de l’EHDS. Pour mener à bien leurs missions, les autorités de santé numérique devraient coopérer, au niveau national et de l’UE, avec d’autres entités, notamment les organismes d’assurance, les prestataires de soins de santé, les fabricants de systèmes de DME et d’applications de bien-être, ainsi qu’avec les parties prenantes du secteur de la santé ou des technologies de l’information, les entités chargées des régimes de remboursement, les organismes d’évaluation des technologies de la santé, les autorités et agences de réglementation des médicaments, les autorités chargées des dispositifs médicaux, les acheteurs et les autorités chargées de la cybersécurité ou de l’identification électronique.

(24)L’accès aux données de santé électroniques et leur transmission sont importants dans les situations de soins de santé transfrontières, car ils peuvent favoriser la continuité des soins lorsque des personnes physiques se rendent dans d’autres États membres ou changent de lieu de résidence. La continuité des soins et l’accès rapide aux données de santé électroniques à caractère personnel sont encore plus importants pour les résidents de régions frontalières, qui franchissent fréquemment une frontière pour recevoir des soins de santé. Dans de nombreuses régions frontalières, certains services de soins de santé spécialisés sont plus proches de l’autre côté de la frontière que dans le même État membre. Une infrastructure est nécessaire pour transmettre les données de santé électroniques à caractère personnel entre pays, par exemple lorsqu’une personne physique a recours aux services d’un prestataire de soins de santé établi dans un autre État membre. L’infrastructure MaSanté@UE (MyHealth@EU) a été établie à cet effet, sur la base du volontariat, dans le cadre des actions prévues à l’article 14 de la directive 2011/24/UE. Grâce à MaSanté@UE (MyHealth@EU), les États membres ont commencé à offrir aux personnes physiques la possibilité de communiquer leurs données de santé électroniques à caractère personnel à des prestataires de soins de santé lorsqu’elles sont en déplacement à l’étranger. Pour renforcer ces possibilités, la participation des États membres à l’infrastructure numérique MaSanté@UE (MyHealth@EU) devrait devenir obligatoire. Tous les États membres devraient adhérer à l’infrastructure et y connecter les prestataires de soins de santé et les pharmacies, car c’est une étape nécessaire à la mise en œuvre des droits des personnes physiques d’accéder à leurs données de santé électroniques à caractère personnel et de les utiliser, quel que soit l’État membre où elles se trouvent. L’infrastructure devrait être progressivement étendue pour prendre en charge d’autres catégories de données de santé électroniques.

(25)Dans le contexte de MaSanté@UE (MyHealth@EU), une plateforme centrale devrait fournir une infrastructure commune aux États membres pour assurer la connectivité et l’interopérabilité de manière efficace et sécurisée. Afin de garantir le respect des règles de protection des données et de fournir un cadre de gestion des risques pour la transmission des données de santé électroniques à caractère personnel, la Commission devrait, au moyen d’actes d’exécution, répartir les responsabilités spécifiques entre les États membres, en tant que responsables conjoints du traitement, et prescrire ses propres obligations, en tant que sous-traitant.

(26)Outre les services offerts par MaSanté@UE (MyHealth@EU) pour l’échange de données de santé électroniques à caractère personnel sur la base du format européen d’échange des dossiers médicaux électroniques, d’autres services ou infrastructures supplémentaires peuvent être nécessaires, par exemple en cas d’urgence de santé publique ou lorsque l’architecture de MaSanté@UE (MyHealth@EU) ne convient pas à la mise en œuvre de certains cas d’utilisation. Voici des exemples de cas d’utilisation: les fonctionnalités d’assistance en matière de cartes de vaccination, y compris l’échange d’informations sur les plans de vaccination, ou la vérification des certificats de vaccination ou d’autres certificats liés à la santé. Cela serait également essentiel pour l’ajout de fonctionnalités permettant de gérer les crises de santé publique, telles que le soutien à la recherche des contacts en vue de contenir les maladies infectieuses. La connexion des points de contact nationaux pour la santé numérique de pays tiers ainsi que l’interopérabilité avec les systèmes numériques établis au niveau international devraient être soumises à un contrôle garantissant la conformité du point de contact national avec les spécifications techniques, les règles de protection des données et les autres exigences de MaSanté@UE (MyHealth@EU). La décision de connecter un point de contact national d’un pays tiers devrait être prise par les responsables du traitement des données au sein du groupe de responsabilité conjointe du traitement pour MaSanté@UE (MyHealth@EU).

(27)Afin de garantir le respect des droits des personnes physiques et des professionnels de la santé, les systèmes de DME commercialisés dans le marché intérieur de l’UE devraient pouvoir stocker et transmettre, de manière sécurisée, des données de santé électroniques de haute qualité. Il s’agit d’un principe clé de l’EHDS, qui vise à garantir la sécurité et la libre circulation des données de santé électroniques au sein de l’UE. À cette fin, il convient d’établir un système d’autocertification obligatoire pour les systèmes de DME traitant une ou plusieurs catégories prioritaires de données de santé électroniques afin de remédier à la fragmentation du marché tout en garantissant une approche proportionnée. Grâce à cette autocertification, les systèmes de DME pourraient prouver leur conformité aux exigences essentielles en matière d’interopérabilité et de sécurité, fixées à l’échelon de l’UE. En ce qui concerne la sécurité, les exigences essentielles devraient couvrir les éléments propres aux systèmes de DME, tandis que les propriétés de sécurité plus générales devraient être soutenues par d’autres mécanismes tels que les schémas de certification de cybersécurité prévus par le règlement (UE) 2019/881 du Parlement européen et du Conseil 48 .

(28)Les systèmes de DME spécifiquement conçus par le fabricant pour être utilisés à des fins de traitement d’une ou plusieurs catégories spécifiques de données de santé électroniques devraient être soumis à une autocertification obligatoire. En revanche, les logiciels à usage général ne devraient pas être considérés comme des systèmes de DME, même lorsqu’ils sont utilisés dans un établissement de soins de santé, et ne devraient donc pas être tenus de se conformer aux dispositions du chapitre III.

(29)Les logiciels ou modules de logiciels qui relèvent de la définition d’un dispositif médical ou d’un système d’IA à haut risque devraient être certifiés conformément au règlement (UE) 2017/745 du Parlement européen et du Conseil 49 et au règlement […] du Parlement européen et du Conseil [législation sur l’intelligence artificielle, COM(2021) 206 final], selon le cas. Les exigences essentielles en matière d’interopérabilité du présent règlement ne devraient s’appliquer que dans la mesure où le fabricant d’un dispositif médical ou d’un système d’IA à haut risque, qui fournit des données de santé électroniques à traiter dans le cadre d’un système de DME, affirme que le dispositif ou le système est interopérable avec le système de DME. Dans ce cas, les dispositions relatives aux spécifications communes des systèmes de DME devraient être applicables à ces dispositifs médicaux et systèmes d’IA à haut risque.

(30)Pour favoriser davantage l’interopérabilité et la sécurité, les États membres peuvent maintenir ou définir des règles spécifiques pour l’acquisition, le remboursement, le financement ou l’utilisation des systèmes de DME au niveau national dans le contexte de l’organisation, de la prestation ou du financement de services de santé. Ces règles spécifiques ne doivent pas entraver la libre circulation des systèmes de DME dans l’UE. Certains États membres ont introduit une certification obligatoire des systèmes de DME ou des tests d’interopérabilité obligatoires pour connecter ces systèmes aux services de santé numérique nationaux. Ces exigences sont généralement reflétées dans les marchés publics organisés par les prestataires de soins de santé, les autorités nationales ou les autorités régionales. La certification obligatoire des systèmes de DME à l’échelle de l’UE devrait établir une base de référence à utiliser dans les marchés publics au niveau national.

(31)Pour garantir aux patients l’exercice effectif des droits que leur confère le présent règlement, les prestataires de soins de santé devraient également se conformer audit règlement lorsqu’ils élaborent et utilisent un système de DME «en interne» pour mener à bien des activités internes sans le mettre sur le marché moyennant paiement ou rémunération. Dans ce contexte, les prestataires de soins de santé devraient respecter toutes les exigences applicables aux fabricants.

(32)Il convient de prévoir une répartition claire et proportionnée des obligations incombant à chaque opérateur selon son rôle dans le processus d’approvisionnement et de distribution des systèmes de DME. Les opérateurs économiques devraient être responsables de la conformité en fonction de leurs rôles respectifs dans ce processus et devraient s’assurer qu’ils ne mettent à disposition sur le marché que des systèmes de DME conformes aux exigences pertinentes.

(33)La conformité aux exigences essentielles en matière d’interopérabilité et de sécurité devrait être démontrée par les fabricants de systèmes de DME au moyen de la mise en œuvre de spécifications communes. À cette fin, il conviendrait de conférer des compétences d’exécution à la Commission pour déterminer ces spécifications communes concernant les ensembles de données, les systèmes de codage, les spécifications techniques, y compris les normes, les spécifications et les profils pour l’échange de données, ainsi que les exigences et les principes liés à la sécurité, à la confidentialité, à l’intégrité, à la sécurité des patients et à la protection des données à caractère personnel, ainsi que les spécifications et les exigences liées à la gestion de l’identification et à l’utilisation de l’identification électronique. Les autorités de santé numérique devraient contribuer à l’élaboration de ces spécifications communes.

(34)Afin de garantir un contrôle approprié et efficace du respect des exigences et obligations énoncées dans le chapitre III du présent règlement, le système de surveillance du marché et de mise en conformité des produits établi par le règlement (UE) 2019/1020 devrait s’appliquer. En fonction de l’organisation définie au niveau national, ces activités de surveillance du marché pourraient être menées par les autorités de santé numérique, qui veillent à la bonne application du chapitre II, ou par une autorité de surveillance du marché distincte, responsable des systèmes de DME. Bien que la désignation des autorités de santé numérique en tant qu’autorités de surveillance du marché puisse présenter des avantages pratiques importants en matière de santé et de soins, il convient d’éviter tout conflit d’intérêts, par exemple en séparant les différentes tâches.

(35)Les utilisateurs d’applications de bien-être, telles que les applications mobiles, devraient être informés de la capacité de ces applications à être connectées et à fournir des données aux systèmes de DME ou aux solutions nationales de santé électronique, dans les cas où les données produites par les applications de bien-être sont utiles à des fins de soins de santé. La capacité de ces applications à exporter des données dans un format interopérable est également pertinente à des fins de portabilité des données. Le cas échéant, les utilisateurs devraient être informés de la conformité de ces applications aux exigences d’interopérabilité et de sécurité. Toutefois, étant donné le grand nombre d’applications de bien-être et la pertinence limitée, à des fins de soins de santé, des données produites par nombre d’entre elles, un système de certification ne serait pas proportionné pour ces applications. C’est donc un système d’étiquetage facultatif qui devrait être établi pour garantir la transparence en matière de conformité aux exigences aux utilisateurs d’applications de bien-être, leur permettant ainsi de choisir des applications de bien-être appropriées qui respectent des normes élevées d’interopérabilité et de sécurité. La Commission peut, dans des actes d’exécution, définir les détails concernant le format et le contenu de ce système d’étiquetage.

(36)La diffusion d’informations sur les systèmes de DME certifiés et les applications de bien-être pour lesquelles une étiquette a été délivrée est nécessaire pour permettre aux acheteurs et aux utilisateurs de ces produits de trouver des solutions interopérables répondant à leurs besoins spécifiques. Une base de données des systèmes de DME et des applications de bien-être interopérables, qui ne relèvent pas du champ d’application des règlements (UE) 2017/745 et […] [législation sur l’intelligence artificielle, COM(2021) 206], devrait donc être établie au niveau de l’UE, à l’instar de la base de données européenne sur les dispositifs médicaux (Eudamed) établie par le règlement (UE) 2017/745. Les objectifs de la base de données de l’UE sur les systèmes de DME et les applications de bien-être interopérables consisteraient à améliorer la transparence globale, à éviter la pluralité des exigences en matière de rapports ainsi qu’à rationaliser et à faciliter le flux d’informations. Pour les dispositifs médicaux et les systèmes d’IA, l’enregistrement devrait être maintenu dans les bases de données existantes établies respectivement par les règlements (UE) 2017/745 et […] [législation sur l’intelligence artificielle, COM(2021) 206 final], mais la conformité aux exigences d’interopérabilité devrait être indiquée lorsqu’elle est alléguée par les fabricants, afin de fournir des informations aux acheteurs.

(37)Pour l’utilisation secondaire des données cliniques à des fins de recherche, d’innovation, d’élaboration de politiques, de réglementation, de sécurité des patients ou de traitement d’autres personnes physiques, il convient de se fonder sur les possibilités offertes par le règlement (UE) 2016/679 pour un droit de l’UE, dont les règles et les mécanismes prévoient des mesures appropriées et spécifiques pour garantir les droits et les libertés des personnes physiques. Le présent règlement fournit la base juridique conformément à l’article 9, paragraphe 2, points g), h), i) et j), du règlement (UE) 2016/679 pour l’utilisation secondaire des données de santé, en établissant les garanties pour le traitement des données à des fins licites, pour la gouvernance fiable de l’accès aux données de santé (par l’intermédiaire d’organismes d’accès aux données de santé) et pour le traitement dans un environnement sécurisé, ainsi que les modalités de traitement des données, énoncées dans l’autorisation de traitement de données. Dans le même temps, toute personne qui demande à accéder à des données devrait démontrer l’existence d’une base juridique, conformément à l’article 6 du règlement (UE) 2016/679, qui lui permettrait de demander l’accès aux données en vertu du présent règlement et devrait remplir les conditions énoncées au chapitre IV. Plus précisément, pour le traitement des données de santé électroniques détenues par la personne concernée en vertu du présent règlement, ce dernier crée, pour le détenteur de données, l’obligation juridique au sens de l’article 6, paragraphe 1, point c), du règlement (UE) 2016/679 de divulguer les données aux organismes d’accès aux données de santé, tandis que la base juridique aux fins du traitement initial (par exemple, la prestation de soins) n’est pas affectée. Le présent règlement répond également aux conditions dudit traitement conformément à l’article 9, paragraphe 2, points h), i), j), du règlement (UE) 2016/679. Le présent règlement attribue des tâches d’intérêt public aux organismes d’accès aux données de santé (gestion de l’environnement de traitement sécurisé, traitement des données avant leur utilisation, etc.) au sens de l’article 6, paragraphe 1, point e), du règlement (UE) 2016/679, et répond aux conditions de l’article 9, paragraphe 2, points h), i), j), du règlement (UE) 2016/679. Par conséquent, en l’espèce, le présent règlement fournit la base juridique conformément à l’article 6 et répond aux exigences de l’article 9 dudit règlement relatif aux conditions dans lesquelles les données de santé électroniques peuvent être traitées. Dans le cas où l’utilisateur de données a accès à des données de santé électroniques (pour une utilisation secondaire des données en vue de l’une des finalités définies dans le présent règlement), l’utilisateur de données devrait démontrer l’existence d’une base juridique conformément à l’article 6, paragraphe 1, points e) ou f), du règlement (UE) 2016/679 et expliquer la base juridique spécifique sur laquelle il se fonde dans le cadre de la demande d’accès aux données de santé électroniques en vertu du présent règlement, sur la base de la législation applicable, lorsque la base juridique en vertu du règlement (UE) 2016/679 est l’article 6, paragraphe 1, point e), ou l’article 6, paragraphe 1, point f), du règlement (UE) 2016/679. Si l’utilisateur se fonde sur une base juridique fixée à l’article 6, paragraphe 1, point e), il devrait également faire référence à une loi nationale ou un acte législatif du droit européen autres que le présent règlement qui lui confient le droit de traiter des données de santé à caractère personnel à des fins de conformité dans l’exercice de ses missions. Si le motif légal du traitement par l’utilisateur est l’article 6, paragraphe 1, point f), du règlement (UE) 2016/679, c’est le présent règlement qui fournit les garanties. Dans ce contexte, les autorisations de traitement de données délivrées par les organismes d’accès aux données de santé constituent une décision administrative définissant les conditions d’accès aux données.

(38)Dans le contexte de l’EHDS, les données de santé électroniques existent déjà et sont collectées par des prestataires de soins de santé, des organisations professionnelles, des institutions publiques, des organismes de réglementation, des chercheurs, des assureurs et autres, dans le cadre de leurs activités. Certaines catégories de données sont collectées principalement pour la prestation de soins de santé (par exemple, les dossiers médicaux électroniques, les données génétiques, les données relatives aux demandes de remboursement, etc.), et d’autres le sont à d’autres fins telles que la recherche, les statistiques, la sécurité des patients, les activités réglementaires ou l’élaboration de politiques (par exemple, les registres de maladies, les registres d’élaboration de politiques, les registres concernant les effets secondaires des médicaments ou des dispositifs médicaux, etc.). Par exemple, des bases de données européennes qui facilitent l’utilisation ou la réutilisation des données sont disponibles dans certains domaines, tels que le cancer (système européen d’information sur le cancer) ou les maladies rares (plateforme européenne d’enregistrement des maladies rares, registres des réseaux européens de référence, etc.). Ces données devraient également être mises à disposition pour une utilisation secondaire. Toutefois, une grande partie des données existantes relatives à la santé ne sont pas mises à disposition à des fins autres que celles pour lesquelles elles ont été collectées. Cela limite la capacité des chercheurs, des innovateurs, des décideurs politiques, des organismes de réglementation et des médecins à les utiliser à différentes fins, dont la recherche, l’innovation, l’élaboration de politiques, la réglementation, la sécurité des patients ou la médecine personnalisée. Afin d’exploiter pleinement les avantages de l’utilisation secondaire des données de santé électroniques, tous les détenteurs de données devraient contribuer à cet effort en mettant à disposition les différentes catégories de données de santé électroniques qu’ils détiennent en vue d’une utilisation secondaire.

(39)Les catégories de données de santé électroniques pouvant être traitées en vue d’une utilisation secondaire devraient être suffisamment larges et flexibles pour s’adapter à l’évolution des besoins des utilisateurs de données, tout en restant des données liées à la santé ou connues pour avoir une influence sur la santé. Il peut également s’agir de données pertinentes provenant du système de santé (dossiers médicaux électroniques, données relatives aux demandes de remboursement, registres de maladies, données génomiques, etc.), ainsi que de données ayant une incidence sur la santé (par exemple, la consommation de différentes substances, l’état de sans-abri, l’assurance maladie, le revenu minimum, le statut professionnel, le comportement ou les facteurs environnementaux, notamment la pollution, le rayonnement ionisant, l’utilisation de certaines substances chimiques). Il peut s’agir aussi de données générées par la personne, telles que des données provenant de dispositifs médicaux, d’applications de bien-être ou d’autres dispositifs portables et applications de santé numérique. L’utilisateur de données qui bénéficie de l’accès aux ensembles de données fournis en vertu du présent règlement pourrait enrichir les données par diverses corrections, annotations et autres améliorations, par exemple en complétant les données manquantes ou incomplètes, améliorant ainsi l’exactitude, l’exhaustivité ou la qualité des données dans l’ensemble de données. Afin de renforcer l’amélioration de la base de données d’origine et l’utilisation ultérieure de l’ensemble de données enrichi, l’ensemble de données avec ces améliorations et une description des modifications devraient être mis gratuitement à la disposition du détenteur des données d’origine. Le détenteur de données devrait mettre à disposition le nouvel ensemble de données, à moins qu’il n’adresse une notification justifiée à l’organisme d’accès aux données de santé, par exemple en cas de mauvaise qualité de l’enrichissement des données. L’utilisation secondaire des données électroniques à caractère non personnel devrait également être garantie. En particulier, les données génomiques sur les agents pathogènes ont une valeur importante pour la santé humaine, comme l’a montré la pandémie de COVID-19. L’accès rapide à ces données et leur partage se sont avérés essentiels pour l’élaboration rapide d’outils de détection, de contre-mesures médicales et de réactions aux menaces pour la santé publique. Le plein potentiel des données génomiques sur les agents pathogènes sera exploitable lorsque les sous-traitants dans les domaines de la santé publique et de la recherche partageront les ensembles de données et travailleront en collaboration pour s’informer et s’améliorer mutuellement.

(40)Les détenteurs de données peuvent être des prestataires de soins ou de santé publics, privés ou à but non lucratif, des organisations publiques, privées ou à but non lucratif, des associations ou d’autres entités publiques ou privées qui effectuent des recherches dans le domaine de la santé et qui traitent les catégories de données de santé et relatives à la santé mentionnées ci-dessus. Afin d’éviter toute charge disproportionnée sur les petites entités, les microentreprises sont exemptées de l’obligation de mettre à disposition leurs données pour une utilisation secondaire dans le cadre de l’EHDS. Les entités publiques ou privées reçoivent souvent un financement public, provenant de fonds nationaux ou de l’UE, pour collecter et traiter des données de santé électroniques à des fins de recherche, de statistiques (officielles ou non) ou à d’autres fins similaires, y compris dans des domaines où la collecte de ces données est fragmentée ou difficile, comme les maladies rares, le cancer, etc. Ces données, collectées et traitées par les détenteurs de données avec le soutien de fonds publics nationaux ou de l’UE, devraient être mises à la disposition des organismes d’accès aux données de santé par les détenteurs de données, afin de maximiser les effets de l’investissement public et de soutenir la recherche, l’innovation, la sécurité des patients ou l’élaboration de politiques au bénéfice de la société. Dans certains États membres, les entités privées, notamment les prestataires de soins de santé privés et les organisations professionnelles, jouent un rôle central dans le secteur de la santé. Les données de santé détenues par ces prestataires devraient également être mises à disposition pour une utilisation secondaire. Parallèlement, les données faisant l’objet d’une protection juridique spécifique, comme les droits de propriété intellectuelle des entreprises de dispositifs médicaux ou des sociétés pharmaceutiques, bénéficient souvent de la protection du droit d’auteur ou équivalent. Toutefois, les autorités publiques et les organismes de réglementation devraient avoir accès à ces données, par exemple en cas de pandémie, pour détecter les dispositifs défectueux et protéger la santé humaine. En période de crise de santé publique (par exemple, la fraude liée aux prothèses mammaires PIP), il s’est déjà avéré très difficile pour les autorités publiques d’accéder à de telles données et de comprendre les causes des défauts de certains dispositifs ou de déterminer si le fabricant en avait connaissance. La pandémie de COVID-19 a également révélé la difficulté pour les décideurs politiques d’accéder aux données de santé et autres données relatives à la santé. Ces données devraient être mises à disposition pour les activités publiques et réglementaires afin d’aider les organismes publics à remplir leur mandat légal, tout en respectant, le cas échéant et si possible, la protection dont bénéficient les données commerciales. Des règles spécifiques relatives à l’utilisation secondaire des données de santé devraient être prévues. Des activités d’altruisme en matière de données peuvent être menées par différentes entités, dans le cadre du règlement […] [acte sur la gouvernance des données, COM (2020) 767 final] et compte tenu des spécificités du secteur de la santé.

(41)L’utilisation secondaire des données de santé au titre de l’EHDS devrait permettre aux entités publiques, privées et à but non lucratif, ainsi qu’aux chercheurs à titre individuel, d’avoir accès aux données de santé à des fins de recherche, d’innovation, d’élaboration de politiques, d’activités éducatives, de sécurité des patients, d’activités réglementaires ou de médecine personnalisée, dans le cadre des finalités prévues par le présent règlement. L’accès aux données pour une utilisation secondaire doit contribuer à l’intérêt général de la société. Les activités pour lesquelles l’accès est licite en vertu du présent règlement peuvent inclure l’utilisation de données de santé électroniques en vue d’une mission accomplie par un organisme public, telle que l’exercice d’une fonction publique, y compris la surveillance de la santé publique, la planification et l’établissement de rapports, l’élaboration de la politique de santé, la garantie de la sécurité des patients, la qualité des soins et la durabilité des systèmes de soins de santé. Les organismes publics ainsi que les institutions, organes et organismes de l’Union peuvent avoir besoin d’accéder régulièrement aux données de santé électroniques pendant une période étendue, notamment pour mener à bien leur mandat, ce qui est prévu par le présent règlement. Les organismes du secteur public peuvent mener des activités de recherche en faisant appel à des tiers, y compris des sous-traitants, pour autant que l’organisme du secteur public reste à tout moment le superviseur de ces activités. La fourniture des données devrait également soutenir les activités liées à la recherche scientifique (y compris la recherche privée), au développement et à l’innovation, à la production de biens et services pour les secteurs de la santé ou des soins, comme les activités d’innovation ou la formation d’algorithmes d’IA qui pourraient protéger la santé des personnes physiques. Dans certains cas, les informations de certaines personnes physiques (telles que les informations génomiques de personnes physiques atteintes d’une certaine maladie) pourraient contribuer à améliorer le diagnostic ou le traitement médical d’autres personnes physiques. Il est nécessaire que les organismes publics aillent au-delà du champ d’application d’urgence publique du chapitre V du règlement […] [règlement sur les données, COM(2022) 68 final]. Toutefois, les organismes du secteur public devraient demander le soutien des organismes responsables de l’accès aux données de santé pour traiter ou relier des données. Le présent règlement offre aux organismes du secteur public un moyen d’accéder aux informations dont ils ont besoin pour remplir les missions qui leur incombent en vertu de la loi, mais n’étend pas leur mandat. Toute tentative d’utiliser les données à des fins de mesures préjudiciables à la personne physique, d’augmentation de primes d’assurance, de publicité pour des produits ou des traitements, ou de mise au point de produits nocifs devrait être interdite.

(42)La création d’un ou de plusieurs organismes d’accès aux données de santé, favorisant l’accès aux données de santé électroniques dans les États membres, est un élément essentiel pour promouvoir l’utilisation secondaire des données relatives à la santé. Les États membres devraient donc créer un ou plusieurs organismes d’accès aux données de santé, par exemple pour refléter leur structure constitutionnelle, organisationnelle et administrative. Toutefois, s’il existe plusieurs organismes d’accès aux données de santé, l’un d’entre eux devrait être désigné comme coordinateur. Si un État membre crée plusieurs organismes, il doit établir des règles au niveau national pour garantir la coordination de la participation de ces organismes au comité de l’EHDS. Dans ce cas, l’État membre doit en particulier désigner l’organisme d’accès aux données de santé qui sert de point de contact unique, permettant une participation efficace de ces organismes, afin d’assurer une coopération rapide et aisée avec les autres organismes d’accès aux données de santé, le comité de l’EHDS et la Commission. L’organisation et la taille des organismes d’accès aux données de santé peuvent varier (allant d’une organisation dédiée à part entière à une unité ou un service d’une organisation existante), mais doivent avoir les mêmes fonctions, responsabilités et capacités. Les organismes d’accès aux données de santé ne doivent pas être influencés dans leurs décisions concernant l’accès à des données électroniques à des fins d’utilisation secondaire. Toutefois, cette indépendance ne signifie pas que l’organisme d’accès aux données de santé ne peut pas être soumis à des mécanismes de contrôle ou de surveillance concernant ses dépenses financières ou à un contrôle judiciaire. Il convient que chaque organisme d’accès aux données de santé soit doté des moyens financiers et humains, ainsi que des locaux et des infrastructures nécessaires à la bonne exécution de ses missions, y compris celles qui sont liées à la coopération avec d’autres organismes d’accès aux données de santé dans l’ensemble de l’Union. Chaque organisme d’accès aux données de santé devrait disposer d’un budget annuel public propre, qui peut faire partie du budget global national ou d’une entité fédérée. Afin d’améliorer l’accès aux données de santé, en complément de l’article 7, paragraphe 3, du règlement […] du Parlement européen et du Conseil [acte sur la gouvernance des données, COM(2020) 767 final], les États membres devraient confier aux organismes d’accès aux données de santé des compétences leur permettant de prendre des décisions concernant l’accès aux données de santé et leur utilisation secondaire. Il pourrait s’agir d’attribuer de nouvelles tâches aux organismes compétents désignés par les États membres en vertu de l’article 7, paragraphe 1, du règlement […] [acte sur la gouvernance des données, COM(2020) 767 final] ou de désigner des organismes sectoriels, existants ou nouveaux, chargés de ces tâches en matière d’accès aux données de santé.

(43)Les organismes d’accès aux données de santé devraient surveiller l’application du chapitre IV du présent règlement et contribuer à son application systématique dans l’ensemble de l’Union. À cet effet, les organismes d’accès aux données de santé devraient coopérer entre eux et avec la Commission, sans qu’un accord doive être conclu entre les États membres sur la fourniture d’une assistance mutuelle ou sur la coopération. Les organismes d’accès aux données de santé devraient également coopérer avec les parties prenantes, notamment les organisations de patients. Étant donné que l’utilisation secondaire des données de santé suppose le traitement de données à caractère personnel concernant la santé, les dispositions pertinentes du règlement (UE) 2016/679 s’appliquent et les autorités de contrôle, en vertu des règlements (UE) 2016/679 et (UE) 2018/1725, devraient être chargées de faire respecter ces règles. En outre, sachant que les données de santé sont sensibles et dans un devoir de coopération loyale, les organismes d’accès aux données de santé devraient informer les autorités de protection des données de tout problème lié au traitement des données à des fins d’utilisation secondaire, y compris des sanctions. Outre les tâches nécessaires pour garantir une utilisation secondaire des données de santé efficace, les organismes d’accès aux données de santé devraient s’efforcer d’augmenter la disponibilité d’ensembles de données de santé supplémentaires, de soutenir le développement de l’IA dans le domaine de la santé et de promouvoir l’élaboration de normes communes. Ils devraient appliquer des techniques éprouvées garantissant que le traitement des données de santé électroniques préserve la confidentialité des informations contenues dans les données dont l’utilisation secondaire est autorisée, notamment les techniques de pseudonymisation, d’anonymisation, de généralisation, de suppression et de randomisation des données à caractère personnel. Les organismes d’accès aux données de santé peuvent préparer des ensembles de données en fonction des besoins des utilisateurs de données liés à l’autorisation de traitement de données délivrée. Cela inclut les règles d’anonymisation des ensembles de microdonnées.

(44)Compte tenu de la charge administrative, pour les organismes d’accès aux données de santé, que représente le fait d’informer les personnes physiques dont les données sont utilisées dans des projets liés aux données dans un environnement de traitement sécurisé, les exceptions prévues à l’article 14, paragraphe 5, du règlement (UE) 2016/679 devraient s’appliquer. Par conséquent, les organismes d’accès aux données de santé devraient fournir des informations générales concernant les conditions d’utilisation secondaire de leurs données de santé contenant les éléments d’information énumérés à l’article 14, paragraphe 1, et, lorsque cela est nécessaire pour garantir un traitement équitable et transparent, à l’article 14, paragraphe 2, du règlement (UE) 2016/679, par exemple des informations sur la finalité du traitement et les catégories de données traitées. Il convient de faire exception à cette règle lorsque les résultats de la recherche pourraient améliorer le traitement médical de la personne physique concernée. Dans ce cas, l’utilisateur de données devrait informer l’organisme d’accès aux données de santé, qui devrait à son tour informer la personne concernée ou son professionnel de santé. Les personnes physiques devraient pouvoir accéder aux résultats des différents projets de recherche sur le site web de l’organisme d’accès aux données de santé, et ce en toute facilité, idéalement. La liste des autorisations de traitement de données devrait également être publique. Afin de promouvoir la transparence de leur fonctionnement, tous les organismes d’accès aux données de santé devraient publier un rapport d’activité annuel donnant un aperçu de leurs activités.

(45)Le règlement […] [acte sur la gouvernance des données, COM(2020) 767 final] fixe les règles générales de gestion de l’altruisme des données. Toutefois, étant donné que le secteur de la santé gère des données sensibles, des critères supplémentaires devraient être établis au moyen de l’ensemble de règles prévu par le règlement […] [acte sur la gouvernance des données, COM(2020) 767 final]. Lorsqu’un tel ensemble de règles prévoit l’utilisation d’un environnement de traitement sécurisé pour ce secteur, les critères énoncés dans le présent règlement devraient être respectés. Les organismes d’accès aux données de santé devraient coopérer avec les organismes désignés en vertu du règlement […] [acte sur la gouvernance des données, COM(2020) 767 final] pour superviser l’activité des organisations altruistes en matière de données dans le secteur de la santé ou des soins.

(46)Afin de favoriser l’utilisation secondaire des données de santé électroniques, les détenteurs de données doivent s’abstenir de retenir les données, de demander des redevances injustifiées qui ne sont ni transparentes ni proportionnelles aux coûts de mise à disposition des données (et, le cas échéant, aux coûts marginaux de collecte des données), de demander aux utilisateurs de données de copublier la recherche ou d’autres pratiques qui pourraient dissuader les utilisateurs de données de demander les données. Lorsqu’une approbation éthique est nécessaire pour fournir une autorisation de traitement de données, son évaluation devrait être basée sur ses propres mérites. D’autre part, les institutions, organes et organismes de l’Union, y compris l’EMA, l’ECDC et la Commission, disposent de données très importantes et pertinentes. L’accès aux données de ces institutions, organes et organismes doit être accordé par l’intermédiaire de l’organisme d’accès aux données de santé où se trouve le responsable du traitement.

(47)Les organismes d’accès aux données de santé et les détenteurs de données uniques devraient être autorisés à percevoir des redevances sur la base des dispositions du règlement […] [acte sur la gouvernance des données, COM(2020) 767 final] en lien avec leurs tâches. Ces redevances peuvent tenir compte de la situation et des intérêts des PME, des chercheurs ou des organismes publics. Les détenteurs de données devraient être autorisés à percevoir des redevances pour la mise à disposition des données. Ces redevances doivent refléter les coûts de la prestation de ces services. Les détenteurs de données privés peuvent également percevoir des redevances pour la collecte de données. Afin de garantir une approche harmonisée concernant les politiques et la structure des redevances, la Commission peut adopter des actes d’exécution. Les dispositions de l’article 10 du règlement [règlement sur les données, COM(2022) 68 final] devraient s’appliquer aux redevances perçues en vertu du présent règlement.

(48)Afin de renforcer l’application des règles relatives à l’utilisation secondaire des données de santé électroniques, il convient de prendre des mesures appropriées pouvant conduire à des sanctions ou à des exclusions temporaires ou définitives du cadre de l’EHDS pour les utilisateurs ou les détenteurs de données qui ne respectent pas leurs obligations. L’organisme d’accès aux données de santé devrait être habilité à vérifier la conformité et à donner aux utilisateurs et aux détenteurs de données la possibilité de répondre à toute constatation et de remédier à toute infraction. L’application de sanctions devrait faire l’objet de garanties procédurales appropriées conformément aux principes généraux du droit de l’État membre concerné, y compris le droit à une protection juridictionnelle effective et à une procédure régulière.

(49)Compte tenu du caractère sensible des données de santé électroniques, il est nécessaire de réduire les risques sur la vie privée des personnes physiques en appliquant le principe de minimisation des données énoncé à l’article 5, paragraphe 1, point c), du règlement (UE) 2016/679. Par conséquent, les données de santé électroniques anonymisées et dépourvues de toute donnée à caractère personnel devraient être mises à disposition en vue d’être utilisées lorsque cela est possible et si l’utilisateur de données le demande. Si l’utilisateur de données a besoin d’utiliser des données de santé électroniques à caractère personnel, il devrait clairement indiquer dans sa demande la justification de l’utilisation de ce type de données pour l’activité de traitement des données prévue. Les données de santé électroniques à caractère personnel ne doivent être mises à disposition que sous forme pseudonymisée et la clé de cryptage ne peut être détenue que par l’organisme d’accès aux données de santé. Les utilisateurs de données ne devraient pas tenter de réidentifier des personnes physiques à partir de l’ensemble de données fourni en vertu du présent règlement, sous peine de sanctions administratives voire pénales, lorsque les législations nationales le prévoient. Toutefois, cela ne devrait pas empêcher les utilisateurs de données, dans les cas où les résultats d’un projet mené sur la base d’une autorisation de traitement de données présentent un avantage ou peuvent avoir une incidence sur la santé d’une personne physique concernée (par exemple, la découverte de traitements médicaux ou de facteurs de risque de développement d’une certaine maladie), d’informer l’organisme d’accès aux données de santé, qui à son tour informerait la ou les personnes physiques concernées. En outre, la personne qui émet une demande peut demander aux organismes d’accès aux données de santé de fournir une réponse à sa demande de données, y compris sous forme de statistiques. Dans ce cas, les utilisateurs de données ne traiteraient pas de données de santé et l’organisme d’accès aux données de santé resterait le seul responsable du traitement des données nécessaires pour fournir la réponse à la demande de données.

(50)Afin de garantir que tous les organismes d’accès aux données de santé délivrent les autorisations de manière similaire, il est nécessaire d’établir une procédure commune standard pour la délivrance des autorisations de traitement de données, avec des demandes similaires dans les différents États membres. Le demandeur doit fournir aux organismes d’accès aux données de santé plusieurs éléments d’information qui aideront l’organisme à évaluer la demande et à décider si le demandeur peut recevoir une autorisation d’utilisation secondaire des données, tout en assurant la cohérence entre les différents organismes d’accès aux données de santé. Ces informations comprennent: la base juridique prévue par le règlement (UE) 2016/679 pour demander l’accès aux données (exercice d’une mission d’intérêt public confiée par la loi ou intérêt légitime), les finalités pour lesquelles les données seraient utilisées, la description des données nécessaires et des sources de données possibles, la description des outils nécessaires pour traiter les données, ainsi que les caractéristiques de l’environnement sécurisé nécessaires. Lorsque des données sont demandées sous forme pseudonymisée, le demandeur de données devrait expliquer pourquoi ce format est nécessaire et pourquoi des données anonymes ne suffiraient pas. Une évaluation éthique peut être demandée sur la base de la législation nationale. Les organismes d’accès aux données de santé et, le cas échéant, les détenteurs de données, devraient aider les utilisateurs de données à choisir les ensembles de données ou les sources de données qui conviennent à la finalité de l’utilisation secondaire. Si le demandeur a besoin de données statistiques anonymes, il devrait soumettre une demande de données, en demandant à l’organisme d’accès aux données de santé de fournir directement le résultat. Afin de garantir une approche harmonisée entre les organismes d’accès aux données de santé, la Commission devrait soutenir l’harmonisation des demandes d’accès aux données et des demandes de données.

(51)Étant donné que les ressources des organismes d’accès aux données de santé sont limitées, ces organismes peuvent appliquer des règles de hiérarchisation des priorités, en donnant par exemple la priorité aux institutions publiques plutôt qu’aux entités privées, mais ils ne doivent faire aucune discrimination entre les organismes nationaux ou les organismes d’autres États membres faisant partie de la même catégorie de priorité. L’utilisateur de données devrait pouvoir prolonger la durée de l’autorisation de traitement de données afin, par exemple, de permettre aux réviseurs d’une publication scientifique d’accéder aux ensembles de données ou de rendre possible une analyse supplémentaire de l’ensemble de données sur la base des résultats initiaux. Cela nécessiterait une modification de l’autorisation de traitement de données et pourrait faire l’objet d’une redevance supplémentaire. Cependant, dans tous les cas, l’autorisation de traitement de données doit refléter ces utilisations supplémentaires de l’ensemble de données. De préférence, l’utilisateur de données devrait les mentionner dans sa demande initiale d’autorisation de traitement de données. Afin de garantir une approche harmonisée entre les organismes d’accès aux données de santé, la Commission devrait soutenir l’harmonisation des autorisations de traitement de données.

(52)Comme l’a montré la crise liée à la pandémie de COVID-19, les institutions, organes et organismes de l’Union, en particulier la Commission, ont besoin d’accéder aux données de santé pendant une période plus longue et de manière récurrente. Ce peut être le cas non seulement dans des circonstances spécifiques en temps de crise, mais aussi pour fournir régulièrement des preuves scientifiques et un soutien technique aux politiques de l’Union. L’accès à ces données peut être requis dans des États membres spécifiques ou dans l’ensemble du territoire de l’Union.

(53)Pour les demandes d’accès à des données de santé électroniques émanant d’un seul détenteur de données dans un seul État membre et afin d’alléger la charge administrative que représente la gestion de ces demandes pour les organismes d’accès aux données de santé, l’utilisateur de données devrait pouvoir demander ces données directement au détenteur de données et délivrer une autorisation de traitement de données tout en respectant l’ensemble des exigences et des garanties liées à cette demande et à cette autorisation. Les demandes concernant plusieurs pays et les demandes nécessitant la combinaison d’ensembles de données provenant de plusieurs détenteurs de données devraient toujours passer par l’intermédiaire des organismes d’accès aux données de santé. Le détenteur de données devrait rendre compte aux organismes d’accès aux données de santé de toutes les autorisations de traitement de données ou demandes de données qu’il fournit.

(54)Compte tenu du caractère sensible des données de santé électroniques, les utilisateurs de données ne devraient pas avoir un accès illimité à ces données. Tout accès aux données de santé électroniques demandées à des fins d’utilisation secondaire devrait se faire au moyen d’un environnement de traitement sécurisé. Afin d’assurer des garanties techniques et de sécurité solides pour les données de santé électroniques, l’organisme d’accès aux données de santé ou, le cas échéant, le détenteur de données unique devrait fournir l’accès à ces données dans un environnement de traitement sécurisé conforme aux normes techniques et de sécurité élevées définies en application du présent règlement. Certains États membres ont pris des mesures pour localiser de tels environnements sécurisés en Europe. Le traitement des données à caractère personnel dans un environnement sécurisé devrait être conforme au règlement (UE) 2016/679, y compris, lorsque l’environnement sécurisé est géré par un tiers, aux exigences de l’article 28 et, le cas échéant, du chapitre V. Cet environnement de traitement sécurisé devrait réduire les risques pour la vie privée liés à ces activités de traitement et empêcher que les données de santé électroniques soient transmises directement aux utilisateurs de données. L’organisme d’accès aux données de santé ou le détenteur de données qui fournit ce service devrait garder à tout moment le contrôle sur l’accès aux données de santé électroniques, sachant que l’accès accordé aux utilisateurs de données est déterminé par les conditions de l’autorisation de traitement de données délivrée. Seules les données de santé électroniques à caractère non personnel qui ne contiennent aucune donnée de santé électronique devraient être extraites par les utilisateurs de données de l’environnement de traitement sécurisé. Il s’agit d’une garantie essentielle pour préserver les droits et libertés des personnes physiques en ce qui concerne le traitement de leurs données de santé électroniques à des fins d’utilisation secondaire. La Commission devrait aider les États membres à élaborer des normes de sécurité communes afin de promouvoir la sécurité et l’interopérabilité des différents environnements sécurisés.

(55)Pour le traitement des données de santé électroniques dans le cadre d’une autorisation accordée, les organismes d’accès aux données de santé et les utilisateurs de données devraient être des responsables conjoints du traitement au sens de l’article 26 du règlement (UE) 2016/679, ce qui signifie que les obligations des responsables conjoints du traitement énoncées dans ledit règlement s’appliqueront. Pour soutenir les organismes d’accès aux données de santé et les utilisateurs de données, la Commission devrait, au moyen d’un acte d’exécution, fournir un modèle pour les accords que devront conclure les organismes d’accès aux données de santé et les utilisateurs de données en tant que responsables du traitement conjoints. Afin de mettre en place un cadre inclusif et durable pour l’utilisation secondaire plurinationale des données de santé électroniques, une infrastructure transfrontière devrait être établie. DonnéesDeSanté@UE (HealthData@EU) devrait accélérer l’utilisation secondaire des données de santé électroniques tout en renforçant la sécurité juridique, en respectant la vie privée des personnes physiques et en garantissant l’interopérabilité. En raison du caractère sensible des données de santé, des principes tels que la «prise en compte du respect de la vie privée dès la conception» et le fait de «poser des questions sur les données au lieu de déplacer les données» devraient être respectés dans la mesure du possible. Les participants autorisés à DonnéesDeSanté@UE (HealthData@EU) pourraient être des organismes d’accès aux données de santé, des infrastructures de recherche établies en tant que Consortium pour une infrastructure européenne de recherche (ERIC) en vertu du règlement (CE) nº 723/2009 50 du Conseil ou des structures similaires établies au titre d’une autre législation de l’Union, ainsi que d’autres types d’entités, y compris des infrastructures relevant du forum stratégique européen pour les infrastructures de recherche (ESFRI) ou des infrastructures fédérées dans le cadre du nuage européen pour la science ouverte (EOSC). Les autres participants autorisés devraient obtenir l’approbation du groupe de responsabilité conjointe du traitement pour adhérer à DonnéesDeSanté@UE (HealthData@EU). D’autre part, DonnéesDeSanté@UE (HealthData@EU)devrait permettre l’utilisation secondaire de différentes catégories de données de santé électroniques, y compris la mise en relation des données de santé avec des données provenant d’autres espaces de données tels que l’environnement, l’agriculture, le domaine social, etc. La Commission pourrait fournir un certain nombre de services dans le cadre de DonnéesDeSanté@UE (HealthData@EU), dont l’échange d’informations entre les organismes d’accès aux données de santé et les participants autorisés pour la gestion des demandes d’accès transfrontière, la mise à disposition de catalogues de données de santé électroniques par l’intermédiaire de l’infrastructure, l’identification du réseau et l’interrogation des métadonnées, ainsi que des services de connectivité et de conformité. La Commission pourrait également mettre en place un environnement sécurisé, permettant la transmission et l’analyse de données provenant de différentes infrastructures nationales, à la demande des responsables du traitement. La stratégie numérique de la Commission favorise la mise en relation des différents espaces européens communs des données. En ce qui concerne le secteur de la santé, l’interopérabilité avec des secteurs tels que les secteurs environnemental, social et agricole peut être utile pour obtenir des informations supplémentaires sur les déterminants de la santé. Dans un souci d’efficacité informatique, de rationalisation et d’interopérabilité des échanges de données, les systèmes existants de partage de données devraient être réutilisés autant que possible, comme ceux en cours de construction pour l’échange de justificatifs dans le cadre du système technique du règlement (UE) 2018/1724 du Parlement européen et du Conseil 51 .

(56)Dans le cas de registres ou de bases de données transfrontières, tels que les registres des réseaux européens de référence pour les maladies rares, qui reçoivent des données provenant de différents prestataires de soins de santé dans plusieurs États membres, l’organisme d’accès aux données de santé où se trouve le coordinateur du registre devrait être chargé de fournir l’accès aux données.

(57)La procédure d’autorisation pour accéder aux données de santé à caractère personnel dans différents États membres peut être répétitive et lourde pour les utilisateurs de données. Dans la mesure du possible, il conviendrait d’établir des synergies afin de réduire la charge et les obstacles pour les utilisateurs de données. L’un des moyens d’atteindre cet objectif consiste à adopter le principe de la «demande unique»: avec une seule demande, l’utilisateur de données obtient l’autorisation de plusieurs organismes d’accès aux données de santé dans différents États membres.

(58)Les organismes d’accès aux données de santé devraient fournir des informations sur les ensembles de données disponibles et leurs caractéristiques afin que les utilisateurs de données puissent être informés des faits élémentaires concernant ces ensembles de données et évaluer leur pertinence éventuelle pour eux. C’est pourquoi chaque ensemble de données devrait inclure, au minimum, des informations concernant la source et la nature des données ainsi que les conditions de leur mise à disposition. Par conséquent, il convient d’établir un catalogue des ensembles de données de l’UE pour faciliter l’identification des ensembles de données disponibles dans l’EHDS; pour aider les détenteurs de données à publier leurs ensembles de données; pour fournir à toutes les parties prenantes, y compris au grand public — en tenant également compte des personnes handicapées — des informations sur les ensembles de données placés dans l’EHDS (tels que les étiquettes de qualité et d’utilité des données ou les fiches d’informations relatives à un ensemble de données); et pour fournir aux utilisateurs de données des informations actualisées sur la qualité et l’utilité des données concernant les ensembles de données.

(59)Les informations sur la qualité et l’utilité des ensembles de données augmentent considérablement la valeur des résultats de recherches et d’innovations faisant un usage intensif de données, tout en favorisant la prise de décisions réglementaires et politiques fondées sur des données scientifiquement validées. L’amélioration de la qualité et de l’utilité des ensembles de données grâce au choix éclairé des clients et l’harmonisation des exigences connexes au niveau de l’Union, en tenant compte des normes, des lignes directrices et des recommandations existantes aux niveaux européen et international en matière de collecte et d’échange de données (notamment les principes FAIR: faciles à trouver, accessibles, interopérables et réutilisables), profite également aux détenteurs de données, aux professionnels de la santé, aux personnes physiques et à l’économie de l’Union en général. Une étiquette de qualité et d’utilité des données pour les ensembles de données informerait les utilisateurs de données sur les caractéristiques de qualité et d’utilité d’un ensemble de données et leur permettrait de choisir les ensembles de données qui répondent le mieux à leurs besoins. L’étiquette de qualité et d’utilité des données ne devrait pas empêcher les ensembles de données d’être mis à disposition via l’EHDS, mais devrait assurer la transparence entre les détenteurs de données et les utilisateurs de données. Par exemple, un ensemble de données qui ne répond à aucune exigence en matière de qualité et d’utilité des données devrait porter l’étiquette de la catégorie de qualité et d’utilité la plus faible, mais devrait malgré tout être mis à disposition. Les attentes définies dans les cadres décrits à l’article 10 du règlement […] [législation sur l’intelligence artificielle, COM(2021) 206 final] et la documentation correspondante spécifiée à l’annexe IV devraient être prises en considération lors de l’élaboration du cadre de qualité et d’utilité des données. Les États membres devraient faire connaître l’étiquette de qualité et d’utilité des données au moyen d’activités de communication. La Commission pourrait soutenir ces activités.

(60)Le catalogue européen des ensembles de données devrait minimiser la charge administrative pour les détenteurs de données et les utilisateurs d’autres bases de données; être convivial, accessible et rentable; relier les catalogues de données nationaux; et éviter l’enregistrement redondant des ensembles de données. Le catalogue européen des ensembles de données pourrait s’aligner sur l’initiative data.europa.eu, sans préjudice des exigences énoncées dans le règlement […] [acte sur la gouvernance des données, COM(2020) 767 final]. Les États membres devraient veiller à ce que les catalogues de données nationaux soient interopérables avec les catalogues d’ensembles de données existants dans les infrastructures de recherche européennes et d’autres infrastructures de partage de données pertinentes.

(61)Des efforts de coopération et des travaux sont en cours entre différentes organisations professionnelles, la Commission et d’autres institutions en vue de définir des champs minimaux de données et d’autres caractéristiques de différents ensembles de données (par exemple, les registres). Ces travaux sont plus avancés dans des domaines tels que le cancer, les maladies rares et les statistiques et devraient être pris en considération lors de la définition de nouvelles normes. Cependant, de nombreux ensembles de données ne sont pas harmonisés, ce qui pose des problèmes de comparabilité et complique la recherche transfrontière. Par conséquent, des règles plus détaillées devraient être définies dans les actes d’exécution afin de garantir l’harmonisation de la fourniture, du codage et de l’enregistrement des données de santé électroniques. Les États membres devraient œuvrer à la mise en place de services et de systèmes de santé électroniques européens offrant des avantages économiques et sociaux durables ainsi que des applications interopérables, de manière à atteindre un niveau élevé de confiance et de sécurité, à renforcer la continuité des soins et à garantir l’accès à des soins de santé de haute qualité et sûrs.

(62)La Commission devrait aider les États membres à renforcer leurs capacités et leur efficacité dans le domaine des systèmes de santé numériques pour l’utilisation primaire et secondaire des données de santé électroniques. Les États membres devraient être soutenus en vue de renforcer leurs capacités. Les activités menées au niveau de l’Union, telles que les analyses comparatives et l’échange de bonnes pratiques, constituent des mesures pertinentes à cet égard.

(63)L’utilisation des fonds devrait également contribuer à la réalisation des objectifs de l’EHDS. Les acheteurs publics, les autorités nationales compétentes des États membres, y compris les autorités de santé numérique et les organismes d’accès aux données de santé, ainsi que la Commission, devraient faire référence aux spécifications techniques, normes et profils applicables en matière d’interopérabilité, de sécurité et de qualité des données, ainsi qu’aux autres exigences élaborées au titre du présent règlement lorsqu’ils définissent les conditions des marchés publics, des appels à propositions et de l’attribution des fonds de l’Union, y compris les fonds structurels et de cohésion.

(64)Certaines catégories de données de santé électroniques peuvent rester particulièrement sensibles même lorsqu’elles sont anonymisées et donc non personnelles, comme le prévoit déjà spécifiquement l’acte sur la gouvernance des données. Même en cas d’utilisation de techniques d’anonymisation de pointe, il subsiste un risque résiduel que la capacité de réidentification soit ou devienne disponible, au-delà des moyens raisonnablement susceptibles d’être utilisés. Ce risque résiduel est présent en ce qui concerne les maladies rares (affections entraînant une menace pour la vie ou une invalidité chronique ne touchant pas plus de cinq personnes sur dix mille dans l’Union), pour lesquelles le nombre limité de cas réduit la possibilité d’agréger intégralement les données publiées afin de préserver la vie privée des personnes physiques tout en maintenant un niveau de granularité approprié afin de rester significatif. Cela peut avoir une incidence sur différents types de données de santé en fonction du niveau de granularité et de la description des caractéristiques des personnes concernées, du nombre de personnes touchées ou, par exemple, dans le cas de données figurant dans les dossiers médicaux électroniques, les registres de maladies, les biobanques, les données générées par les personnes, etc., lorsque les caractéristiques d’identification sont plus larges et lorsque, en combinaison avec d’autres informations (dans des zones géographiques très limitées, etc.) ou en raison de l’évolution technologique de méthodes qui n’étaient pas disponibles au moment de l’anonymisation, cela peut conduire à la réidentification des personnes concernées à l’aide de moyens qui vont au-delà de ceux qui sont raisonnablement susceptibles d’être utilisés. La matérialisation de ce risque de réidentification de personnes physiques susciterait une préoccupation majeure et risquerait de compromettre l’acceptation de la politique et des règles relatives à l’utilisation secondaire prévues par le présent règlement. En outre, les techniques d’agrégation sont moins éprouvées pour les données à caractère non personnel contenant par exemple des secrets d’affaires, comme dans le cadre de la notification d’essais cliniques, et, en l’absence d’une norme internationale de protection suffisante, il est plus difficile de réprimer les infractions aux secrets d’affaires en dehors de l’Union. Par conséquent, pour ces types de données de santé, il subsiste un risque de réidentification après l’anonymisation ou l’agrégation, qui ne pouvait pas être raisonnablement limité au départ. Cela relève des critères énoncés à l’article 5, paragraphe 13, du règlement [...] [acte sur la gouvernance des données, COM(2020) 767 final]. Ces types de données de santé relèveraient donc de l’habilitation prévue à l’article 5, paragraphe 13, du règlement [...] [acte sur la gouvernance des données, COM(2020) 767 final] pour le transfert vers des pays tiers. Les mesures de protection, proportionnées au risque de réidentification, devraient tenir compte des spécificités des différentes catégories de données ou des différentes techniques d’anonymisation ou d’agrégation et seront détaillées dans le contexte de l’acte délégué au titre de l’habilitation prévue à l’article 5, paragraphe 13, du règlement [...] [acte sur la gouvernance des données, COM(2020) 767 final].

(65)Afin de promouvoir l’application cohérente du présent règlement, un comité de l’espace européen des données de santé (comité de l’EHDS) devrait être mis en place. La Commission devrait participer à ses activités et le présider. L’objectif est l’application cohérente du présent règlement dans l’ensemble de l’Union, notamment en aidant les États membres à coordonner l’utilisation des données de santé électroniques pour les soins, la certification, mais aussi concernant l’utilisation secondaire des données de santé électroniques. Au niveau national, les autorités de santé numérique qui s’occupent de l’utilisation primaire des données de santé électroniques peuvent être différentes des organismes d’accès aux données de santé qui s’occupent de l’utilisation secondaire des données de santé électroniques. Ces fonctions sont différentes et il est nécessaire de coopérer de manière distincte dans chacun de ces domaines. Le comité de l’EHDS devrait pouvoir créer des sous-groupes chargés de ces deux fonctions, ainsi que d’autres sous-groupes, selon les besoins. Pour travailler efficacement, les autorités de santé numérique et les organismes d’accès aux données de santé devraient créer des réseaux et des liens au niveau national avec différents autres organismes et autorités, mais aussi au niveau de l’Union. Ces organismes pourraient comprendre les autorités de protection des données, les organes de cybersécurité ou d’identification électronique, les organismes de normalisation, ainsi que les organes et groupes d’experts relevant des règlements […], […], […] et […] [acte sur la gouvernance des données, règlement sur les données, législation sur l’intelligence artificielle et règlement sur la cybersécurité].

(66)Afin de gérer les infrastructures transfrontières pour l’utilisation primaire et secondaire des données de santé électroniques, il est nécessaire de créer un groupe de responsabilité conjointe du traitement pour les participants autorisés (par exemple pour garantir la conformité avec les règles de protection des données et avec le présent règlement concernant les opérations de traitement effectuées dans ces infrastructures).

(67)État donné que les objectifs du présent règlement — à savoir conférer aux personnes physiques un meilleur contrôle de leurs données de santé à caractère personnel et soutenir la libre circulation de ces données de santé en garantissant qu’elles suivent les personnes physiques; favoriser un véritable marché unique des services et produits de santé numérique; garantir un cadre cohérent et efficace pour la réutilisation des données de santé des personnes physiques à des fins de recherche, d’innovation, d’élaboration de politiques et d’activités réglementaires — ne peuvent pas être atteints de manière suffisante par les États membres uniquement au moyen de mesures de coordination, comme le montre l’évaluation des aspects numériques de la directive 2011/24/UE, mais peuvent, en raison de mesures d’harmonisation relatives aux droits des personnes physiques concernant leurs données de santé électroniques, à l’interopérabilité des données de santé électroniques et à un cadre et des garanties communs pour l’utilisation primaire et secondaire des données de santé électroniques, être mieux atteints au niveau de l’Union, l’Union pourrait prendre des mesures, conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité tel qu’énoncé audit article, le présent règlement n’excède pas ce qui est nécessaire pour atteindre ces objectifs.

(68)Pour garantir que l’EHDS atteigne ses objectifs, l’adoption d’actes conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne devrait être une compétence déléguée à la Commission en ce qui concerne les différentes dispositions relatives à l’utilisation primaire et secondaire des données de santé électroniques. Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris à l’échelon des experts, et que ces consultations soient menées conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016 «Mieux légiférer» 52 . En particulier, afin d’assurer une participation égale à la préparation des actes délégués, le Parlement européen et le Conseil reçoivent tous les documents en même temps que les experts des États membres, et leurs experts ont systématiquement accès aux réunions des groupes d’experts de la Commission participant à la préparation des actes délégués.

(69)Afin d’assurer des conditions uniformes d’exécution du présent règlement, il convient de conférer des compétences d’exécution à la Commission. Ces compétences devraient être exercées en conformité avec le règlement (UE) nº 182/2011 du Parlement européen et du Conseil 53 .

(70)Les États membres devraient prendre toutes les mesures nécessaires pour que les dispositions du présent règlement soient mises en œuvre et, notamment, prévoir des sanctions effectives, proportionnées et dissuasives en cas de violation de ces dispositions. Pour certaines infractions spécifiques, les États membres devraient tenir compte des marges et des critères définis dans le présent règlement.

(71)Afin de déterminer si le présent règlement atteint ses objectifs de manière effective et efficace, s’il est cohérent et toujours pertinent et s’il apporte une valeur ajoutée au niveau de l’Union, la Commission devrait procéder à une évaluation du présent règlement. La Commission devrait procéder à une évaluation partielle du présent règlement 5 ans après son entrée en vigueur, sur l’autocertification des systèmes de DME, et à une évaluation globale du présent règlement 7 ans après son entrée en vigueur. La Commission devrait transmettre des rapports sur ses principales constatations à la suite de chaque évaluation au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions.

(72)Pour une mise en œuvre transfrontière réussie de l’EHDS, le cadre d’interopérabilité européen 54 destiné à garantir l’interopérabilité juridique, organisationnelle, sémantique et technique devrait être considéré comme une référence commune.

(73)Il ressort de l’évaluation des aspects numériques de la directive 2011/24/UE que l’efficacité du réseau «Santé en ligne» est limitée, mais aussi que les initiatives de l’UE dans ce domaine ont un fort potentiel, comme l’a montré le travail effectué pendant la pandémie. Par conséquent, l’article 14 de la directive sera abrogé et remplacé par le règlement actuel, et la directive sera modifiée en conséquence.

(74)Le Contrôleur européen de la protection des données et le comité européen de la protection des données ont été consultés conformément à l’article 42 du règlement (UE) 2018/1725 et ont rendu un avis le […].

(75)Le présent règlement ne devrait pas avoir d’incidence sur l’application des règles de concurrence, en particulier les articles 101 et 102 du traité. Les mesures prévues par le présent règlement ne devraient pas être utilisées pour restreindre la concurrence d’une manière qui soit contraire au traité.

(76)Compte tenu de la nécessité d’une préparation technique, le présent règlement devrait être applicable à partir de la date correspondant à [12 mois après son entrée en vigueur],

ONT ADOPTÉ LE PRÉSENT RÈGLEMENT:

Chapitre I

Dispositions générales

Article 1

Objet et champ d’application

1.En prévoyant des règles, des normes et pratiques communes, des infrastructures et un cadre de gouvernance pour l’utilisation primaire et secondaire des données de santé électroniques, le présent règlement établit l’espace européen des données de santé (ci-après l’«EHDS»).

2.Le présent règlement:

a)renforce les droits des personnes physiques en ce qui concerne la disponibilité et le contrôle de leurs données de santé électroniques;

b)établit des règles pour la mise sur le marché, la mise à disposition sur le marché ou la mise en service de systèmes de dossiers médicaux électroniques (ci-après les «systèmes de DME») dans l’Union.

c)crée des règles et des mécanismes accompagnant l’utilisation secondaire des données de santé électroniques;

d)met en place une infrastructure transfrontière obligatoire permettant l’utilisation primaire des données de santé électroniques dans l’ensemble de l’Union;

e)met en place une infrastructure transfrontière obligatoire pour l’utilisation secondaire des données de santé électroniques.

3.Le présent règlement s’applique:

a)aux fabricants et fournisseurs de systèmes de DME et d’applications de bien-être mis sur le marché et mis en service dans l’Union, ainsi qu’aux utilisateurs de ces produits;

b)aux responsables du traitement et aux sous-traitants établis dans l’Union qui traitent des données de santé électroniques de citoyens de l’Union et de ressortissants de pays tiers en séjour régulier sur le territoire des États membres;

c)aux responsables du traitement et aux sous-traitants établis dans un pays tiers qui sont connectés à MaSanté@UE (MyHealth@EU) ou qui travaillent de manière interopérable avec cette infrastructure, conformément à l’article 12, paragraphe 5;

d)aux utilisateurs de données auxquels les données de santé électroniques sont mises à disposition par les détenteurs de données dans l’Union.

4.Le présent règlement s’applique sans préjudice d’autres actes juridiques de l’Union concernant l’accès aux données de santé électroniques, leur partage ou leur utilisation secondaire, ou des exigences concernant le traitement des données de santé électroniques, en particulier des règlements (UE) 2016/679, (UE) 2018/1725, [...] [acte sur la gouvernance des données, COM(2020) 767 final] et [...] [règlement sur les données, COM(2022) 68 final].

5.Le présent règlement s’applique sans préjudice des règlements (UE) 2017/745 et [...] [législation sur l’intelligence artificielle, COM(2021) 206 final], en ce qui concerne la sécurité des dispositifs médicaux et des systèmes d’IA qui interagissent avec les systèmes de DME.

6.Le présent règlement n’a pas d’incidence sur les droits et obligations prévus par le droit de l’Union ou le droit national en ce qui concerne le traitement des données aux fins de la notification, de la réponse aux demandes d’information ou de la démonstration ou vérification du respect des obligations légales.

Article 2

Définitions

1.Aux fins du présent règlement, les définitions suivantes s’appliquent:

a)les définitions du règlement (UE) 2016/679;

b)les définitions des termes «soins de santé», «État membre d’affiliation», «État membre de traitement», «professionnel de la santé», «prestataire de soins de santé», «médicament» et «prescription» figurant à l’article 3, points a), c), d), f), g), i) et k), de la directive 2011/24/UE;

c)les définitions des termes «données», «accès», «altruisme en matière de données», «organisme du secteur public» et «environnement de traitement sécurisé» figurant à l’article 2, points 1), 8), 10), 11) et 14) de [l’acte sur la gouvernance des données, COM(2020) 767 final];

d)les définitions des termes «mise à disposition sur le marché», «mise sur le marché», «surveillance du marché», «autorité de surveillance du marché», «non-conformité», «fabricant», «importateur», «distributeur», «opérateur économique», «mesure corrective», «risque», «rappel» et «retrait» figurant à l’article 3, points 1, 2), 3), 4), 7), 8), 9), 10), 13), 16), 18), 22) et 23), du règlement (UE) 2019/1020;

e)les définitions des termes «dispositif médical», «destination», «notice d’utilisation», «performances», «établissement de santé» et «spécifications communes» figurant à l’article 2, points 1), 12), 14), 22), 36) et 71), du règlement (UE) 2017/745;

f)les définitions des termes «identification électronique», «moyen d’identification électronique» et «données d’identification personnelle» figurant à l’article 3, points 1), 2) et 3), du règlement (UE) nº 910/2014.

2.En outre, aux fins du présent règlement, on entend par:

a)«données de santé électroniques à caractère personnel», les données concernant la santé et les données génétiques telles que définies dans le règlement (UE) 2016/679, ainsi que les données se rapportant aux déterminants de la santé, ou les données traitées dans le cadre de la prestation de services de soins de santé, qui existent sous forme électronique;

b)«données de santé électroniques à caractère non personnel», les données concernant la santé et les données génétiques sous forme électronique qui ne répondent pas à la définition des données à caractère personnel énoncée à l’article 4, point 1, du règlement (UE) 2016/679;

c)«données de santé électroniques», les données de santé électroniques à caractère personnel ou non personnel;

d)«utilisation primaire des données de santé électroniques», le traitement de données de santé électroniques à caractère personnel pour la fourniture de services de santé visant à évaluer, maintenir ou rétablir l’état de santé de la personne physique à laquelle ces données se rapportent, y compris la prescription, la dispensation et la fourniture de médicaments et de dispositifs médicaux, ainsi que pour les services de sécurité sociale, administratifs ou de remboursement pertinents;

e)«utilisation secondaire des données de santé électroniques», le traitement de données de santé électroniques aux fins énoncées au chapitre IV du présent règlement. Les données utilisées peuvent inclure des données de santé électroniques à caractère personnel initialement collectées dans le cadre d’une utilisation primaire, mais aussi des données de santé électroniques collectées à des fins d’utilisation secondaire;

f)«interopérabilité», la capacité d’organisations ainsi que d’applications logicielles ou de dispositifs du même fabricant ou de fabricants différents à interagir en vue d’atteindre des objectifs mutuellement bénéfiques, ce qui comprend l’échange d’informations et de connaissances entre ces organisations, applications logicielles ou dispositifs sans modifier le contenu des données, au moyen des processus qu’ils prennent en charge;

g)«format européen d’échange des dossiers médicaux électroniques», un format structuré, couramment utilisé et lisible par machine qui permet la transmission de données de santé électroniques à caractère personnel entre différents dispositifs, applications logicielles et prestataires de soins de santé;

h)«enregistrement des données de santé électroniques», l’enregistrement de données de santé dans un format électronique par saisie manuelle, par collecte au moyen d’un dispositif ou par conversion dans un format électronique de données de santé non électroniques à traiter dans un système de DME ou une application de bien-être;

i)«service d’accès aux données de santé électroniques», un service en ligne, tel qu’un portail ou une application mobile, qui permet aux personnes physiques n’agissant pas dans l’exercice de leurs fonctions professionnelles d’accéder à leurs propres données de santé électroniques ou aux données de santé électroniques d’autres personnes physiques auxquelles elles sont légalement autorisées à accéder;

j)«service d’accès des professionnels de la santé», un service qui, accompagné par un système de DME, permet aux professionnels de la santé d’accéder aux données de leurs patients personnes physiques;

k)«destinataire de données», une personne physique ou morale qui reçoit des données d’un autre responsable du traitement dans le cadre de l’utilisation primaire de données de santé électroniques;

l)«télémédecine», la fourniture de services de soins de santé, y compris de soins à distance et de pharmacies en ligne, au moyen des technologies de l’information et de la communication, dans des situations où le professionnel de la santé et le patient (ou plusieurs professionnels de la santé) ne se trouvent pas au même endroit;

m)«DME» (dossier médical électronique), un ensemble de données de santé électroniques relatives à une personne physique collectées dans le système de santé et traitées à des fins de soins de santé;

n)«système de DME» (système de dossiers médicaux électroniques), tout appareil ou logiciel destiné par son fabricant à être utilisé pour le stockage, l’intermédiation, l’importation, l’exportation, la conversion, l’édition ou la consultation des dossiers médicaux électroniques;

o)«application de bien-être», tout appareil ou logiciel destiné par son fabricant à être utilisé par une personne physique pour le traitement de données de santé électroniques à d’autres fins que les soins de santé, par exemple à des fins de bien-être ou de poursuite de modes de vie sains;

p)«marquage de conformité CE», un marquage par lequel le fabricant indique qu’un système de DME est conforme aux dispositions applicables du présent règlement et des autres actes législatifs de l’Union qui en prévoient l’apposition;

q)«incident grave», tout dysfonctionnement ou toute détérioration des caractéristiques ou des performances d’un système de DME mis à disposition sur le marché qui entraîne, pourrait avoir entraîné ou pourrait entraîner, directement ou indirectement:

i)le décès d’une personne physique ou des dommages graves à la santé d’une personne physique;

ii)une perturbation grave de la gestion et de l’exploitation d’infrastructures critiques dans le secteur de la santé;

r)«point de contact national pour la santé numérique», un portail organisationnel et technique pour la fourniture de services transfrontières d’informations numériques sur la santé en vue d’une utilisation primaire des données de santé électroniques, sous la responsabilité des États membres;

s)«plateforme centrale pour la santé numérique», une plateforme d’interopérabilité fournissant des services visant à soutenir et à faciliter l’échange de données de santé électroniques entre les points de contact nationaux pour la santé numérique;

t)«MaSanté@UE (MyHealth@EU)», l’infrastructure transfrontière pour l’utilisation primaire des données de santé électroniques, constituée par la combinaison des points de contact nationaux pour la santé numérique et de la plateforme centrale pour la santé numérique;

u)«point de contact national pour l’utilisation secondaire des données de santé électroniques», un portail organisationnel et technique permettant l’utilisation secondaire de données de santé électroniques par-delà les frontières, sous la responsabilité des États membres;

v)«plateforme centrale pour l’utilisation secondaire des données de santé électroniques», une plateforme d’interopérabilité créée par la Commission, qui fournit des services visant à soutenir et à faciliter l’échange d’informations entre les points de contact nationaux pour l’utilisation secondaire des données de santé électroniques;

x)«DonnéesDeSanté@UE (HealthData@EU)», l’infrastructure mettant en relation les points de contact nationaux pour l’utilisation secondaire des données de santé électroniques et la plateforme centrale;

y)«détenteur de données», toute personne physique ou morale qui est une entité ou un organisme du secteur de la santé ou des soins ou qui effectue des recherches dans ces secteurs, ainsi que les institutions, organes et organismes de l’Union qui ont le droit ou l’obligation, conformément au présent règlement, au droit de l’Union applicable ou à la législation nationale le mettant en œuvre, ou, dans le cas de données à caractère non personnel, par le contrôle de la conception technique d’un produit et de services liés, la capacité de mettre à disposition certaines données, y compris de les enregistrer, de les fournir, d’en restreindre l’accès ou de les échanger;

(z)«utilisateur de données», une personne physique ou morale qui dispose d’un accès licite aux données de santé électroniques à caractère personnel ou non personnel à des fins d’utilisation secondaire;

aa)«autorisation de traitement de données», une décision administrative délivrée par un organisme responsable de l’accès aux données de santé ou par un détenteur de données à un utilisateur de données, lui donnant le droit de traiter les données de santé électroniques indiquées dans l’autorisation aux fins des utilisations secondaires précisées dans ladite autorisation, sur la base des conditions énoncées dans le présent règlement;

ab)«ensemble de données», une collection structurée de données de santé électroniques;

ac)«catalogue des ensembles de données», une collection de descriptions d’ensembles de données, organisée de manière systématique et composée d’une partie publique orientée vers l’utilisateur, où les informations concernant les paramètres des ensembles de données individuels sont accessibles par voie électronique par l’intermédiaire d’un portail en ligne;

ad)«qualité des données», la mesure dans laquelle les caractéristiques des données de santé électroniques conviennent à une utilisation secondaire;

ae)«étiquette de qualité et d’utilité des données», un diagramme graphique comprenant une échelle et décrivant la qualité des données et les conditions d’utilisation d’un ensemble de données.

Chapitre II

Utilisation primaire des données de santé électroniques

Section 1

Accès aux données de santé électroniques à caractère personnel et transmission de ces données à des fins d’utilisation primaire

Article 3

Droits des personnes physiques en ce qui concerne l’utilisation primaire de leurs données de santé électroniques à caractère personnel

1.Les personnes physiques ont le droit d’accéder, immédiatement, gratuitement et dans un format facilement lisible, consolidé et accessible, à leurs données de santé électroniques à caractère personnel traitées dans le cadre de l’utilisation primaire des données de santé électroniques.

2.Les personnes physiques ont le droit de recevoir, dans le format européen d’échange des dossiers médicaux électroniques prévu à l’article 6, une copie électronique d’au moins leurs données de santé électroniques relevant des catégories prioritaires énumérées à l’article 5.

3.Conformément à l’article 23 du règlement (UE) 2016/679, les États membres peuvent limiter la portée de ce droit chaque fois que cela est nécessaire à la protection de la personne physique sur la base de la sécurité des patients et de la déontologie, en retardant l’accès de ladite personne à ses données de santé électroniques à caractère personnel pendant une période limitée, jusqu’à ce qu’un professionnel de la santé puisse lui communiquer de manière adéquate des informations susceptibles d’avoir une incidence significative sur sa santé et lui donner des explications appropriées sur ces informations.

4.Lorsque les données de santé à caractère personnel n’ont pas été enregistrées par voie électronique avant l’application du présent règlement, les États membres peuvent exiger qu’elles soient mises à disposition sous forme électronique en vertu du présent article, ce qui n’a pas d’incidence sur l’obligation de mettre à disposition sous format électronique, en vertu du présent article, les données de santé électroniques à caractère personnel enregistrées après l’application du présent règlement.

5.Les États membres:

a)mettent en place, à l’échelon national, régional ou local, un ou plusieurs services d’accès aux données de santé électroniques permettant l’exercice des droits prévus aux paragraphes 1 et 2;

b)mettent en place un ou plusieurs services de procuration permettant à une personne physique d’autoriser d’autres personnes physiques de son choix à accéder à ses données de santé électroniques en son nom.

Les services de procuration fournissent des autorisations gratuitement, par voie électronique ou sur papier. Ils permettent aux tuteurs ou aux autres représentants d’être autorisés, soit automatiquement, soit sur demande, à accéder aux données de santé électroniques des personnes physiques dont ils gèrent les affaires. Les États membres peuvent prévoir que les autorisations ne s’appliquent pas chaque fois que cela est nécessaire pour des raisons liées à la protection de la personne physique, notamment sur la base de la sécurité des patients et de la déontologie. Les services de procuration sont interopérables d’un État membre à l’autre.

6.Les personnes physiques peuvent ajouter des données de santé électroniques dans leur propre DME ou dans celui des personnes physiques dont elles peuvent consulter les informations de santé, au moyen des services d’accès aux données de santé électroniques ou d’applications liées à ces services. Ces informations sont signalées comme ajoutées par la personne physique ou par son représentant.

7.Les États membres veillent à ce que, lorsqu’elles exercent le droit à la rectification prévu à l’article 16 du règlement (UE) 2016/679, les personnes physiques puissent facilement demander la rectification de données en ligne, au moyen des services d’accès aux données de santé électroniques prévus au paragraphe 5, point a), du présent article.

8.Les personnes physiques ont le droit de donner l’accès à leurs données de santé électroniques à un destinataire de données de leur choix du secteur de la santé ou de la sécurité sociale, ou de demander à un détenteur de données de les transmettre à un destinataire de données de leur choix du secteur de la santé ou de la sécurité sociale, immédiatement, gratuitement et sans que le détenteur de données ou les fabricants des systèmes utilisés par celui-ci ne puissent entraver cette demande de quelque manière que ce soit.

Lorsque le détenteur de données et le destinataire de données sont situés dans des États membres différents et que ces données de santé électroniques appartiennent aux catégories énumérées à l’article 5, les personnes physiques ont droit à ce que le détenteur de données transmette les données dans le format européen d’échange des dossiers médicaux électroniques prévu à l’article 6 et à ce que le destinataire des données les lise et les accepte.

Par dérogation à l’article 9 du règlement [...] [règlement sur les données, COM(2022) 68 final], le destinataire de données n’est pas tenu d’indemniser le détenteur de données pour la mise à disposition de données de santé électroniques.

Lorsque des données de santé électroniques à caractère personnel de catégories prioritaires énumérées à l’article 5 sont transmises ou mises à disposition par la personne physique dans le format européen d’échange des dossiers médicaux électroniques visé à l’article 6, la personne physique a le droit à ce que ces données soient lues et acceptées par d’autres prestataires de soins de santé.

9.Nonobstant l’article 6, paragraphe 1, point d), du règlement (UE) 2016/679, les personnes physiques ont le droit de limiter l’accès des professionnels de la santé à tout ou partie de leurs données de santé électroniques. Les États membres établissent les règles et les garanties spécifiques concernant ces mécanismes de restriction.

10.Les personnes physiques ont le droit d’obtenir des informations quant aux prestataires de soins de santé et aux professionnels de la santé qui ont eu accès à leurs données de santé électroniques dans le cadre de soins de santé. Les informations sont fournies immédiatement et gratuitement au moyen des services d’accès aux données de santé électroniques.

11.La ou les autorités de contrôle chargées du suivi de l’application du règlement (UE) 2016/679 sont également chargées de suivre l’application du présent article, conformément aux dispositions pertinentes des chapitres VI, VII et VIII du règlement (UE) 2016/679. Elles sont compétentes pour infliger des amendes administratives à concurrence du montant prévu à l’article 83, paragraphe 5, dudit règlement. Lorsque cela se justifie, elles coopèrent avec les autorités de santé numérique prévues à l’article 10 du présent règlement aux fins de l’application du présent règlement, dans le cadre de leurs compétences respectives.

12.La Commission détermine, au moyen d’actes d’exécution, les exigences concernant la mise en œuvre technique des droits énoncés dans le présent article. Ces actes d’exécution sont adoptés en conformité avec la procédure consultative mentionnée à l’article 68, paragraphe 2.

Article 4

Accès des professionnels de la santé aux données de santé électroniques à caractère personnel

1.Lorsqu’ils traitent des données au format électronique, les professionnels de la santé:

a)ont accès aux données de santé électroniques de leurs patients personnes physiques, quels que soient l’État membre d’affiliation et l’État membre de traitement;

b)veillent à ce que les données de santé électroniques à caractère personnel de leurs patients personnes physiques soient mises à jour à l’aide d’informations relatives aux services de santé fournis.

2.Conformément au principe de minimisation des données prévu par le règlement (UE) 2016/679, les États membres peuvent établir des règles prévoyant les catégories de données de santé électroniques à caractère personnel qui peuvent être requises par les différentes professions de santé. Ces règles ne sont pas fondées sur la source des données de santé électroniques.

3.Les États membres veillent à ce que l’accès au moins aux données de santé électroniques des catégories prioritaires énumérées à l’article 5 soit accordé aux professionnels de la santé au moyen des services d’accès des professionnels de la santé. Les professionnels de la santé qui sont en possession de moyens d’identification électronique reconnus ont le droit d’utiliser gratuitement ces services d’accès des professionnels de la santé.

4.Lorsque l’accès aux données de santé électroniques a été limité par la personne physique, les prestataires de soins de santé ou les professionnels de la santé ne sont pas informés du contenu des données de santé électroniques sans l’autorisation préalable de la personne physique, même s’ils sont informés de l’existence et de la nature des données de santé électroniques dont l’accès a été limité. Dans les cas où le traitement est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique, le prestataire de soins de santé ou le professionnel de la santé peut obtenir l’accès aux données de santé électroniques dont l’accès a été limité. À la suite de l’octroi de cet accès, le prestataire de soins de santé ou le professionnel de la santé informe le détenteur des données et la personne physique concernée ou ses tuteurs que l’accès aux données de santé électroniques a été accordé. Le droit des États membres peut ajouter des garanties supplémentaires.

Article 5

Catégories prioritaires de données de santé électroniques à caractère personnel à des fins d’utilisation primaire

1.Lorsque les données sont traitées dans un format électronique, les États membres mettent en œuvre l’accès aux données de santé électroniques à caractère personnel à des fins d’utilisation primaire, et l’échange de ces données, qui relèvent en tout ou en partie des catégories suivantes:

a)dossier de patients;

b)prescriptions électroniques;

c)dispensations électroniques;

d)images médicales et comptes rendus d’imagerie médicale;

e)résultats de laboratoire;

f)lettres de sortie d’hospitalisation.

Les principales caractéristiques des catégories de données de santé électroniques visées au premier alinéa figurent à l’annexe I.

L’accès aux données de santé électroniques à des fins d’utilisation primaire et l’échange de ces données peuvent être autorisés pour d’autres catégories de données de santé électroniques à caractère personnel disponibles dans le DME de personnes physiques.

2.La Commission est habilitée à adopter des actes délégués conformément à l’article 67 pour modifier la liste des catégories prioritaires de données de santé électroniques figurant au paragraphe 1. Ces actes délégués peuvent également modifier l’annexe I en ajoutant, modifiant ou supprimant les principales caractéristiques des catégories prioritaires de données de santé électroniques et en indiquant, s’il y a lieu, la date d’application différée. Les catégories de données de santé électroniques ajoutées au moyen de ces actes délégués satisfont aux critères suivants:

a)elles sont pertinentes pour les services de santé fournis à des personnes physiques;

b)selon les informations les plus récentes, elles sont utilisées dans un nombre important de systèmes de DME adoptés dans les États membres;

c)des normes internationales existent en ce qui les concerne, et ces normes ont été examinées en vue de leur application dans l’Union.

Article 6

Format européen d’échange des dossiers médicaux électroniques

1.La Commission fixe, au moyen d’actes d’exécution, les spécifications techniques pour les données de santé électroniques à caractère personnel des catégories prioritaires énumérées à l’article 5. Lesdites spécifications techniques établissent le format européen d’échange des dossiers médicaux électroniques. Le format comprend les éléments suivants:

a)des ensembles de données contenant des données de santé électroniques et définissant des structures, telles que des champs de données et des groupes de données pour la représentation de contenu clinique et d’autres parties des données de santé électroniques;

b)des systèmes de codification et des valeurs à utiliser dans les ensembles de données contenant des données de santé électroniques;

c)des spécifications techniques pour l’échange de données de santé électroniques, y compris la représentation du contenu, les normes et les profils.

2.Ces actes d’exécution sont adoptés en conformité avec la procédure consultative mentionnée à l’article 68, paragraphe 2. Lorsque les données de santé électroniques à caractère personnel des catégories prioritaires énumérées à l’article 5 sont directement fournies par une personne physique ou transmises à un prestataire de soins de santé par des moyens automatiques dans le format prévu au paragraphe 1, les États membres veillent à ce que ces données soient lues et acceptées par le destinataire des données.

3.Les États membres veillent à ce que les données de santé électroniques à caractère personnel des catégories prioritaires énumérées à l’article 5 soient délivrées dans le format prévu au paragraphe 1 et qu’elles soient lues et acceptées par le destinataire des données.

Article 7

Enregistrement des données de santé électroniques à caractère personnel

1.Les États membres veillent, lorsque des données sont traitées dans un format électronique, à ce que les professionnels de la santé enregistrent systématiquement, dans le format électronique dans un système de DME, les données de santé pertinentes relevant des catégories prioritaires énumérées à l’article 5 concernant les services de santé qu’ils fournissent à des personnes physiques.

2.Lorsque les données de santé électroniques d’une personne physique sont enregistrées dans un État membre qui n’est pas l’État membre d’affiliation de cette personne, l’État membre de traitement veille à ce que l’enregistrement soit effectué au moyen des données d’identification personnelle de la personne physique dans l’État membre d’affiliation.

3.La Commission détermine, au moyen d’actes d’exécution, les exigences relatives à l’enregistrement des données de santé électroniques par les prestataires de soins de santé et les personnes physiques, le cas échéant. Ces actes d’exécution établissent:

a)les catégories de prestataires de soins de santé qui doivent enregistrer les données de santé par voie électronique;

b)les catégories de données de santé que les prestataires de soins de santé visés au point a) doivent systématiquement enregistrer au format électronique;

c)les exigences en matière de qualité des données relatives à l’enregistrement des données de santé électroniques.

Ces actes d’exécution sont adoptés en conformité avec la procédure consultative mentionnée à l’article 68, paragraphe 2.

Article 8

Télémédecine dans le contexte des soins de santé transfrontières

Lorsqu’un État membre accepte la prestation de services de télémédecine, il accepte, dans les mêmes conditions, la prestation de services du même type par des prestataires de soins de santé situés dans d’autres États membres.

Article 9

Gestion de l’identification

1.Lorsqu’une personne physique utilise des services de télémédecine ou les services d’accès aux données de santé à caractère personnel visés à l’article 3, paragraphe 5, point a), elle a le droit de s’identifier par voie électronique en utilisant tout moyen d’identification électronique reconnu en vertu de l’article 6 du règlement (UE) nº 910/2014.

2.La Commission détermine, au moyen d’actes d’exécution, les exigences relatives au mécanisme interopérable et transfrontière d’identification et d’authentification pour les personnes physiques et les professionnels de la santé, conformément au règlement (UE) nº 910/2014 tel que modifié par [COM(2021) 281 final]. Le mécanisme facilite la transférabilité des données de santé électroniques dans un contexte transfrontière. Ces actes d’exécution sont adoptés en conformité avec la procédure consultative mentionnée à l’article 68, paragraphe 2.

3.La Commission met en œuvre, à l’échelon de l’Union, les services requis par le mécanisme interopérable et transfrontière d’identification et d’authentification mentionné au paragraphe 2 du présent article, dans le cadre de l’infrastructure de santé numérique transfrontière visée à l’article 12, paragraphe 3.

4.Les autorités de santé numérique et la Commission mettent en œuvre le mécanisme transfrontière d’identification et d’authentification, aux échelons des États membres et de l’Union respectivement.

Article 10

Autorité de santé numérique

1.Chaque État membre désigne une autorité de santé numérique responsable de la mise en œuvre et de l’application du présent chapitre à l’échelon national. L’État membre communique à la Commission l’identité de l’autorité de santé numérique au plus tard à la date d’application du présent règlement. Lorsqu’une autorité de santé numérique désignée est une entité composée de plusieurs organisations, l’État membre communique à la Commission une description de la répartition des tâches entre les organisations. La Commission rend ces informations accessibles au public.

2.Chaque autorité de santé numérique est chargée des tâches suivantes:

a)assurer la mise en œuvre des droits et obligations prévus aux chapitres II et III en adoptant les solutions techniques nationales, régionales ou locales nécessaires et en établissant des règles et des mécanismes pertinents;

b)veiller à ce que des informations complètes et actualisées sur la mise en œuvre des droits et obligations prévus aux chapitres II et III soient mises à la disposition des personnes physiques, des professionnels de la santé et des prestataires de soins de santé;

c)veiller à ce que la mise en œuvre des solutions techniques visées au point a) soit conforme aux chapitres II et III ainsi qu’à l’annexe II;

d)contribuer, à l’échelon de l’Union, au développement de solutions techniques permettant aux personnes physiques et aux professionnels de la santé d’exercer leurs droits et obligations énoncés dans le présent chapitre;

e)faciliter l’exercice par les personnes handicapées de leurs droits énumérés à l’article 3 du présent règlement conformément à la directive (UE) 2019/882 du Parlement européen et du Conseil 55 ;

f)superviser les points de contact nationaux pour la santé numérique et coopérer avec d’autres autorités de santé numérique et avec la Commission en vue de poursuivre le développement de MaSanté@UE (MyHealth@EU);

g)assurer, à l’échelon national, la mise en œuvre du format européen d’échange des dossiers médicaux électroniques, en coopération avec les autorités nationales et les parties prenantes;

h)contribuer, à l’échelon de l’Union, au développement du format européen d’échange des dossiers médicaux électroniques, ainsi qu’à l’élaboration de spécifications communes traitant des questions d’interopérabilité, de sécurité, de sûreté ou de droits fondamentaux, conformément à l’article 23, et des spécifications relatives à la base de données de l’UE pour les systèmes de DME et les applications de bien-être prévue à l’article 32;

i)s’il y a lieu, effectuer des activités de surveillance du marché conformément à l’article 28, tout en veillant à éviter tout conflit d’intérêts;

j)renforcer les capacités nationales de mise en œuvre de l’interopérabilité et de la sécurité de l’utilisation primaire des données de santé électroniques et participer aux échanges d’informations et aux activités de renforcement des capacités à l’échelle de l’Union;

k)offrir des services de télémédecine dans le respect de la législation nationale et veiller à ce que ces services soient faciles à utiliser et accessibles à différents groupes de personnes physiques et de professionnels de la santé, y compris les personnes physiques handicapées, ne soient pas porteurs de discrimination et offrent la possibilité de choisir entre les services en personne et les services numériques;

l)coopérer avec les autorités de surveillance du marché, participer aux activités liées à la gestion des risques induits par les systèmes de DME et des incidents graves, et superviser la mise en œuvre de mesures correctives conformément à l’article 29;

m)coopérer avec d’autres entités et organismes compétents à l’échelon national ou de l’Union afin de garantir l’interopérabilité, la portabilité et la sécurité des données de santé électroniques, ainsi qu’avec les représentants des parties prenantes, y compris les représentants des patients, les prestataires de soins de santé, les professionnels de la santé et les associations sectorielles;

n)coopérer avec les autorités de contrôle conformément au règlement (UE) nº 910/2014, au règlement (UE) 2016/679 et à la directive (UE) 2016/1148 du Parlement européen et du Conseil 56 ainsi qu’avec d’autres autorités concernées, y compris celles compétentes en matière de cybersécurité et d’identification électronique, le Comité européen de l’intelligence artificielle, le groupe de coordination en matière de dispositifs médicaux, le comité européen de l’innovation dans le domaine des données et les autorités compétentes en vertu du règlement [...] [règlement sur les données, COM(2022) 68 final];

o)établir, en collaboration avec les autorités de surveillance du marché s’il y a lieu, un rapport annuel d’activité contenant une vue d’ensemble complète de ses activités. Ce rapport est transmis à la Commission. Il suit une structure convenue à l’échelon de l’Union, au sein du comité de l’EHDS, afin d’étayer l’évaluation comparative mentionnée à l’article 59. Il contient au moins des informations concernant:

i)les mesures prises pour mettre en œuvre le présent règlement;

ii)le pourcentage de personnes physiques ayant accès à différentes catégories de données de leurs dossiers médicaux électroniques;

iii)le traitement des demandes des personnes physiques relatives à l’exercice de leurs droits découlant du présent règlement;

iv)le nombre de prestataires de soins de santé de différents types, y compris les pharmacies, les hôpitaux et les autres lieux où des soins de santé sont prodigués, connectés à MaSanté@UE (MyHealth@EU), calculé a) en termes absolus, b) en pourcentage de l’ensemble des prestataires de soins de santé du même type, et c) en pourcentage de personnes physiques pouvant utiliser les services;

v)les volumes de données de santé électroniques de différentes catégories partagées par-delà les frontières au moyen de MaSanté@UE (MyHealth@EU);

vi)le niveau de satisfaction des personnes physiques à l’égard des services proposés par MaSanté@UE (MyHealth@EU);

vii)le nombre de systèmes de DME certifiés et d’applications de bien-être pour lesquelles une étiquette a été délivrée et qui sont inscrits dans la base de données de l’UE;

viii)le nombre de cas de non-conformité avec les exigences obligatoires;

ix)une description des activités réalisées par l’autorité de santé numérique en ce qui concerne le dialogue avec les parties prenantes concernées et la consultation desdites parties prenantes, dont les représentants des personnes physiques, des organisations de patients, des professionnels de la santé, des chercheurs et des comités d’éthique;

x)des informations sur la coopération de l’autorité de santé numérique avec d’autres organismes compétents, en particulier dans le domaine de la protection des données, de la cybersécurité et de l’intelligence artificielle.

3.La Commission est habilitée à adopter des actes délégués conformément à l’article 67 pour compléter le présent règlement en confiant aux autorités de santé numérique des tâches supplémentaires nécessaires à l’accomplissement des missions qui leur sont confiées par le présent règlement et pour modifier le contenu du rapport annuel.

4.Chaque État membre veille à ce que chaque autorité de santé numérique dispose des ressources humaines, techniques et financières, des locaux et des infrastructures nécessaires à la bonne exécution de ses tâches et à l’exercice efficace de ses pouvoirs.

5.Dans l’exécution de ses tâches, l’autorité de santé numérique coopère activement avec les représentants des parties prenantes, y compris les représentants des patients. Les membres de l’autorité de santé numérique évitent tout conflit d’intérêts.

Article 11

Droit d’introduire une réclamation auprès d’une autorité de santé numérique

1.Sans préjudice de tout autre recours administratif ou judiciaire, les personnes physiques et morales ont le droit d’introduire une réclamation, individuellement ou, le cas échéant, collectivement, auprès de l’autorité de santé numérique. Lorsque la réclamation concerne les droits de personnes physiques découlant de l’article 3 du présent règlement, l’autorité de santé numérique en informe les autorités de contrôle au titre du règlement (UE) 2016/679.

2.L’autorité de santé numérique auprès de laquelle la réclamation a été introduite informe l’auteur de la réclamation de l’état d’avancement de la procédure et de la décision prise.

3.Les autorités de santé numérique coopèrent pour traiter les réclamations et y apporter une réponse, y compris en échangeant toutes les informations pertinentes par voie électronique, dans les meilleurs délais.

Section 2

Infrastructure transfrontière pour l’utilisation primaire des données de santé électroniques

Article 12

MaSanté@UE (MyHealth@EU)

1.La Commission met en place une plateforme centrale pour la santé numérique afin de fournir des services visant à soutenir et à faciliter l’échange de données de santé électroniques entre les points de contact nationaux pour la santé numérique des États membres.

2.Chaque État membre désigne un point de contact national pour la santé numérique afin d’assurer la connexion à tous les autres points de contact nationaux pour la santé numérique et à la plateforme centrale pour la santé numérique. Lorsqu’un point de contact national désigné est une entité composée de plusieurs organisations chargées de la mise en œuvre de différents services, l’État membre communique à la Commission une description de la répartition des tâches entre les organisations. Le point de contact national pour la santé numérique est considéré comme participant autorisé à l’infrastructure. Chaque État membre communique à la Commission l’identité de son point de contact national au plus tard le [date d’application du présent règlement]. Ce point de contact peut être établi au sein de l’autorité de santé numérique instituée par l’article 10 du présent règlement. Les États membres communiquent à la Commission toute modification ultérieure concernant l’identité de ces points de contact. La Commission et les États membres mettent ces informations à disposition du public.

3.Chaque point de contact national pour la santé numérique permet l’échange, avec tous les autres points de contact nationaux, des données de santé électroniques à caractère personnel énumérées à l’article 5. L’échange se fonde sur le format européen d’échange des dossiers médicaux électroniques.

4.La Commission adopte, au moyen d’actes d’exécution, les mesures nécessaires au développement technique de l’infrastructure MaSanté@UE (MyHealth@EU) et des règles détaillées concernant la sécurité, la confidentialité et la protection des données de santé électroniques. Elle définit également les conditions et les contrôles de conformité nécessaires pour adhérer à MaSanté@UE (MyHealth@EU) et y rester connecté, ainsi que les conditions d’exclusion temporaire ou définitive de cette infrastructure. Ces actes d’exécution sont adoptés en conformité avec la procédure consultative mentionnée à l’article 68, paragraphe 2.

5.Les États membres veillent à ce que tous les prestataires de soins de santé soient connectés à leur point de contact national pour la santé numérique et à ce que les prestataires connectés soient en mesure de procéder à un échange bidirectionnel de données de santé électroniques avec ledit point de contact national.

6.Les États membres veillent à ce que les pharmacies exerçant des activités sur leur territoire, y compris les pharmacies en ligne, soient autorisées à délivrer des prescriptions électroniques émises dans d’autres États membres, dans les conditions prévues à l’article 11 de la directive 2011/24/UE. Les pharmacies ont accès aux prescriptions électroniques qui leur sont transmises en provenance d’autres États membres par l’intermédiaire de MaSanté@UE (MyHealth@EU) et les acceptent. À la suite de la délivrance de médicaments sur la base d’une prescription électronique provenant d’un autre État membre, les pharmacies notifient la délivrance à l’État membre à partir duquel la prescription a été émise, par l’intermédiaire de MaSanté@UE (MyHealth@EU).

7.Les points de contact nationaux pour la santé numérique agissent en tant que responsables conjoints du traitement des données de santé électroniques communiquées par l’intermédiaire de MaSanté@UE (MyHealth@EU) pour les opérations de traitement auxquelles ils participent. La Commission agit en qualité de sous-traitant.

8.La Commission répartit, au moyen d’actes d’exécution, les responsabilités entre les responsables du traitement et en ce qui concerne le sous-traitant mentionné au paragraphe 7 du présent article, conformément au chapitre IV du règlement (UE) 2016/679. Ces actes d’exécution sont adoptés en conformité avec la procédure consultative mentionnée à l’article 68, paragraphe 2.

9.L’adhésion de participants autorisés à MaSanté@UE (MyHealth@EU) pour différents services ou la déconnexion d’un participant est approuvée par le groupe de responsabilité conjointe du traitement, sur la base des résultats des contrôles de conformité.

Article 13

Services et infrastructures transfrontières de santé numérique supplémentaires

1.Les États membres peuvent fournir, par l’intermédiaire de MaSanté@UE (MyHealth@EU), des services supplémentaires facilitant la télémédecine, la santé mobile, l’accès des personnes physiques à leurs données de santé traduites ou l’échange ou la vérification de certificats liés à la santé, y compris des services de carnets de vaccination en faveur de la santé publique, la surveillance de la santé publique ou les systèmes de santé numérique, ou des services et applications interopérables, en vue d’atteindre un niveau élevé de confiance et de sécurité, de renforcer la continuité des soins et de garantir l’accès à des soins de santé sûrs et de qualité. La Commission définit, au moyen d’actes d’exécution, les aspects techniques de cette disposition. Ces actes d’exécution sont adoptés en conformité avec la procédure consultative mentionnée à l’article 68, paragraphe 2.

2.La Commission et les États membres peuvent faciliter l’échange de données de santé électroniques avec d’autres infrastructures, telles que le système de gestion des données cliniques des patients ou d’autres services ou infrastructures dans les domaines de la santé, des soins ou de la sécurité sociale qui peuvent devenir des participants autorisés à MaSanté@UE (MyHealth@EU). La Commission définit, au moyen d’actes d’exécution, les aspects techniques de ces échanges. Ces actes d’exécution sont adoptés en conformité avec la procédure consultative mentionnée à l’article 68, paragraphe 2. La connexion d’une autre infrastructure à la plateforme centrale pour la santé numérique fait l’objet d’une décision du groupe de responsabilité conjointe du traitement pour MaSanté@UE (MyHealth@EU) prévu à l’article 66.

3.Les États membres et la Commission s’efforcent d’assurer l’interopérabilité de MaSanté@UE (MyHealth@EU) avec les systèmes technologiques d’échange de données de santé électroniques établis à l’échelon international. La Commission peut adopter un acte d’exécution établissant qu’un point de contact national d’un pays tiers ou un système mis en place à l’échelon international est conforme aux exigences de MaSanté@UE (MyHealth@EU) aux fins de l’échange de données de santé électroniques. Avant l’adoption d’un tel acte d’exécution, un contrôle de conformité du point de contact national du pays tiers ou du système mis en place à l’échelon international est effectué sous le contrôle de la Commission.

Les actes d’exécution visés au premier alinéa du présent paragraphe sont adoptés en conformité avec la procédure mentionnée à l’article 68. La connexion du point de contact national du pays tiers ou du système établi à l’échelon international à la plateforme centrale pour la santé numérique, ainsi que la décision de déconnexion, font l’objet d’une décision du groupe de responsabilité conjointe du traitement pour MaSanté@UE (MyHealth@EU) prévu à l’article 66.

La Commission met la liste des actes d’exécution adoptés en vertu du présent paragraphe à la disposition du public.

CHAPITRE III

Systèmes de DME et applications de bien-être

Section 1

Dispositions générales relatives aux systèmes de DME

Article 14

Interaction avec la législation régissant les dispositifs médicaux et les systèmes d’intelligence artificielle

1.Les systèmes de DME destinés par leur fabricant à une utilisation primaire des données de santé électroniques des catégories prioritaires énumérées à l’article 5 sont soumis aux dispositions du présent chapitre.

2.Le présent chapitre ne s’applique pas aux logiciels généraux utilisés dans un environnement de soins de santé.

3.Les fabricants de dispositifs médicaux au sens de l’article 2, point 1, du règlement (UE) 2017/745 qui affirment que ces dispositifs médicaux sont interopérables avec les systèmes de DME prouvent qu’ils satisfont aux exigences essentielles d’interopérabilité énoncées à l’annexe II, section 2, du présent règlement. L’article 23 du présent chapitre s’applique à ces dispositifs médicaux.

4.Les fournisseurs de systèmes d’IA à haut risque tels que définis à l’article 6 du règlement [...] [législation sur l’intelligence artificielle, COM(2021) 206 final] ne relevant pas du champ d’application du règlement (UE) 2017/745 qui affirment que ces systèmes d’IA sont interopérables avec des systèmes de DME devront prouver que leurs systèmes sont conformes aux exigences essentielles d’interopérabilité énoncées à l’annexe II, section 2, du présent règlement. L’article 23 du présent chapitre s’applique à ces systèmes d’IA à haut risque.

5.Les États membres peuvent maintenir ou définir des règles spécifiques pour l’acquisition, le remboursement ou le financement de systèmes de DME dans le contexte de l’organisation, de la fourniture ou du financement de services de soins de santé.

Article 15

Mise sur le marché et mise en service

1.Les systèmes de DME ne peuvent être mis sur le marché ou mis en service que s’ils sont conformes aux dispositions du présent chapitre.

2.Les systèmes de DME fabriqués et utilisés dans les établissements de santé de l’Union et ceux proposés en tant que service, au sens de l’article 1er, paragraphe 1, point b), de la directive (UE) 2015/1535 du Parlement européen et du Conseil 57 , à une personne physique ou morale établie dans l’Union sont considérés comme ayant été mis en service.

Article 16

Allégations

Dans la fiche d’information, la notice d’utilisation ou toute autre information accompagnant un système de DME, ainsi que dans la publicité pour un tel système, il est interdit d’utiliser du texte, des noms, des marques commerciales, des images ou d’autres signes figuratifs susceptibles d’induire l’utilisateur en erreur en ce qui concerne la destination, l’interopérabilité et la sécurité dudit système:

a)en attribuant au système de DME des fonctions et des propriétés dont ledit système est dépourvu;

b)en n’informant pas l’utilisateur des limitations probables liées à l’interopérabilité ou aux éléments de sécurité du système de DME par rapport à sa destination;

c)en suggérant des utilisations du système de DME autres que celles indiquées dans la documentation technique comme faisant partie de la destination.

Section 2

Obligations des opérateurs économiques en ce qui concerne les systèmes de DME

Article 17

Obligations des fabricants de systèmes de DME

1.Les fabricants de systèmes de DME:

a)veillent à ce que leurs systèmes de DME soient conformes aux exigences essentielles énoncées à l’annexe II et aux spécifications communes énoncées à l’article 23;

b)rédigent la documentation technique de leurs systèmes de DME conformément à l’article 24;

c)veillent à ce que leurs systèmes de DME soient accompagnés, gratuitement pour l’utilisateur, de la fiche d’information prévue à l’article 25 et d’une notice d’utilisation claire et complète;

d)rédigent une déclaration UE de conformité conformément à l’article 26;

e)apposent le marquage de conformité CE conformément à l’article 27;

f)respectent les obligations d’enregistrement prévues à l’article 32;

g)prennent dans les meilleurs délais toute mesure corrective nécessaire en ce qui concerne leurs systèmes de DME qui ne sont pas conformes aux exigences essentielles énoncées à l’annexe II, ou rappellent ou retirent ces systèmes;

h)informent les distributeurs de leurs systèmes de DME et, le cas échéant, le mandataire et les importateurs, de toute mesure corrective ou de tout rappel ou retrait;

i)informent les autorités de surveillance du marché des États membres dans lesquels ils ont mis les systèmes de DME à disposition ou en service de la non-conformité et de toute mesure corrective prise;

j)fournissent, à la demande d’une autorité de surveillance du marché, toutes les informations et tous les documents nécessaires pour démontrer la conformité de leur système de DME avec les exigences essentielles énoncées à l’annexe II.

k)coopèrent avec les autorités de surveillance du marché, à leur demande, en vue de la prise de toute mesure permettant de mettre leurs systèmes de DME en conformité avec les exigences essentielles énoncées à l’annexe II.

2.Les fabricants de systèmes de DME veillent à ce que des procédures soient en place pour garantir que la conception, le développement et le déploiement d’un système de DME continuent de satisfaire aux exigences essentielles énoncées à l’annexe II et aux spécifications communes énoncées à l’article 23. Les modifications de la conception ou des caractéristiques d’un système de DME sont dûment prises en compte et reflétées dans la documentation technique.

3.Les fabricants de systèmes de DME conservent la documentation technique et la déclaration UE de conformité pendant une période de dix ans après la mise sur le marché du dernier système de DME couvert par la déclaration UE de conformité.

Article 18

Mandataires

1.Avant de mettre un système de DME à disposition sur le marché dans l’Union, un fabricant établi en dehors de l’Union désigne, par mandat écrit, un mandataire qui est établi dans l’Union.

2.Le mandataire exécute les tâches spécifiées dans le mandat qu’il reçoit du fabricant. Le mandat doit au minimum autoriser le mandataire:

a)à tenir la déclaration UE de conformité et la documentation technique à la disposition des autorités de surveillance du marché pendant la durée prévue à l’article 17, paragraphe 3;

b)à communiquer à une autorité de surveillance du marché, sur demande motivée de celle-ci, toutes les informations et tous les documents nécessaires pour démontrer la conformité d’un système de DME aux exigences essentielles énoncées à l’annexe II;

c)à coopérer avec les autorités de surveillance du marché, à leur demande, en vue de la prise de toute mesure corrective en rapport avec les systèmes de DME couverts par son mandat.

Article 19

Obligations des importateurs

1.Les importateurs ne mettent sur le marché dans l’Union que des systèmes de DME conformes aux exigences essentielles énoncées à l’annexe II.

2.Avant de mettre un système de DME à disposition sur le marché, les importateurs vérifient que:

a)le fabricant a rédigé la documentation technique et la déclaration UE de conformité;

(b)le système de DME porte le marquage de conformité CE;

c)le système de DME est accompagné de la fiche d’information prévue à l’article 25 et d’une notice d’utilisation appropriée.

3.Les importateurs indiquent, dans un document accompagnant le système de DME, leur nom, leur raison sociale ou leur marque déposée et l’adresse à laquelle ils peuvent être contactés.

4.Les importateurs veillent à ce que le système de DME, tant qu’il est sous leur responsabilité, ne soit pas modifié de telle sorte que sa conformité avec les exigences essentielles énoncées à l’annexe II soit compromise.

5.Lorsqu’un importateur considère ou a des raisons de croire que le système de DME n’est pas conforme aux exigences essentielles figurant à l’annexe II, il ne met ledit système à disposition sur le marché qu’après que ledit système a été mis en conformité. À cet effet, l’importateur informe dans les meilleurs délais le fabricant de ce système de DME et les autorités de surveillance du marché de l’État membre dans lequel il a mis le système de DME à disposition.

6.Les importateurs tiennent une copie de la déclaration UE de conformité à la disposition des autorités de surveillance du marché pendant la durée prévue à l’article 17, paragraphe 3, et veillent à ce que la documentation technique puisse être fournie à ces autorités si elles en font la demande.

7.Sur demande motivée d’une autorité de surveillance du marché, les importateurs lui communiquent toutes les informations et tous les documents nécessaires pour démontrer la conformité d’un système de DME, dans la langue officielle de l’État membre dans lequel ladite autorité est située. Ils coopèrent avec cette autorité, à sa demande, en vue de la prise de toute mesure permettant de mettre leurs systèmes de DME en conformité avec les exigences essentielles énoncées à l’annexe II.

Article 20

Obligations des distributeurs

1.Avant de mettre un système de DME à disposition sur le marché, les distributeurs vérifient que:

a)le fabricant a rédigé la déclaration UE de conformité;

b)le système de DME porte le marquage de conformité CE;

c)le système de DME est accompagné de la fiche d’information prévue à l’article 25 et d’une notice d’utilisation appropriée;

d)l’importateur s’est conformé aux exigences énoncées à l’article 19, paragraphe 3, s’il y a lieu.

2.Les distributeurs veillent à ce qu’un système de DME, tant qu’il est sous leur responsabilité, ne soit pas modifié de telle sorte que sa conformité avec les exigences essentielles énoncées à l’annexe II soit compromise.

3.Lorsqu’un distributeur considère ou a des raisons de croire qu’un système de DME n’est pas conforme aux exigences essentielles figurant à l’annexe II, il ne met ledit système à disposition sur le marché qu’après que ledit système a été mis en conformité. À cet effet, il informe dans les meilleurs délais le fabricant ou l’importateur ainsi que les autorités de surveillance du marché des États membres dans lesquels le système de DME a été mis à disposition sur le marché.

4.Sur demande motivée d’une autorité de surveillance du marché, les distributeurs lui communiquent toutes les informations et tous les documents nécessaires pour démontrer la conformité d’un système de DME. Ils coopèrent avec cette autorité, à sa demande, en vue de la prise de toute mesure permettant de mettre leurs systèmes de DME en conformité avec les exigences essentielles énoncées à l’annexe II.

Article 21

Cas dans lesquels les obligations des fabricants de systèmes de DME s’appliquent aux importateurs et aux distributeurs

Un importateur ou un distributeur est considéré comme un fabricant aux fins du présent règlement et est soumis aux obligations énoncées à l’article 17 lorsqu’il a mis un système de DME à disposition sur le marché sous son nom ou sa marque commerciale ou lorsqu’il modifie un système de DME déjà mis sur le marché de telle sorte que la conformité avec les exigences applicables puisse être compromise.

Article 22

Identification des opérateurs économiques

Sur demande, les opérateurs économiques communiquent aux autorités de surveillance du marché, pendant une période de dix ans après la mise sur le marché du dernier système de DME couvert par la déclaration UE de conformité, l’identité:

a)de tout opérateur économique qui leur a fourni un système de DME;

b)de tout opérateur économique auquel ils ont fourni un système de DME.

Section 3

Conformité du système de DME

Article 23

Spécifications communes

1.La Commission adopte, au moyen d’actes d’exécution, des spécifications communes en ce qui concerne les exigences essentielles énoncées à l’annexe II, y compris un délai pour la mise en œuvre de ces spécifications communes. Le cas échéant, les spécifications communes tiennent compte des spécificités des dispositifs médicaux et des systèmes d’IA à haut risque visés à l’article 14, paragraphes 3 et 4.

Ces actes d’exécution sont adoptés en conformité avec la procédure consultative mentionnée à l’article 68, paragraphe 2.

2.Les spécifications communes mentionnées au paragraphe 1 comprennent les éléments suivants:

a)champ d’application;

b)applicabilité aux différentes catégories de systèmes de DME ou de fonctions qui y sont incluses;

c)version;

d)période de validité;

e)partie normative;

f)partie explicative, comprenant les éventuelles lignes directrices pertinentes pour la mise en œuvre.

3.Les spécifications communes peuvent englober des éléments ayant trait:

a)aux ensembles de données contenant des données de santé électroniques et définissant des structures, telles que des champs de données et des groupes de données pour la représentation de contenu clinique et d’autres parties des données de santé électroniques;

b)aux systèmes de codification et aux valeurs à utiliser dans les ensembles de données contenant des données de santé électroniques;

c)à d’autres exigences liées à la qualité des données, telles que l’exhaustivité et l’exactitude des données de santé électroniques;

d)aux spécifications techniques, normes et profils pour l’échange de données de santé électroniques;

e)aux exigences et principes concernant la sécurité, la confidentialité, l’intégrité, la sécurité des patients et la protection des données de santé électroniques;

f)aux spécifications et exigences relatives à la gestion de l’identification et à l’utilisation de l’identification électronique.

4.Les systèmes de DME, les dispositifs médicaux et les systèmes d’IA à haut risque visés à l’article 14 qui sont conformes aux spécifications communes mentionnées au paragraphe 1 sont considérés comme conformes aux exigences essentielles énoncées à l’annexe II couvertes par ces spécifications communes ou par les parties pertinentes de ces spécifications communes.

5.Lorsque des spécifications communes couvrant les exigences d’interopérabilité et de sécurité des systèmes de DME ont une incidence sur des dispositifs médicaux ou sur des systèmes d’IA à haut risque relevant d’autres actes, tels que le règlement (UE) 2017/745 ou [...] [législation sur l’intelligence artificielle, COM(2021) 206 final], l’adoption de ces spécifications communes peut être précédée d’une consultation du groupe de coordination en matière de dispositifs médicaux (GCDM) prévu à l’article 103 du règlement (UE) 2017/745 ou du Comité européen de l’intelligence artificielle prévu à l’article 56 du règlement [...] [législation sur l’intelligence artificielle, COM(2021) 206 final], selon le cas.

6.Lorsque des spécifications communes couvrant les exigences d’interopérabilité et de sécurité des dispositifs médicaux ou des systèmes d’IA à haut risque relevant d’autres actes, tels que le règlement (UE) 2017/745 ou le règlement [...] [législation sur l’intelligence artificielle, COM(2021) 206 final] ont une incidence sur les systèmes de DME, l’adoption de ces spécifications communes est précédée d’une consultation du comité de l’EHDS, en particulier de son sous-groupe pour les chapitres II et III du présent règlement.

Article 24

Documentation technique

1.La documentation technique est établie avant la mise sur le marché ou la mise en service du système de DME et est tenue à jour.

2.La documentation technique est rédigée de manière à démontrer que le système de DME est conforme aux exigences essentielles énoncées à l’annexe II et à fournir aux autorités de surveillance du marché toutes les informations nécessaires pour évaluer la conformité du système de DME avec ces exigences. Elle contient, au minimum, les éléments énoncés à l’annexe III.

3.La documentation technique est rédigée dans l’une des langues officielles de l’Union. Sur demande motivée d’une autorité de surveillance du marché d’un État membre, le fabricant fournit une traduction des parties pertinentes de la documentation technique dans la langue officielle de cet État membre.

4.Lorsqu’une autorité de surveillance du marché demande à un fabricant la documentation technique ou une traduction de certaines de ses parties, elle fixe un délai de 30 jours pour la réception de ladite documentation ou traduction, sauf si un délai plus court est justifié en raison d’un risque sérieux et immédiat. Si le fabricant ne se conforme pas aux exigences des paragraphes 1, 2 et 3, l’autorité de surveillance du marché peut exiger qu’un essai soit effectué par un organisme indépendant à ses frais dans un délai déterminé afin de vérifier la conformité avec les exigences essentielles énoncées à l’annexe II et avec les spécifications communes mentionnées à l’article 23.

Article 25

Fiche d’information accompagnant le système de DME

1.Les systèmes de DME sont accompagnés d’une fiche d’information, contenant des informations concises, complètes, exactes et claires, qui sont pertinentes, accessibles et compréhensibles pour les utilisateurs.

2.La fiche d’information mentionnée au paragraphe 1 indique:

a)l’identité, la raison sociale ou la marque déposée et les coordonnées du fabricant ainsi que, le cas échéant, de son mandataire;

b)le nom et la version du système de DME et la date de sa mise en service;

c)sa destination;

d)les catégories de données de santé électroniques que le système de DME est destiné à traiter;

e)les normes, formats et spécifications, ainsi que leurs versions, pris en charge par le système de DME.

3.La Commission est habilitée à adopter des actes délégués conformément à l’article 67 pour compléter le présent règlement en permettant aux fabricants d’introduire les informations visées au paragraphe 2 dans la base de données de l’UE des systèmes de DME et des applications de bien-être visée à l’article 32, au lieu de fournir la fiche d’information mentionnée au paragraphe 1 avec le système de DME.

Article 26

Déclaration UE de conformité

1.La déclaration UE de conformité atteste que le fabricant du système de DME a démontré que les exigences essentielles énoncées à l’annexe II ont été respectées.

2.Lorsque des systèmes de DME font l’objet d’autres actes législatifs de l’Union en ce qui concerne des aspects ne relevant pas du présent règlement, qui imposent aussi une déclaration UE de conformité du fabricant attestant que le respect des exigences de ces actes législatifs a été démontré, une seule déclaration UE de conformité est établie pour tous les actes de l’Union applicables au système de DME. La déclaration contient toutes les informations nécessaires à l’identification des actes législatifs de l’Union auxquels la déclaration se rapporte.

3.La déclaration UE de conformité contient, au minimum, les informations qui figurent à l’annexe IV et est traduite dans une ou plusieurs des langues officielles de l’Union déterminées par le ou les États membres dans lesquels le système de DME est mis à disposition.

4.En établissant la déclaration UE de conformité, le fabricant assume la responsabilité de la conformité du produit.

Article 27

Marquage CE

1.Le marquage CE est apposé de manière visible, lisible et indélébile sur les documents d’accompagnement du système de DME et, le cas échéant, sur l’emballage.

2.Le marquage CE est soumis aux principes généraux énoncés à l’article 30 du règlement (CE) nº 765/2008 du Parlement européen et du Conseil 58 .

Section 4

Surveillance du marché des systèmes de DME

Article 28

Autorités de surveillance du marché

1.Le règlement (UE) 2019/1020 s’applique aux systèmes de DME couverts par le chapitre III du présent règlement.

2.Les États membres désignent la ou les autorités de surveillance du marché chargées de la mise en œuvre du présent chapitre. Ils veillent à ce que leurs autorités de surveillance du marché disposent des pouvoirs, des ressources, de l’équipement et des connaissances nécessaires pour accomplir correctement les tâches qui leur incombent en vertu du présent règlement. Les États membres communiquent l’identité des autorités de surveillance du marché à la Commission, qui en publie la liste.

3.Les autorités de surveillance du marché désignées en application du présent article peuvent être les autorités de santé numérique désignées en application de l’article 10. Lorsqu’une autorité de santé numérique exécute des tâches d’autorité de surveillance du marché, tout conflit d’intérêts est évité.

4.Les autorités de surveillance du marché communiquent régulièrement à la Commission les résultats des activités de surveillance du marché pertinentes.

5.Les autorités de surveillance du marché des États membres coopèrent les unes avec les autres ainsi qu’avec la Commission. La Commission veille à l’organisation des échanges d’informations nécessaires à cet égard.

6.Pour les dispositifs médicaux ou les systèmes d’IA à haut risque visés à l’article 14, paragraphe 3 et 4, les autorités responsables de la surveillance du marché sont celles visées à l’article 93 du règlement (UE) 2017/745 ou à l’article 59 du règlement [...] [législation sur l’intelligence artificielle, COM(2021) 206 final], selon le cas.

Article 29

Gestion des risques induits par les systèmes de DME et des incidents graves

1.Lorsqu’une autorité de surveillance du marché constate qu’un système de DME présente un risque pour la santé ou la sécurité des personnes physiques ou pour d’autres questions relatives à la protection de l’intérêt public, elle demande au fabricant du système de DME concerné, à son mandataire et à tous les autres opérateurs économiques concernés de prendre toutes les mesures appropriées pour faire en sorte que le système de DME concerné ne présente plus ce risque lors de sa mise sur le marché, pour retirer le système de DME du marché ou pour le rappeler dans un délai raisonnable.

2.L’opérateur économique visé au paragraphe 1 s’assure que des mesures correctives sont prises à l’égard de tous les systèmes de DME concernés qu’il a mis sur le marché dans toute l’Union.

3.L’autorité de surveillance du marché informe immédiatement la Commission et les autorités de surveillance du marché des autres États membres des mesures ordonnées en application du paragraphe 1. Les informations fournies incluent toutes les précisions disponibles, notamment les données nécessaires à l’identification du système de DME concerné, l’origine et la chaîne d’approvisionnement de ce système de DME, la nature du risque encouru, ainsi que la nature et la durée des mesures nationales adoptées.

4.Les fabricants de systèmes de DME mis sur le marché notifient tout incident grave impliquant un système de DME aux autorités de surveillance du marché des États membres où l’incident grave s’est produit, ainsi que les mesures correctives qu’ils ont prises ou envisagent de prendre.

Cette notification est effectuée, sans préjudice des exigences en matière de notification des incidents établies dans la directive (UE) 2016/1148, immédiatement après que le fabricant a établi un lien de causalité, ou la probabilité raisonnable qu’un tel lien existe, entre le système de DME et l’incident grave et, en tout état de cause, au plus tard 15 jours après que le fabricant a eu connaissance de l’incident grave impliquant le système de DME.

5.Les autorités de surveillance du marché mentionnées au paragraphe 4 informent, sans délai, les autres autorités de surveillance du marché de l’incident grave et des mesures correctives prises ou envisagées par le fabricant, ou que ce dernier doit prendre, pour réduire au minimum le risque de répétition de l’incident grave.

6.Lorsque les tâches de l’autorité de surveillance du marché ne sont pas exécutées par l’autorité de santé numérique, elle coopère avec l’autorité de santé numérique. Elle informe l’autorité de santé numérique de tout incident grave et de tout système de DME présentant un risque, entre autres en matière d’interopérabilité, de sécurité des patients et de sûreté, ainsi que de toute mesure corrective, de tout rappel ou de tout retrait de ces systèmes de DME.

Article 30

Traitement des cas de non-conformité

1.Lorsqu’une autorité de surveillance du marché fait l’une des constatations ci-après, elle demande au fabricant du système de DME concerné, à son mandataire et à tous les autres opérateurs économiques concernés de mettre un terme à la non-conformité en question:

a)le système de DME n’est pas conforme aux exigences essentielles énoncées à l’annexe II;

b)la documentation technique n’est pas disponible ou est incomplète;

c)la déclaration UE de conformité n’a pas été rédigée ou n’a pas été rédigée correctement;

d)le marquage CE a été apposé en violation de l’article 27 ou n’a pas été apposé.

2.Si la non-conformité visée au paragraphe 1 persiste, l’État membre concerné prend toutes les mesures appropriées pour restreindre ou interdire la mise sur le marché du système de DME ou pour assurer son rappel ou son retrait du marché.

Section 5

Autres dispositions relatives à l’interopérabilité

Article 31

Étiquetage facultatif des applications de bien-être

1.Lorsque le fabricant d’une application de bien-être affirme que cette dernière est interopérable avec un système de DME et, par conséquent, conforme aux exigences essentielles énoncées à l’annexe II et aux spécifications communes énoncées à l’article 23, l’application de bien-être peut être accompagnée d’une étiquette indiquant clairement sa conformité avec lesdites exigences. L’étiquette est délivrée par le fabricant de l’application de bien-être.

2.Les informations suivantes doivent figurer sur l’étiquette:

a)les catégories de données de santé électroniques pour lesquelles la conformité avec les exigences essentielles énoncées à l’annexe II a été confirmée;

b)la référence aux spécifications communes, pour démontrer la conformité;

c)la durée de validité de l’étiquette.

3.La Commission peut, au moyen d’actes d’exécution, déterminer le format et le contenu de l’étiquette. Ces actes d’exécution sont adoptés en conformité avec la procédure consultative mentionnée à l’article 68, paragraphe 2.

4.L’étiquette est rédigée dans une ou plusieurs langues officielles de l’Union ou langues déterminées par le ou les États membres dans lesquels l’application de bien-être est mise sur le marché.

5.La durée de validité de l’étiquette ne dépasse pas cinq ans.

6.Si l’application de bien-être est intégrée dans un dispositif, l’étiquette qui l’accompagne est apposée sur le dispositif. L’étiquette peut également être apposée sous la forme d’un code-barre 2D.

7.Les autorités de surveillance du marché vérifient la conformité des applications de bien-être avec les exigences essentielles énoncées à l’annexe II.

8.Chaque fournisseur d’une application de bien-être pour laquelle une étiquette a été délivrée veille à ce que l’application de bien-être qui est mise sur le marché ou mise en service soit accompagnée de l’étiquette pour chaque unité individuelle, gratuitement.

9.Chaque distributeur d’une application de bien-être pour laquelle une étiquette a été délivrée met l’étiquette à la disposition des clients au point de vente sous forme électronique ou, sur demande, sous forme physique.

10.Les exigences du présent article ne s’appliquent pas aux applications de bien-être qui sont des systèmes d’IA à haut risque selon la définition qui en est donnée dans le règlement [...] [législation sur l’intelligence artificielle, COM(2021) 206 final].

Article 32

Enregistrement des systèmes de DME et des applications de bien-être

1.La Commission établit et tient à jour une base de données accessible au public contenant des informations sur les systèmes de DME pour lesquels une déclaration UE de conformité a été délivrée au titre de l’article 26 et sur les applications de bien-être pour lesquelles une étiquette a été délivrée au titre de l’article 31.

2.Avant la mise sur le marché ou la mise en service d’un système de DME visé à l’article 14 ou d’une application de bien-être visée à l’article 31, le fabricant du système de DME ou de l’application de bien-être, ou, le cas échéant, son mandataire, enregistre les données requises dans la base de données de l’Union visée au paragraphe 1.

3.Les dispositifs médicaux ou les systèmes d’IA à haut risque visés à l’article 14, paragraphe 3 et 4, du présent règlement sont enregistrés dans la base de données établie en application du règlement (UE) 2017/745 ou du règlement [...] [législation sur l’intelligence artificielle, COM(2021) 206 final], selon le cas.

4.La Commission est habilitée à adopter des actes délégués conformément à l’article 67 afin de déterminer la liste des données requises devant être enregistrées par les fabricants de systèmes de DME et d’applications de bien-être en vertu du paragraphe 2.

CHAPITRE IV

Utilisation secondaire des données de santé électroniques

Section 1

Conditions générales relatives à l’utilisation secondaire des données de santé électroniques

Article 33

Catégories minimales de données électroniques destinées à une utilisation secondaire

1.Les détenteurs de données mettent à disposition les catégories de données électroniques ci-après à des fins d’utilisation secondaire conformément aux dispositions du présent chapitre:

a)DME;

b)données ayant une incidence sur la santé, dont les déterminants sociaux, environnementaux et comportementaux de la santé;

c)données génomiques sur les pathogènes pertinentes, ayant une incidence sur la santé humaine;

d)données administratives relatives à la santé, dont les données relatives aux demandes et aux remboursements;

e)données génétiques, génomiques et protéomiques humaines;

f)données de santé électroniques générées par la personne, dont celles générées grâce aux dispositifs médicaux, aux applications de bien-être ou aux autres applications de santé numériques;

g)données d’identification relatives aux professionnels de la santé intervenant dans le traitement d’une personne physique;

h)registres de données de santé à l’échelle de la population (registres de santé publique);

i)données de santé électroniques contenues dans les registres médicaux concernant des maladies spécifiques;

j)données de santé électroniques provenant d’essais cliniques;

k)données de santé électroniques provenant de dispositifs médicaux et des registres des médicaments et des dispositifs médicaux;

l)cohortes de recherche, questionnaires et enquêtes dans le domaine de la santé;

m)données de santé électroniques provenant de biobanques et de bases de données spécialisées;

n)données électroniques relatives au statut en matière d’assurance, au statut professionnel, à l’éducation, au mode de vie, au bien-être et au comportement qui ont un rapport avec la santé;

o)données de santé électroniques contenant diverses améliorations, telles que des corrections, des annotations ou des enrichissements, reçues par le détenteur de données à la suite d’un traitement sur la base d’une autorisation de traitement de données.

2.L’exigence énoncée au paragraphe 1 ne s’applique pas aux détenteurs de données qui peuvent être considérés comme des microentreprises au regard des critères fixés à l’article 2 de l’annexe de la recommandation 2003/361/CE de la Commission 59 .

3.Les données de santé électroniques énumérées au paragraphe 1 englobent les données traitées à des fins de fourniture de soins de santé ou de soins, ou à des fins de santé publique, de recherche, d’innovation, d’élaboration des politiques, de statistiques officielles, de sécurité des patients ou de réglementation, collectées par des entités et organismes du secteur de la santé ou des soins, dont des prestataires publics ou privés de santé ou de soins, des entités ou organismes effectuant des recherches dans ces secteurs, ainsi que par des institutions, organes ou organismes de l’Union.

4.Les données de santé électroniques comportant des droits de propriété intellectuelle (PI) protégés et des secrets d’affaires d’entreprises privées protégés sont mises à disposition à des fins d’utilisation secondaire. Lorsque ces données sont mises à disposition à des fins d’utilisation secondaire, toutes les mesures nécessaires pour préserver la confidentialité des droits de PI et des secrets d’affaires sont prises.

5.Lorsque le consentement de la personne physique est requis par le droit national, les organismes responsables de l’accès aux données de santé se fondent sur les obligations prévues au présent chapitre pour donner accès aux données de santé électroniques.

6.Lorsqu’un organisme du secteur public obtient des données dans des situations d’urgence, telles qu’elles sont définies à l’article 15, point a) ou b), du règlement [...] [règlement sur les données, COM(2022) 68 final], conformément aux règles énoncées dans ledit règlement, il peut être soutenu par un organisme responsable de l’accès aux données de santé qui l’aide, sur le plan technique, à traiter les données ou à les combiner avec d’autres données en vue d’une analyse conjointe.

7.La Commission est habilitée à adopter des actes délégués conformément à l’article 67 pour modifier la liste figurant au paragraphe 1 afin de l’adapter à l’évolution des données de santé électroniques disponibles.

8.Les organismes responsables de l’accès aux données de santé peuvent donner accès à d’autres catégories de données de santé électroniques qui leur ont été confiées en vertu du droit national ou sur la base d’une coopération volontaire avec les détenteurs de données concernés à l’échelon national, en particulier aux données de santé électroniques détenues par des entités privées dans le secteur de la santé.

Article 34

Finalités pour lesquelles des données de santé électroniques peuvent être traitées à des fins d’utilisation secondaire

1.Les organismes responsables de l’accès aux données de santé ne donnent accès aux données de santé électroniques énumérées à l’article 33 que si la finalité prévue du traitement poursuivi par le demandeur est conforme:

a)aux activités pour des raisons d’intérêt public dans le domaine de la santé publique et de la santé au travail, telles que la protection contre les menaces transfrontières graves pour la santé, la surveillance de la santé publique ou la garantie d’un niveau élevé de qualité et de sécurité des soins de santé et des médicaments ou dispositifs médicaux;

b)au fait d’aider les organismes du secteur public ou les institutions, organes et organismes de l’Union, dont les autorités réglementaires, dans le secteur de la santé ou des soins, à accomplir les tâches inscrites dans leur mandat;

c)au fait de produire des statistiques officielles à l’échelon national, plurinational et de l’Union en rapport avec les secteurs de la santé ou des soins;

d)aux activités d’éducation ou d’enseignement dans les secteurs de la santé ou des soins;

e)à la recherche scientifique ayant trait aux secteurs de la santé ou des soins;

f)aux activités de développement et d’innovation pour les produits ou services contribuant à la santé publique ou à la sécurité sociale, ou à la garantie d’un niveau élevé de qualité et de sécurité des soins de santé, des médicaments ou des dispositifs médicaux;

g)à la formation, au test et à l’évaluation des algorithmes, entre autres dans les dispositifs médicaux, les systèmes d’IA et les applications de santé numériques, à la contribution à la santé publique ou à la sécurité sociale, ou à la garantie d’un niveau élevé de qualité et de sécurité des soins de santé, des médicaments ou des dispositifs médicaux;

h)à la fourniture de soins de santé personnalisés consistant à évaluer, à maintenir ou à rétablir l’état de santé des personnes physiques, sur la base des données de santé d’autres personnes physiques.

2.L’accès aux données de santé électroniques énumérées à l’article 33 lorsque la finalité prévue du traitement poursuivi par le demandeur correspond à l’une des finalités prévues au paragraphe 1, points a) à c), n’est accordé qu’aux organismes du secteur public et aux institutions, organes et organismes de l’Union exécutant des tâches qui leur ont été attribuées par le droit de l’Union ou le droit national, y compris lorsque le traitement de données aux fins de l’accomplissement de ces tâches est effectué par un tiers pour le compte de cet organisme du secteur public ou de ces institutions, organes et organismes de l’Union.

3.L’accès aux données détenues par le secteur privé aux fins de prévenir les urgences publiques, d’y réagir ou de favoriser le redressement à la suite d’urgences publiques est assuré conformément à l’article 15 du règlement [...] [règlement sur les données, COM(2022) 68 final].

4.Les organismes du secteur public ou les institutions, organes et organismes de l’Union qui obtiennent, dans l’exécution des tâches qui leur ont été attribuées par le droit de l’Union ou le droit national, l’accès à des données de santé électroniques comportant des droits de PI et des secrets d’affaires prennent toutes les mesures spécifiques nécessaires pour préserver la confidentialité de ces données.

Article 35

Utilisation secondaire interdite des données de santé électroniques

Il est interdit de demander l’accès aux données de santé électroniques obtenues moyennant une autorisation de traitement de données délivrée en vertu de l’article 46, et de traiter de telles données, aux fins suivantes:

a)prise de décisions préjudiciables à une personne physique sur la base de ses données de santé électroniques; pour être considérées comme telles, les «décisions» doivent produire des effets juridiques ou avoir, de manière similaire, une incidence significative sur la personne physique;

b)prise de décisions, à l’égard d’une personne physique ou d’un groupe de personnes physiques, les excluant du bénéfice d’un contrat d’assurance ou modifiant leurs cotisations et leurs primes d’assurance;

c)publicité ou activités de marketing auprès des professionnels de la santé, des organisations de santé ou des personnes physiques;

d)fourniture d’un accès aux données de santé électroniques, ou mise à disposition d’une autre manière des données de santé électroniques, à des tiers non mentionnés dans l’autorisation de traitement de données;

e)mise au point de produits ou de services susceptibles de porter préjudice aux personnes et aux sociétés en général, comprenant, sans s’y limiter, les drogues illicites, les boissons alcoolisées, les produits du tabac ou les biens ou services qui sont conçus ou modifiés de sorte à porter atteinte à l’ordre public ou aux bonnes mœurs.

Section 2

Gouvernance et mécanismes pour l’utilisation secondaire des données de santé électroniques

Article 36

Organismes responsables de l’accès aux données de santé

1.Les États membres désignent un ou plusieurs organismes responsables de l’accès aux données de santé chargés d’accorder l’accès aux données de santé électroniques à des fins d’utilisation secondaire. Les États membres peuvent soit créer un ou plusieurs nouveaux organismes du secteur public, soit s’appuyer sur des organismes du secteur public existants ou sur des services internes d’organismes du secteur public qui remplissent les conditions énoncées dans le présent article. Lorsqu’un État membre désigne plusieurs organismes responsables de l’accès aux données de santé, il désigne un organisme responsable de l’accès aux données de santé comme coordonnateur, chargé d’assurer la coordination des demandes avec les autres organismes responsables de l’accès aux données de santé.

2.Les États membres veillent à ce que chaque organisme responsable de l’accès aux données de santé dispose des ressources humaines, techniques et financières, des locaux et des infrastructures nécessaires à la bonne exécution de ses tâches et à l’exercice efficace de ses pouvoirs.

3.Dans l’accomplissement de leurs tâches, les organismes responsables de l’accès aux données de santé coopèrent activement avec les représentants des parties prenantes, en particulier les représentants des patients, des détenteurs de données et des utilisateurs de données. Le personnel des organismes responsables de l’accès aux données de santé évite tout conflit d’intérêts. Les organismes responsables de l’accès aux données de santé ne sont liés par aucune instruction lorsqu’ils prennent leurs décisions.

4.Les États membres communiquent à la Commission l’identité des organismes responsables de l’accès aux données de santé désignés en application du paragraphe 1 au plus tard à la date d’application du présent règlement. Ils communiquent également à la Commission toute modification ultérieure concernant l’identité de ces organismes. La Commission et les États membres mettent ces informations à disposition du public.

Article 37

Tâches des organismes responsables de l’accès aux données de santé

1.Les organismes responsables de l’accès aux données de santé accomplissent les tâches suivantes:

a)statuer sur les demandes d’accès aux données en application de l’article 45, autoriser et délivrer des autorisations de traitement de données en application de l’article 46 pour l’accès, à des fins d’utilisation secondaire, aux données de santé électroniques relevant de leur compétence nationale, et statuer sur les demandes de données conformément au chapitre II du règlement [...] [acte sur la gouvernance des données, COM(2020) 767 final] et au présent chapitre;

b)aider les organismes du secteur public à accomplir des missions inscrites dans leur mandat, sur la base du droit national ou du droit de l’Union;

c)aider les institutions, organes et organismes de l’Union à accomplir les missions inscrites dans leur mandat, sur la base du droit national ou du droit de l’Union;

d)traiter les données de santé électroniques aux fins prévues à l’article 34, en ce compris la collecte, la combinaison, la préparation et la divulgation de ces données en vue d’une utilisation secondaire sur la base d’une autorisation de traitement de données;

e)traiter les données de santé électroniques d’autres détenteurs de données pertinents sur la base d’une autorisation de traitement de données ou d’une demande de données aux fins prévues à l’article 34;

f)prendre toutes les mesures nécessaires pour préserver la confidentialité des droits de PI et des secrets d’affaires;

g)recueillir et compiler les données de santé électroniques nécessaires auprès des différents détenteurs de données dont les données de santé électroniques relèvent du champ d’application du présent règlement, ou donner accès à ces données, et mettre ces données à la disposition des utilisateurs de données dans un environnement de traitement sécurisé, conformément aux exigences énoncées à l’article 50;

h)contribuer aux activités d’altruisme en matière de données conformément à l’article 40;

i)appuyer le développement, la formation, l’essai et la validation de systèmes d’IA ainsi que l’élaboration de lignes directrices et de normes harmonisées au titre du règlement [...] [législation sur l’intelligence artificielle, COM(2021) 206 final] pour la formation, l’essai et la validation des systèmes d’IA dans le domaine de la santé;

j)coopérer avec les détenteurs de données et les superviser afin de garantir la mise en œuvre cohérente et précise de l’étiquette de qualité et d’utilité des données prévue à l’article 56;

k)maintenir un système de gestion permettant d’enregistrer et de traiter les demandes d’accès aux données, les demandes de données et les autorisations de traitement de données délivrées et les demandes de données auxquelles il a été répondu, fournissant au moins des informations sur le nom du demandeur de données, sur la finalité de l’accès, sur la date de délivrance et sur la durée de l’autorisation de traitement de données ainsi qu’une description de la demande d’accès aux données ou de la demande de données;

l)maintenir un système d’information du public afin de satisfaire aux obligations énoncées à l’article 38;

m)collaborer à l’échelon de l’Union et à l’échelon national afin d’établir des mesures et des exigences appropriées pour l’accès aux données de santé électroniques dans un environnement de traitement sécurisé;

n)coopérer à l’échelon de l’Union et à l’échelon national et conseiller la Commission sur les techniques et les bonnes pratiques en matière d’utilisation et de gestion des données de santé électroniques;

o)faciliter l’accès transfrontière, à des fins d’utilisation secondaire, aux données de santé électroniques hébergées dans d’autres États membres au moyen de DonnéesDeSanté@UE (HealthData@EU), et coopérer étroitement entre eux et avec la Commission.

p)envoyer gratuitement au détenteur de données, avant l’expiration de l’autorisation de traitement de données, une copie de l’ensemble de données corrigé, annoté ou enrichi, selon le cas, et une description des opérations effectuées sur l’ensemble de données original;

q)rendre publics, par voie électronique:

i)un catalogue national des ensembles de données, contenant des informations détaillées sur la source et la nature des données de santé électroniques, conformément aux articles 56 et 58, et sur les conditions de mise à disposition de ces données. Le catalogue national des ensembles de données est également mis à la disposition des points d’information uniques en application de l’article 8 du règlement [...] [acte sur la gouvernance des données, COM(2020) 767 final];

ii)toutes les autorisations de traitement de données, demandes de données et demandes d’accès aux données sur leurs sites web dans un délai de 30 jours ouvrables après la délivrance de l’autorisation de traitement de données ou de la réponse à une demande de données;

iii)les sanctions appliquées en vertu de l’article 43;

iv)les résultats communiqués par les utilisateurs de données en application de l’article 46, paragraphe 11;

r)s’acquitter des obligations envers les personnes physiques prévues à l’article 38;

s)demander aux utilisateurs de données et aux détenteurs de données toutes les informations pertinentes pour vérifier la mise en œuvre du présent chapitre;

t)accomplir toute autre tâche liée à la mise à disposition de l’utilisation secondaire des données de santé électroniques dans le cadre du présent règlement.

2.Dans l’accomplissement de leurs tâches, les organismes responsables de l’accès aux données de santé:

a)coopèrent avec les autorités de contrôle au titre du règlement (UE) 2016/679 et du règlement (UE) 2018/1725 en ce qui concerne les données de santé électroniques à caractère personnel, ainsi qu’avec le comité de l’EHDS;

b)informent les autorités de contrôle compétentes au titre du règlement (UE) 2016/679 et du règlement (UE) 2018/1725 lorsqu’un organisme responsable de l’accès aux données de santé a imposé des sanctions ou d’autres mesures en application de l’article 43 en ce qui concerne le traitement de données de santé électroniques à caractère personnel et lorsque ce traitement concerne une tentative de réidentification d’une personne physique ou un traitement illicite de données de santé électroniques à caractère personnel;

c)coopèrent avec les parties prenantes, dont les organisations de patients, les représentants de personnes physiques, les professionnels de la santé, les chercheurs et les comités d’éthique, selon le cas, conformément au droit de l’Union et au droit national;

d)coopèrent avec d’autres organismes nationaux compétents, dont les organismes nationaux compétents chargés de la surveillance des organisations altruistes en matière de données au titre du règlement [...] [acte sur la gouvernance des données, COM(2020) 767 final], les autorités compétentes au titre du règlement [...] [règlement sur les données, COM(2022) 68 final] et les autorités nationales compétentes pour les règlements (UE) 2017/745 et [...] [législation sur l’intelligence artificielle, COM(2021) 206 final].

3.Les organismes responsables de l’accès aux données de santé peuvent fournir une assistance aux organismes du secteur public lorsque ces derniers accèdent à des données de santé électroniques sur la base de l’article 14 du règlement [...] [règlement sur les données, COM(2022) 68 final].

4.La Commission est habilitée à adopter des actes délégués conformément à l’article 67 pour modifier la liste de tâches figurant au paragraphe 1 du présent article, afin de tenir compte de l’évolution des activités réalisées par les organismes responsables de l’accès aux données de santé.

Article 38

Obligations des organismes responsables de l’accès aux données de santé à l’égard des personnes physiques

1.Les organismes responsables de l’accès aux données de santé mettent à la disposition du public et rendent facilement consultables les conditions dans lesquelles les données de santé électroniques sont mises à disposition à des fins d’utilisation secondaire, avec des informations concernant:

a)la base juridique sur laquelle repose l’octroi de l’accès;

b)les mesures techniques et organisationnelles prises pour protéger les droits des personnes physiques;

c)les droits applicables des personnes physiques en matière d’utilisation secondaire des données de santé électroniques;

d)les modalités selon lesquelles les personnes physiques peuvent exercer leurs droits conformément au chapitre III du règlement (UE) 2016/679;

e)les résultats ou l’aboutissement des projets pour lesquels les données de santé électroniques ont été utilisées.

2.Les organismes responsables de l’accès aux données de santé ne sont pas tenus de fournir à chaque personne physique les informations spécifiques prévues à l’article 14 du règlement (UE) 2016/679 concernant l’utilisation de leurs données dans le cadre de projets soumis à une autorisation de traitement de données. Ils fournissent au public des informations générales sur toutes les autorisations de traitement de données délivrées en vertu de l’article 46.

3.Lorsqu’un organisme responsable de l’accès aux données de santé est informé par un utilisateur de données d’une constatation susceptible d’avoir une incidence sur la santé d’une personne physique, il peut en informer la personne physique et le professionnel de la santé qui la soigne.

4.Les États membres informent régulièrement le grand public du rôle et des avantages des organismes responsables de l’accès aux données de santé.

Article 39

Rapports des organismes responsables de l’accès aux données de santé

1.Chaque organisme responsable de l’accès aux données de santé publie un rapport annuel d’activité qui contient au moins les éléments suivants:

a)des informations sur les demandes d’accès aux données de santé électroniques présentées, telles que les types de demandeurs, le nombre d’autorisations de traitement de données accordées ou refusées, les finalités de l’accès et les catégories de données de santé électroniques consultées, ainsi qu’un résumé des résultats des utilisations de données de santé électroniques, le cas échéant;

b)une liste des autorisations de traitement de données impliquant l’accès à des données de santé électroniques traitées par l’organisme responsable de l’accès aux données de santé sur la base de l’altruisme en matière de données, et une description sommaire des finalités d’intérêt général poursuivies, le cas échéant, comprenant les conséquences de l’octroi des autorisations de traitement de données;

c)des informations sur le respect des engagements réglementaires et contractuels par les utilisateurs de données et les détenteurs de données, ainsi que les sanctions imposées;

d)des informations sur les audits effectués concernant les utilisateurs de données pour veiller à la conformité du traitement avec le présent règlement;

e)des informations sur les audits relatifs à la conformité des environnements de traitement sécurisés avec les normes, spécifications et exigences fixées;

f)des informations sur le traitement des demandes des personnes physiques concernant l’exercice de leurs droits en matière de protection des données;

g)une description de ses activités réalisées en ce qui concerne le dialogue avec les parties prenantes concernées et la consultation desdites parties prenantes, dont les représentants des personnes physiques, des organisations de patients, des professionnels de la santé, des chercheurs et des comités d’éthique;

h)des informations sur la coopération avec d’autres organismes compétents, en particulier dans le domaine de la protection des données, de la cybersécurité, de l’altruisme en matière de données et de l’intelligence artificielle;

i)les recettes provenant des autorisations de traitement de données et des demandes de données;

j)le degré de satisfaction des demandeurs sollicitant l’accès aux données;

k)le nombre moyen de jours s’écoulant entre la demande et l’accès aux données;

l)le nombre d’étiquettes de qualité des données délivrées, ventilé par catégorie de qualité;

m)le nombre de publications de recherche évaluées par des pairs, de documents d’orientation et de procédures réglementaires s’appuyant sur des données consultées via l’EHDS;

n)le nombre de produits et services de santé numériques, dont les applications d’IA, mis au point grâce à des données consultées via l’EHDS.

2.Le rapport est transmis à la Commission.

3.La Commission est habilitée à adopter des actes délégués conformément à l’article 67 pour modifier le contenu du rapport annuel d’activité.

Article 40

Altruisme en matière de données dans le secteur de la santé

1.Lorsqu’elles traitent des données de santé électroniques à caractère personnel, les organisations altruistes en matière de données respectent les règles énoncées au chapitre IV du règlement [...] [acte sur la gouvernance des données, COM(2020) 767 final]. Lorsque des organisations altruistes en matière de données traitent des données de santé électroniques à caractère personnel au moyen d’un environnement de traitement sécurisé, ledit environnement est également conforme aux exigences énoncées à l’article 50 du présent règlement.

2.Les organismes responsables de l’accès aux données de santé aident les autorités compétentes désignées conformément à l’article 23 du règlement [...] [acte sur la gouvernance des données, COM(2020) 767 final] à surveiller les entités accomplissant des activités d’altruisme en matière de données.

Article 41

Obligations des détenteurs de données

1.Lorsqu’un détenteur de données est tenu de mettre à disposition des données de santé électroniques en application de l’article 33 ou d’autres dispositions du droit de l’Union ou de la législation nationale transposant le droit de l’Union, il coopère de bonne foi avec les organismes responsables de l’accès aux données de santé, le cas échéant.

2.Le détenteur de données communique à l’organisme responsable de l’accès aux données de santé une description générale de l’ensemble de données qu’il détient, conformément à l’article 55.

3Lorsqu’une étiquette de qualité et d’utilité des données accompagne l’ensemble de données en application de l’article 56, le détenteur de données fournit à l’organisme responsable de l’accès aux données de santé des documents suffisants pour lui permettre de confirmer l’exactitude de l’étiquette.

4.Le détenteur des données met les données de santé électroniques à la disposition de l’organisme responsable de l’accès aux données de santé dans un délai de deux mois à compter de la réception de la demande dudit organisme responsable de l’accès aux données de santé. Dans des cas exceptionnels, ce délai peut être prolongé par l’organisme responsable de l’accès aux données de santé pour une période supplémentaire de deux mois.

5.Lorsqu’un détenteur de données a reçu des ensembles de données enrichis à la suite d’un traitement fondé sur une autorisation de traitement de données, il met à disposition le nouvel ensemble de données, sauf s’il le juge inapproprié et en informe l’organisme responsable de l’accès aux données de santé.

6.Les détenteurs de données de santé électroniques à caractère non personnel donnent accès aux données au moyen de bases de données ouvertes et fiables afin de garantir un accès illimité à tous les utilisateurs ainsi que le stockage et la conservation des données. Les bases de données publiques ouvertes et fiables disposent d’une gouvernance solide, transparente et durable et d’un modèle transparent d’accès des utilisateurs.

7.La Commission est habilitée à adopter des actes délégués conformément à l’article 67 pour modifier les obligations des détenteurs de données énoncées dans le présent article, afin de tenir compte de l’évolution des activités réalisées par les détenteurs de données.

Article 42

Redevances

1.Les organismes responsables de l’accès aux données de santé et les détenteurs de données uniques peuvent percevoir des redevances pour la mise à disposition de données de santé électroniques à des fins d’utilisation secondaire. Les redevances englobent les coûts liés à la conduite de la procédure de demande, comprenant l’évaluation d’une demande d’accès aux données ou d’une demande de données, l’octroi, le refus ou la modification d’une autorisation de traitement de données en application des articles 45 et 46, ou la fourniture d’une réponse à une demande de données en application de l’article 47, conformément à l’article 6 du règlement [...] [acte sur la gouvernance des données, COM(2020) 767 final].

2.Lorsque les données en question ne sont pas détenues par l’organisme responsable de l’accès aux données ou par un organisme du secteur public, les redevances peuvent également inclure une compensation pour une partie des coûts de collecte des données de santé électroniques spécifiquement au titre du présent règlement, en plus des redevances qui peuvent être perçues en vertu du paragraphe 1. La partie des redevances associée aux coûts du détenteur de données est versée au détenteur de données.

3.Les données de santé électroniques mentionnées à l’article 33, paragraphe 1, point o), sont mises à la disposition d’un nouvel utilisateur gratuitement ou moyennant une redevance correspondant à la compensation des coûts des ressources humaines et techniques utilisées pour enrichir les données de santé électroniques. Cette redevance est versée à l’entité qui a enrichi les données de santé électroniques.

4.Les redevances facturées aux utilisateurs de données en application du présent article par les organismes responsables de l’accès aux données de santé ou les détenteurs de données sont transparentes, proportionnées au coût de la collecte des données de santé électroniques et de leur mise à disposition en vue de leur utilisation secondaire, objectivement justifiées et non porteuses de restrictions de la concurrence. Le soutien financier reçu par le détenteur de données au titre de dons, ou de fonds publics nationaux ou de l’Union, pour la création, la mise au point ou la mise à jour dudit ensemble de données est exclu de ce calcul. Les intérêts et besoins spécifiques des PME, des organismes publics, des institutions, organes et organismes de l’Union participant à la recherche, à la politique de santé ou à l’analyse, des établissements d’enseignement et des prestataires de soins de santé sont pris en compte lorsque l’on fixe les redevances, en réduisant ces redevances proportionnellement à leur taille ou à leur budget.

5.Lorsque les détenteurs de données et les utilisateurs de données ne s’accordent pas sur le montant des redevances dans un délai d’un mois à compter de l’octroi de l’autorisation de traitement de données, l’organisme responsable de l’accès aux données de santé peut fixer les redevances en proportion du coût de la mise à disposition de données de santé électroniques en vue de leur utilisation secondaire. Lorsque le détenteur de données ou l’utilisateur de données se trouve en désaccord sur la redevance fixée par l’organisme responsable de l’accès aux données de santé, il a accès aux organismes de règlement des litiges prévus à l’article 10 du règlement [...] [règlement sur les données, COM(2022) 68 final].

6.La Commission peut, au moyen d’actes d’exécution, établir des principes et des règles concernant les politiques et les structures liées aux redevances. Ces actes d’exécution sont adoptés en conformité avec la procédure consultative mentionnée à l’article 68, paragraphe 2.

Article 43

Sanctions imposées par les organismes responsables de l’accès aux données de santé

1.Les organismes responsables de l’accès aux données de santé surveillent et contrôlent la conformité des utilisateurs de données et des détenteurs de données avec les exigences énoncées dans le présent chapitre.

2.Lorsque les organismes responsables de l’accès aux données de santé demandent aux utilisateurs de données et aux détenteurs de données les informations nécessaires pour vérifier la conformité avec le présent chapitre, ils le font de manière proportionnée à l’exécution de la tâche de vérification de la conformité.

3.Lorsque les organismes responsables de l’accès aux données de santé constatent qu’un utilisateur ou un détenteur de données ne se conforme pas aux exigences du présent chapitre, ils en informent immédiatement l’utilisateur ou le détenteur de données et lui donnent la possibilité d’exprimer son point de vue dans un délai de deux mois.

4.Les organismes responsables de l’accès aux données de santé ont le pouvoir de révoquer l’autorisation de traitement de données délivrée en application de l’article 46 et d’arrêter l’opération de traitement de données de santé électroniques concernée effectuée par l’utilisateur de données afin que cesse la non-conformité visée au paragraphe 3, immédiatement ou dans un délai raisonnable, et ils prennent des mesures appropriées et proportionnées pour veiller à ce que le traitement par les utilisateurs de données soit conforme. À cet égard, les organismes responsables de l’accès aux données de santé sont en mesure, le cas échéant, de révoquer l’autorisation de traitement de données et d’interdire à l’utilisateur de données tout accès aux données de santé électroniques pendant une période maximale de cinq ans.

5.Lorsque les détenteurs de données retiennent les données de santé électroniques des organismes responsables de l’accès aux données de santé dans l’intention manifeste d’en entraver l’utilisation, ou ne respectent pas les délais fixés à l’article 41, l’organisme responsable de l’accès aux données de santé a le pouvoir d’infliger au détenteur de données des amendes, transparentes et proportionnées, pour chaque jour de retard. Le montant des amendes est fixé par l’organisme responsable de l’accès aux données de santé. En cas de manquements répétés par le détenteur de données à l’obligation de coopération loyale avec l’organisme responsable de l’accès aux données de santé, ledit organisme peut interdire au détenteur de données de participer à l’EHDS pendant une durée maximale de cinq ans. Lorsque, à la suite d’une intention manifeste d’entraver l’utilisation secondaire de données de santé électroniques, un détenteur de données s’est vu interdire, en vertu du présent article, de participer à l’EHDS, il n’a pas le droit de donner accès aux données de santé conformément à l’article 49.

6.L’organisme responsable de l’accès aux données de santé communique sans délai à l’utilisateur ou au détenteur de données concerné les mesures imposées en application du paragraphe 4 et les motifs sur lesquels elles se fondent, et il fixe un délai raisonnable pour que l’utilisateur ou le détenteur de données se conforme auxdites mesures.

7.Les sanctions et mesures imposées en application du paragraphe 4 sont mises à la disposition des autres organismes responsables de l’accès aux données de santé.

8.La Commission peut, au moyen d’actes d’exécution, déterminer l’architecture d’un outil informatique destiné à appuyer les activités prévues au présent article, en particulier les sanctions et exclusions, et à rendre lesdites activités transparentes pour les autres organismes responsables de l’accès aux données de santé. Ces actes d’exécution sont adoptés en conformité avec la procédure consultative mentionnée à l’article 68, paragraphe 2.

9.Toute personne physique ou morale concernée par une décision d’un organisme responsable de l’accès aux données de santé dispose d’un droit de recours juridictionnel effectif contre cette décision.

10.La Commission peut publier des lignes directrices sur les sanctions à appliquer par les organismes responsables de l’accès aux données de santé.

Section 3

Autorisation de traitement de données pour l’utilisation secondaire des données de santé électroniques

Article 44

Minimisation des données et limitation des finalités

1.L’organisme responsable de l’accès aux données de santé veille à ce que l’accès soit accordé uniquement aux données de santé électroniques demandées pertinentes pour la finalité du traitement dont il est fait mention dans la demande d’accès aux données présentée par l’utilisateur de données, et dans le respect de l’autorisation de traitement de données qui a été accordée.

2.Les organismes responsables de l’accès aux données de santé donnent accès aux données de santé électroniques dans un format anonymisé, dans lequel la finalité du traitement par l’utilisateur de données peut être atteinte à l’aide de ces données, compte tenu des informations fournies par l’utilisateur de données.

3.Lorsque la finalité du traitement de l’utilisateur de données ne peut être atteinte à l’aide de données anonymisées, compte tenu des informations fournies par l’utilisateur de données, les organismes responsables de l’accès aux données de santé donnent accès aux données de santé électroniques dans un format pseudonymisé. Les informations nécessaires pour annuler la pseudonymisation ne sont accessibles qu’à l’organisme responsable de l’accès aux données de santé. Les utilisateurs de données ne réidentifient pas les données de santé électroniques qui leur sont fournies dans un format pseudonymisé. Le non-respect, par l’utilisateur de données, des mesures de pseudonymisation prises par l’organisme responsable de l’accès aux données de santé lui vaut des sanctions appropriées.

Article 45

Demandes d’accès aux données

1.Toute personne physique ou morale peut présenter une demande d’accès aux données aux fins prévues à l’article 34.

2.La demande d’accès aux données comprend:

a)une explication détaillée de l’utilisation prévue des données de santé électroniques, notamment une indication, parmi les finalités prévues à l’article 34, paragraphe 1, de celles pour lesquelles l’accès est demandé;

b)une description des données de santé électroniques demandées, de leur format et des sources de données, si possible, dont la couverture géographique lorsque des données de plusieurs États membres sont demandées;

c)une mention indiquant si les données de santé électroniques doivent être mises à disposition dans un format anonymisé;

d)le cas échéant, une explication des raisons pour lesquelles l’accès aux données de santé électroniques est demandé dans un format pseudonymisé;

e)une description des garanties prévues pour empêcher toute autre utilisation des données de santé électroniques;

f)une description des garanties prévues pour protéger les droits et intérêts du détenteur de données et des personnes physiques concernées;

g)une estimation de la période pendant laquelle les données de santé électroniques sont nécessaires au traitement;

h)une description des outils et des ressources informatiques nécessaires à un environnement sécurisé.

3.Les utilisateurs de données sollicitant l’accès aux données de santé électroniques de plus d’un État membre soumettent une demande unique à l’un des organismes responsables de l’accès aux données de santé de leur choix, qui sera chargé de transmettre la demande aux autres organismes responsables de l’accès aux données de santé et participants autorisés à DonnéesDeSanté@UE (HealthData@EU), visés à l’article 52, qui ont été spécifiés dans la demande d’accès aux données. Pour les demandes d’accès à des données de santé électroniques de plus d’un État membre, l’organisme responsable de l’accès aux données de santé informe les autres organismes responsables de l’accès aux données de santé pertinents de la réception d’une demande qui les concerne, dans un délai de 15 jours à compter de la date de réception de la demande d’accès aux données.

4.Lorsque le demandeur a l’intention d’accéder aux données de santé électroniques à caractère personnel dans un format pseudonymisé, les informations supplémentaires ci-après sont fournies avec la demande d’accès aux données:

a)une description de la manière dont le traitement serait conforme à l’article 6, paragraphe 1, du règlement (UE) 2016/679;

b)des informations sur l’évaluation des aspects éthiques du traitement, le cas échéant, dans le respect du droit national.

5.Pour l’exécution des tâches visées à l’article 37, paragraphe 1, points b) et c), les organismes du secteur public et les institutions, organes et organismes de l’Union fournissent les mêmes informations que celles requises en vertu de l’article 45, paragraphe 2, à l’exception du point g), lorsqu’ils communiquent des informations sur la période pendant laquelle il est possible d’accéder aux données, sur la fréquence de cet accès ou sur la fréquence des mises à jour des données.

Lorsque les organismes du secteur public et les institutions, organes et organismes de l’Union ont l’intention d’accéder aux données de santé électroniques dans un format pseudonymisé, une description de la manière dont le traitement serait conforme à l’article 6, paragraphe 1, du règlement (UE) 2016/679 ou à l’article 5, paragraphe 1, du règlement (UE) 2018/1725, selon le cas, est également fournie.

6.La Commission peut, au moyen d’actes d’exécution, établir les modèles à utiliser pour la demande d’accès aux données prévue au présent article, pour l’autorisation de traitement de données prévue à l’article 46 et pour la demande de données prévue à l’article 47. Ces actes d’exécution sont adoptés en conformité avec la procédure consultative mentionnée à l’article 68, paragraphe 2.

7.La Commission est habilitée à adopter des actes délégués conformément à l’article 67 pour modifier la liste d’informations figurant aux paragraphes 2, 4, 5 et 6 du présent article, afin de veiller à l’adéquation de la liste concernant le traitement d’une demande d’accès aux données à l’échelon national ou transfrontière.

Article 46

Autorisation de traitement de données

1.Les organismes responsables de l’accès aux données de santé évaluent si la demande correspond à une des finalités énumérées à l’article 34, paragraphe 1, du présent règlement, si les données demandées sont nécessaires à la finalité indiquée dans la demande et si les exigences du présent chapitre sont respectées par le demandeur. Si tel est le cas, l’organisme responsable de l’accès aux données de santé délivre une autorisation de traitement de données.

2.Les organismes responsables de l’accès aux données de santé refusent toute demande recouvrant une ou plusieurs des finalités énumérées à l’article 35 ou lorsque les exigences du présent chapitre ne sont pas respectées.

3.Un organisme responsable de l’accès aux données de santé délivre ou refuse une autorisation de traitement de données dans un délai de deux mois à compter de la réception de la demande d’accès aux données. Par dérogation au règlement [...] [acte sur la gouvernance des données, COM(2020) 767 final], l’organisme responsable de l’accès aux données de santé peut, si nécessaire, prolonger de deux mois supplémentaires le délai de réponse à une demande d’accès aux données, compte tenu de la complexité de la demande. En pareil cas, l’organisme responsable de l’accès aux données de santé informe dès que possible le demandeur qu’un délai supplémentaire est nécessaire pour l’examen de la demande, et lui communique par la même occasion les raisons du retard. Lorsqu’un organisme responsable de l’accès aux données de santé ne rend pas de décision dans le délai imparti, l’autorisation de traitement de données est délivrée.

4.Après la délivrance de l’autorisation de traitement de données, l’organisme responsable de l’accès aux données de santé demande immédiatement les données de santé électroniques au détenteur des données. L’organisme responsable de l’accès aux données de santé met les données de santé électroniques à la disposition de l’utilisateur de données dans un délai de deux mois après qu’il les a reçues des détenteurs de données, sauf s’il fait savoir qu’il les fournira dans un délai plus long qu’il indique.

5.Lorsque l’organisme responsable de l’accès aux données de santé refuse de délivrer une autorisation de traitement de données, il fournit une justification de ce refus au demandeur.

6.L’autorisation de traitement de données fixe les conditions générales applicables à l’utilisateur de données, notamment:

a)les types et le format des données de santé électroniques consultées, couvertes par l’autorisation de traitement de données, ainsi que les sources desdites données;

b)la finalité pour laquelle les données sont mises à disposition;

c)la durée de l’autorisation de traitement de données;

d)des informations sur les caractéristiques techniques et sur les outils dont dispose l’utilisateur de données dans l’environnement de traitement sécurisé;

e)les redevances à payer par l’utilisateur de données;

f)toute condition spécifique supplémentaire figurant dans l’autorisation de traitement de données.

7.Les utilisateurs de données ont le droit d’accéder aux données de santé électroniques et de les traiter conformément à l’autorisation de traitement de données qui leur a été délivrée sur la base du présent règlement.

8.La Commission est habilitée à adopter des actes délégués pour modifier la liste des aspects devant faire l’objet d’une autorisation de traitement de données mentionnée au paragraphe 6 du présent article, conformément à la procédure prévue à l’article 67.

9.Une autorisation de traitement de données est délivrée pour la durée nécessaire à la réalisation des finalités demandées, qui ne dépasse pas cinq ans. Cette durée peut être prolongée une fois, à la demande de l’utilisateur de données, sur la base d’arguments et de documents justifiant cette prolongation, un mois avant l’expiration de l’autorisation de traitement de données, pour une période qui ne peut excéder cinq ans. Par dérogation à l’article 42, l’organisme responsable de l’accès aux données de santé peut percevoir des redevances majorées pour tenir compte des coûts et des risques associés au stockage des données de santé électroniques pendant une période plus longue que les cinq premières années. Afin de réduire ces coûts et ces redevances, l’organisme responsable de l’accès aux données de santé peut également proposer à l’utilisateur de données de stocker l’ensemble de données dans un système de stockage avec des capacités réduites. Les données dans l’environnement de traitement sécurisé sont effacées dans un délai de six mois à compter de l’expiration de l’autorisation de traitement de données. À la demande de l’utilisateur de données, la formule relative à la création de l’ensemble de données demandé est conservée par l’organisme responsable de l’accès aux données de santé.

10.L’utilisateur de données soumet une demande de modification de l’autorisation de traitement de données si celle-ci doit être mise à jour.

11.Les utilisateurs de données rendent publics les résultats ou l’aboutissement de l’utilisation secondaire des données de santé électroniques, dont les informations pertinentes pour la prestation de soins de santé, au plus tard 18 mois après l’achèvement du traitement des données de santé électroniques ou après la réception de la réponse à la demande de données prévue à l’article 47. Ces résultats ou cet aboutissement ne contiennent que des données anonymisées. Les utilisateurs de données informent les organismes responsables de l’accès aux données de santé auprès desquels une autorisation de traitement de données a été obtenue et les aident à rendre publiques les informations sur leurs sites web. Chaque fois que les utilisateurs de données utilisent des données de santé électroniques conformément au présent chapitre, ils citent les sources de données de santé électroniques et mentionnent que des données de santé électroniques ont été obtenues dans le cadre de l’EHDS.

12.Les utilisateurs de données informent l’organisme responsable de l’accès aux données de santé de toute constatation cliniquement significative susceptible d’influer sur l’état de santé des personnes physiques dont les données sont incluses dans l’ensemble de données.

13.La Commission peut, au moyen d’un acte d’exécution, établir un logo permettant d’indiquer la contribution de l’EHDS. Un tel acte d’exécution est adopté en conformité avec la procédure consultative mentionnée à l’article 68, paragraphe 2.

14.La responsabilité des organismes responsables de l’accès aux données de santé en tant que responsable conjoint du traitement est limitée au champ d’application de l’autorisation de traitement de données délivrée jusqu’à l’achèvement de l’activité de traitement.

Article 47

Demande de données

1.Toute personne physique ou morale peut présenter une demande de données aux fins prévues à l’article 34. Un organisme responsable de l’accès aux données de santé fournit une réponse à une demande de données uniquement dans un format statistique anonymisé, et l’utilisateur de données n’a pas accès aux données de santé électroniques utilisées pour fournir cette réponse.

2.Une demande de données comprend les éléments mentionnés à l’article 45, paragraphe 2, points a) et b), et peut, si nécessaire, comprendre également:

a)une description du résultat attendu de l’organisme responsable de l’accès aux données de santé;

b)une description du contenu des statistiques.

3.Lorsqu’un demandeur a sollicité un résultat sous une forme anonymisée, y compris au format statistique, sur la base d’une demande de données, l’organisme responsable de l’accès aux données de santé évalue le résultat, dans un délai de deux mois, et, si possible, le fournit à l’utilisateur de données dans un délai de deux mois.

Article 48

Mise à disposition de données aux organismes du secteur public et aux institutions, organes et organismes de l’Union sans autorisation de traitement de données

Par dérogation à l’article 46 du présent règlement, une autorisation de traitement de données n’est pas requise pour accéder aux données de santé électroniques au titre du présent article. Lorsqu’il accomplit les tâches prévues à l’article 37, paragraphe 1, points b) et c), l’organisme responsable de l’accès aux données de santé informe les organismes du secteur public et les institutions, organes et organismes de l’Union de la disponibilité des données dans un délai de deux mois à compter de la demande d’accès aux données, conformément à l’article 9 du règlement [...] [acte sur la gouvernance des données, COM(2020) 767 final]. Par dérogation audit règlement [...] [acte sur la gouvernance des données, COM(2020) 767 final], l’organisme responsable de l’accès aux données de santé peut, si nécessaire, prolonger de deux mois supplémentaires le délai, compte tenu de la complexité de la demande. L’organisme responsable de l’accès aux données de santé met les données de santé électroniques à la disposition de l’utilisateur de données dans un délai de deux mois après qu’il les a reçues des détenteurs de données, sauf s’il fait savoir qu’il les fournira dans un délai plus long, qu’il indique.

Article 49

Accès aux données de santé électroniques d’un détenteur de données unique

1.Lorsqu’un demandeur sollicite l’accès à des données de santé électroniques d’un détenteur de données unique dans un seul État membre, par dérogation à l’article 45, paragraphe 1, il peut déposer une demande d’accès aux données ou une demande de données directement auprès du détenteur de données. La demande d’accès aux données est conforme aux exigences énoncées à l’article 45, et la demande de données est conforme aux exigences énoncées à l’article 47. Les demandes plurinationales et celles nécessitant une combinaison d’ensembles de données de plusieurs détenteurs de données sont adressées aux organismes responsables de l’accès aux données de santé.

2.En pareil cas, le détenteur de données peut délivrer une autorisation de traitement de données conformément à l’article 46 ou fournir une réponse à une demande de données conformément à l’article 47. Le détenteur de données donne ensuite accès aux données de santé électroniques dans un environnement de traitement sécurisé en conformité avec l’article 50 et peut facturer des redevances conformément à l’article 42.

3.Par dérogation à l’article 51, le fournisseur de données unique et l’utilisateur de données sont considérés comme responsables conjoints du traitement.

4.Dans un délai de trois mois, le détenteur de données informe l’organisme responsable de l’accès aux données de santé, par voie électronique, de toutes les demandes d’accès aux données déposées, de toutes les autorisations de traitement de données délivrées et des demandes de données satisfaites au titre du présent article, afin de permettre à l’organisme responsable de l’accès aux données de santé de remplir les obligations qui lui incombent au titre de l’article 37, paragraphe 1, et de l’article 39.

Article 50

Environnement de traitement sécurisé

1.Les organismes responsables de l’accès aux données de santé ne donnent accès aux données de santé électroniques que dans un environnement de traitement sécurisé, assorti de mesures techniques et organisationnelles et d’exigences en matière de sécurité et d’interopérabilité. Ils prennent notamment les mesures de sécurité suivantes:

a)restreindre aux personnes autorisées indiquées dans l’autorisation de traitement de données correspondante l’accès à l’environnement de traitement sécurisé;

b)réduire au minimum le risque de lecture, de copie, de modification ou de suppression non autorisées de données de santé électroniques hébergées dans l’environnement de traitement sécurisé par des moyens technologiques de pointe;

c)restreindre à un nombre limité d’individus identifiables autorisés l’introduction de données de santé électroniques et l’inspection, la modification ou la suppression de données de santé électroniques hébergées dans l’environnement de traitement sécurisé;

d)veiller à ce que les utilisateurs n’aient accès qu’aux données de santé électroniques couvertes par leur autorisation de traitement de données, au moyen d’identifiants individuels et uniques et de modes d’accès confidentiels uniquement;

e)tenir des registres identifiables de l’accès à l’environnement de traitement sécurisé pendant la période nécessaire pour vérifier et contrôler toutes les opérations de traitement dans cet environnement;

f)veiller à la conformité et contrôler les mesures de sécurité énumérées au présent article afin d’atténuer les menaces potentielles pour la sécurité.

2.Les organismes responsables de l’accès aux données de santé veillent à ce que les données de santé électroniques puissent être téléchargées par les détenteurs de données et puissent être consultées par l’utilisateur de données dans un environnement de traitement sécurisé. Les utilisateurs de données ne peuvent télécharger des données de santé électroniques à caractère non personnel qu’à partir de l’environnement de traitement sécurisé.

3.Les organismes responsables de l’accès aux données de santé veillent à ce que les environnements de traitement sécurisés fassent l’objet d’audits réguliers.

4.La Commission prévoit, au moyen d’actes d’exécution, les exigences techniques, les exigences en matière de sécurité de l’information et les exigences en matière d’interopérabilité applicables aux environnements de traitement sécurisés. Ces actes d’exécution sont adoptés en conformité avec la procédure consultative mentionnée à l’article 68, paragraphe 2.

Article 51

Responsables conjoints du traitement

1.Les organismes responsables de l’accès aux données de santé et les utilisateurs de données, dont les institutions, organes et organismes de l’Union, sont considérés comme responsables conjoints du traitement des données de santé électroniques traitées conformément à l’autorisation de traitement de données.

2.La Commission établit, au moyen d’actes d’exécution, un modèle d’accord entre responsables conjoints du traitement. Ces actes d’exécution sont adoptés en conformité avec la procédure consultative mentionnée à l’article 68, paragraphe 2.

Section 4

Accès transfrontière aux données de santé électroniques à des fins d’utilisation secondaire

Article 52

Infrastructure transfrontière pour l’utilisation secondaire des données de santé électroniques [DonnéesDeSanté@UE (HealthData@EU)]

1.Chaque État membre désigne un point de contact national pour l’utilisation secondaire des données de santé électroniques, responsable de la mise à disposition des données de santé électroniques à des fins d’utilisation secondaire dans un contexte transfrontière, et communique son nom et ses coordonnées à la Commission. Le point de contact national peut être l’organisme responsable de l’accès aux données de santé désigné comme coordonnateur en application de l’article 36. La Commission et les États membres mettent ces informations à disposition du public.

2.Les points de contact nationaux prévus au paragraphe 1 sont des participants autorisés à l’infrastructure transfrontière pour l’utilisation secondaire des données de santé électroniques [DonnéesDeSanté@UE (HealthData@EU)]. Les points de contact nationaux facilitent l’accès transfrontière de différents participants autorisés à l’infrastructure aux données de santé électroniques à des fins d’utilisation secondaire, et ils coopèrent étroitement entre eux et avec la Commission.

3.Les institutions, organes et organismes de l’Union participant à la recherche, à la politique de santé ou à l’analyse sont des participants autorisés à DonnéesDeSanté@UE (HealthData@EU).

4.Les infrastructures de recherche dans le domaine de la santé ou les structures similaires dont le fonctionnement est fondé sur le droit de l’Union et qui favorisent l’utilisation de données de santé électroniques à des fins de recherche, d’élaboration de politiques, de statistiques, de sécurité des patients ou de réglementation sont des participants autorisés à DonnéesDeSanté@UE (HealthData@EU).

5.Les pays tiers ou les organisations internationales peuvent devenir des participants autorisés lorsqu’ils respectent les règles du chapitre IV du présent règlement et qu’ils font bénéficier les utilisateurs de données situés dans l’Union, selon des modalités et à des conditions équivalentes, d’un accès aux données de santé électroniques dont disposent leurs organismes responsables de l’accès aux données de santé. La Commission peut adopter des actes d’exécution établissant qu’un point de contact national d’un pays tiers ou un système établi à l’échelle international est en conformité avec les exigences de DonnéesDeSanté@UE (HealthData@EU) aux fins de l’utilisation secondaire des données de santé, est en conformité avec le chapitre IV du présent règlement et fait bénéficier les utilisateurs de données situés dans l’Union d’un accès aux données de santé électroniques auxquelles il a accès, selon des modalités et à des conditions équivalentes. Le respect de ces exigences juridiques, organisationnelles, techniques et de sécurité, dont les normes relatives aux environnements de traitement sécurisés prévus à l’article 50, est vérifié sous le contrôle de la Commission. Ces actes d’exécution sont adoptés en conformité avec la procédure consultative mentionnée à l’article 68, paragraphe 2. La Commission met la liste des actes d’exécution adoptés en vertu du présent paragraphe à la disposition du public.

6.Chaque participant autorisé acquiert la capacité technique requise pour se connecter à DonnéesDeSanté@UE (HealthData@EU) et pour y participer. Chaque participant se conforme aux exigences et aux spécifications techniques nécessaires pour exploiter l’infrastructure transfrontière et pour permettre aux participants autorisés d’y entretenir des relations.

7.La Commission est habilitée à adopter des actes délégués conformément à l’article 67 pour modifier le présent article afin d’ajouter ou de supprimer des catégories de participants autorisés à DonnéesDeSanté@UE (HealthData@EU), en tenant compte de l’avis rendu par le groupe de responsabilité conjointe du traitement, en application de l’article 66 du présent règlement.

8.Les États membres et la Commission mettent en place DonnéesDeSanté@UE (HealthData@EU) afin de soutenir et de faciliter l’accès transfrontière aux données de santé électroniques à des fins d’utilisation secondaire, en mettant en relation les points de contact nationaux pour l’utilisation secondaire des données de santé électroniques de tous les États membres et les participants autorisés à cette infrastructure.

9.La Commission met au point, déploie et exploite une plateforme de base pour DonnéesDeSanté@UE (HealthData@EU) en fournissant les services informatiques nécessaires afin de faciliter les relations entre les organismes responsables de l’accès aux données de santé dans le cadre de l’infrastructure transfrontière pour l’utilisation secondaire des données de santé électroniques. La Commission ne traite les données de santé électroniques que pour le compte des responsables conjoints du traitement, en tant que sous-traitant.

10.À la demande de plusieurs organismes responsables de l’accès aux données de santé, la Commission peut prévoir un environnement de traitement sécurisé pour les données provenant de plus d’un État membre, en conformité avec les exigences de l’article 50. Lorsqu’au moins deux organismes responsables de l’accès aux données de santé introduisent des données de santé électroniques dans l’environnement de traitement sécurisé géré par la Commission, ils sont responsables conjoints du traitement, et la Commission est le sous-traitant.

11.Les participants autorisés agissent en qualité de responsables conjoints des opérations de traitement menées dans le cadre de DonnéesDeSanté@UE (HealthData@EU) auxquelles ils sont associés, et la Commission agit en qualité de sous-traitant.

12.Les États membres et la Commission s’efforcent d’assurer l’interopérabilité de DonnéesDeSanté@UE (HealthData@EU) avec les autres espaces européens communs des données pertinents mentionnés dans les règlements [...] [acte sur la gouvernance des données, COM(2020) 767 final] et [...] [règlement sur les données, COM(2022) 68 final].

13.La Commission peut, au moyen d’actes d’exécution, établir:

a)les exigences, les spécifications techniques, l’architecture informatique de DonnéesDeSanté@UE (HealthData@EU), les conditions et les contrôles de conformité nécessaires pour que les participants autorisés adhèrent à DonnéesDeSanté@UE (HealthData@EU) et continuent de s’y investir, ainsi que les conditions d’exclusion temporaire ou définitive de DonnéesDeSanté@UE (HealthData@EU);

b)les critères minimaux que doivent remplir les participants autorisés à l’infrastructure;

c)les responsabilités des responsables conjoints du traitement et du ou des sous-traitants participant aux infrastructures transfrontières;

d)les responsabilités des responsables conjoints du traitement et du ou des sous-traitants en ce qui concerne l’environnement sécurisé géré par la Commission;

e)les spécifications, communes à d’autres espaces européens communs des données, relatives à l’interopérabilité et à l’architecture de DonnéesDeSanté@UE (HealthData@EU).

Ces actes d’exécution sont adoptés en conformité avec la procédure consultative mentionnée à l’article 68, paragraphe 2.

14.L’adhésion d’un participant autorisé à DonnéesDeSanté@UE (HealthData@EU) ou l’exclusion d’un participant de l’infrastructure est approuvée par le groupe de responsabilité conjointe du traitement, sur la base des résultats des contrôles de conformité.

Article 53

Accès aux sources transfrontières de données de santé électroniques aux fins d’une utilisation secondaire

1.Dans le cas de registres et de bases de données transfrontières, l’organisme responsable de l’accès aux données de santé auprès duquel le détenteur de données est enregistré est compétent pour statuer sur les demandes d’accès aux données visant la fourniture d’un accès aux données de santé électroniques. Lorsque le registre est contrôlé par des responsables conjoints du traitement, l’organisme responsable de l’accès aux données de santé qui fournit l’accès aux données de santé électroniques est l’organisme de l’État membre dans lequel l’un des responsables conjoints du traitement est établi.

2.Lorsque des registres ou des bases de données de plusieurs États membres s’organisent en un réseau unique de registres ou de bases de données à l’échelle de l’Union, lesdits registres peuvent désigner l’un de leurs membres comme coordonnateur de la fourniture de données du réseau de registres à des fins d’utilisation secondaire. L’organisme responsable de l’accès aux données de santé de l’État membre dans lequel est situé le coordonnateur du réseau est compétent pour statuer sur les demandes d’accès aux données visant la fourniture d’un accès aux données de santé électroniques pour le réseau de registres ou de bases de données.

3.La Commission peut, au moyen d’actes d’exécution, adopter les règles nécessaires pour faciliter le traitement des demandes d’accès aux données pour DonnéesDeSanté@UE (HealthData@EU), entre autres un formulaire de demande commun, un modèle commun d’autorisation de traitement de données, des formulaires types pour les arrangements contractuels communs en matière d’accès aux données de santé électroniques, et des procédures communes relatives au traitement des demandes transfrontières, en application des articles 45, 46, 47 et 48. Ces actes d’exécution sont adoptés en conformité avec la procédure consultative mentionnée à l’article 68, paragraphe 2.

Article 54

Reconnaissance mutuelle

1.Lorsqu’ils traitent une demande d’accès transfrontière aux données de santé électroniques à des fins d’utilisation secondaire, les organismes responsables de l’accès aux données de santé et les participants autorisés concernés conservent la responsabilité consistant à prendre des décisions d’octroi ou de refus de l’accès aux données de santé électroniques relevant de leur compétence, conformément aux exigences en matière d’accès énoncées dans le présent chapitre.

2.Une autorisation de traitement de données délivrée par un organisme responsable de l’accès aux données de santé peut bénéficier de la reconnaissance mutuelle des autres organismes responsables de l’accès aux données de santé concernés.

Section 5

Qualité et utilité des données de santé à des fins d’utilisation secondaire

Article 55

Description de l’ensemble de données

1.Les organismes responsables de l’accès aux données de santé informent les utilisateurs de données des ensembles de données disponibles et de leurs caractéristiques au moyen d’un catalogue de métadonnées. Chaque ensemble de données comprend des informations concernant la source, le périmètre, les caractéristiques principales, la nature des données de santé électroniques et les conditions de mise à disposition de ces données.

2.La Commission détermine, au moyen d’actes d’exécution, les éléments d’information minimaux que les détenteurs de données doivent fournir concernant les ensembles de données et leurs caractéristiques. Ces actes d’exécution sont adoptés en conformité avec la procédure consultative mentionnée à l’article 68, paragraphe 2.

Article 56

Étiquette de qualité et d’utilité des données

1.Les ensembles de données mis à disposition par les organismes responsables de l’accès aux données de santé peuvent être accompagnés d’une étiquette de qualité et d’utilité des données de l’Union fournie par les détenteurs de données.

2.Les ensembles de données contenant des données de santé électroniques collectées et traitées avec le soutien d’un financement public national ou de l’Union sont accompagnés d’une étiquette de qualité et d’utilité des données, conforme aux principes énoncés au paragraphe 3.

3.L’étiquette de qualité et d’utilité des données se compose des éléments suivants:

a)pour la documentation des données: métadonnées, documentation d’appui, modèle de données, dictionnaire de données, normes utilisées, provenance;

b)qualité technique, démontrant l’exhaustivité, l’unicité, l’exactitude, la validité, l’actualité et la cohérence des données;

c)pour les processus de gestion de la qualité des données: niveau de maturité des processus de gestion de la qualité des données, dont les processus d’examen et d’audit, et l’examen des biais;

d)couverture: représentation des données de santé électroniques pluridisciplinaires, représentativité de la population échantillonnée, période moyenne dans laquelle une personne physique apparaît dans un ensemble de données;

e)informations sur l’accès et la fourniture: délai entre la collecte des données de santé électroniques et leur ajout à l’ensemble de données, temps nécessaire pour la fourniture de données de santé électroniques après l’approbation de la demande d’accès aux données de santé électroniques;

f)informations sur les enrichissements de données: fusion et ajout de données à un ensemble de données existant, liens avec d’autres ensembles de données.

4.La Commission est habilitée à adopter des actes délégués conformément à l’article 67 pour modifier la liste des principes applicables à l’étiquette de qualité et d’utilité des données. Ces actes délégués peuvent également modifier la liste figurant au paragraphe 3 en ajoutant, en modifiant ou en supprimant des exigences relatives à l’étiquette de qualité et d’utilité des données.

5.La Commission détermine, au moyen d’actes d’exécution, les caractéristiques visuelles et les spécifications techniques de l’étiquette de qualité et d’utilité des données, sur la base des éléments figurant au paragraphe 3. Ces actes d’exécution sont adoptés en conformité avec la procédure consultative mentionnée à l’article 68, paragraphe 2. Ils tiennent compte des exigences énoncées à l’article 10 du règlement [...] [législation sur l’intelligence artificielle, COM(2021) 206 final] et de toute spécification commune ou norme harmonisée adoptée à l’appui de ces exigences.

Article 57

Catalogue des ensembles de données de l’UE

1.La Commission établit un catalogue des ensembles de données de l’UE mettant en relation les catalogues nationaux d’ensembles de données établis par les organismes responsables de l’accès aux données de santé et par les autres participants autorisés à DonnéesDeSanté@UE (HealthData@EU).

2.Le catalogue des ensembles de données de l’UE et les catalogues nationaux d’ensembles de données sont rendus publics.

Article 58

Spécifications minimales applicables aux ensembles de données

La Commission peut, au moyen d’actes d’exécution, déterminer les spécifications minimales applicables aux ensembles de données transfrontières pour l’utilisation secondaire des données de santé électroniques, en tenant compte des infrastructures, normes, lignes directrices et recommandations existantes de l’Union. Ces actes d’exécution sont adoptés en conformité avec la procédure consultative mentionnée à l’article 68, paragraphe 2.

Chapitre V

Autres actions

Article 59

Renforcement des capacités

La Commission soutient la mise en commun des bonnes pratiques et de l’expertise, le but étant de renforcer la capacité des États membres à appuyer les systèmes de santé numériques en ce qui concerne les utilisations primaire et secondaire des données de santé électroniques. Afin de soutenir le renforcement des capacités, la Commission élabore des lignes directrices pour l’évaluation comparative des utilisations primaire et secondaire des données de santé électroniques.

Article 60

Exigences supplémentaires en matière de marchés publics et de financement de l’Union

1.Les acheteurs publics, les autorités nationales compétentes, dont les autorités de santé numérique et les organismes responsables de l’accès aux données de santé, et la Commission font référence aux spécifications techniques, aux normes et aux profils applicables mentionnés aux articles 6, 23, 50 et 56, selon le cas, en tant que points d’orientation pour les marchés publics et lors de la formulation de leurs dossiers d’appels d’offres ou d’appels à propositions, ainsi que lors de la fixation des conditions d’octroi d’un financement de l’Union concernant le présent règlement, dont les conditions favorisantes pour ce qui est des fonds structurels et des fonds de cohésion.

2.Les conditions ex ante applicables au financement de l’Union tiennent compte des exigences élaborées dans le cadre des chapitres II, III et IV.

Article 61

Transfert de données électroniques à caractère non personnel dans un pays tiers

1.Les données électroniques à caractère non personnel mises à disposition par les organismes responsables de l’accès aux données de santé, fondées sur les données électroniques d’une personne physique qui relèvent de l’une des catégories énumérées à l’article 33[, points a), e), f), i), j), k) et m),] sont considérées comme hautement sensibles au sens de l’article 5, paragraphe 13, du règlement [...] [acte sur la gouvernance des données, COM(2020) 767 final], à condition que leur transfert vers des pays tiers présente un risque de réidentification par des moyens allant au-delà de ceux susceptibles d’être raisonnablement utilisés, compte tenu du nombre limité de personnes physiques concernées par ces données, du fait qu’elles sont géographiquement dispersées ou des évolutions technologiques attendues pour un avenir proche.

2.Les mesures de protection pour les catégories de données visées au paragraphe 1 dépendent de la nature des données et des techniques d’anonymisation, et elles sont détaillées dans l’acte délégué au titre de l’habilitation prévue à l’article 5, paragraphe 13, du règlement [...] [acte sur la gouvernance des données, COM(2020) 767 final].

Article 62

Accès et transfert internationaux des données de santé électroniques à caractère non personnel

1.Les autorités de santé numérique, les organismes responsables de l’accès aux données de santé, les participants autorisés aux infrastructures transfrontières prévues aux articles 12 et 52 et les utilisateurs de données prennent toutes les mesures techniques, juridiques et organisationnelles raisonnables, arrangements contractuels compris, afin d’empêcher le transfert international de données de santé électroniques à caractère non personnel détenues dans l’Union, ou l’accès des pouvoirs publics à de telles données, lorsque ce transfert ou cet accès serait contraire au droit de l’Union ou au droit national de l’État membre concerné, sans préjudice du paragraphe 2 ou 3 du présent article.

2.Les arrêts d’une juridiction d’un pays tiers et les décisions d’une autorité administrative d’un pays tiers exigeant d’une autorité de santé numérique, d’un organisme responsable de l’accès aux données de santé ou d’utilisateurs de données qu’ils transfèrent des données de santé électroniques à caractère non personnel relevant du champ d’application du présent règlement détenues dans l’Union, ou qu’ils donnent accès à de telles données, ne sont reconnus ou exécutoires de quelque manière que ce soit que s’ils sont fondés sur un accord international, tel qu’un traité d’entraide judiciaire, en vigueur entre le pays tiers demandeur et l’Union, ou sur tout accord de ce type entre le pays tiers demandeur et un État membre.

3.En l’absence d’un accord international tel que prévu au paragraphe 2 du présent article, lorsqu’une autorité de santé numérique, un organisme responsable de l’accès aux données de santé ou des utilisateurs de données sont destinataires d’une décision ou d’un arrêt rendu par une juridiction d’un pays tiers ou d’une décision rendue par une autorité administrative d’un pays tiers, exigeant de transférer des données à caractère non personnel relevant du champ d’application du présent règlement détenues dans l’Union, ou de donner accès à de telles données, et lorsque le respect d’une telle décision risquerait de mettre le destinataire en contrariété avec le droit de l’Union ou avec le droit national de l’État membre concerné, le transfert de ces données vers cette autorité d’un pays tiers ou l’accès à ces données par cette autorité n’a lieu que s’il est satisfait aux conditions suivantes:

a)le système du pays tiers exige que les motifs et la proportionnalité d’une telle décision ou d’un tel arrêt soient exposés et que la décision ou l’arrêt revête un caractère spécifique, par exemple en établissant un lien suffisant avec certains suspects, ou avec des infractions;

b)l’objection motivée du destinataire fait l’objet d’un examen par une juridiction compétente d’un pays tiers;

c)la juridiction compétente d’un pays tiers qui rend la décision ou l’arrêt, ou contrôle la décision d’une autorité administrative, est habilitée, en vertu du droit de ce pays tiers, à prendre dûment en compte les intérêts juridiques concernés du fournisseur des données protégées par le droit de l’Union ou par le droit national de l’État membre concerné.

4.Si les conditions énoncées au paragraphe 2 ou 3 sont remplies, une autorité de santé numérique, un organisme responsable de l’accès aux données de santé ou un organisme altruiste en matière de données fournit la quantité minimale de données autorisée en réponse à une demande, sur la base d’une interprétation raisonnable de ladite demande.

5.Les autorités de santé numérique, les organismes responsables de l’accès aux données de santé et les utilisateurs de données informent le détenteur de données de l’existence d’une demande d’accès à ses données par une autorité administrative d’un pays tiers avant de donner suite à cette demande, sauf si la demande sert des fins répressives et aussi longtemps que cela est nécessaire pour préserver l’efficacité de l’activité répressive.

Article 63

Accès et transfert internationaux des données de santé électroniques à caractère personnel

Dans le contexte de l’accès et du transfert internationaux de données de santé électroniques à caractère personnel, les États membres peuvent maintenir ou introduire d’autres conditions, dont des limitations, conformément à l’article 9, paragraphe 4, du règlement (UE) 2016/679 et dans les conditions prévues audit article.

Chapitre VI

Gouvernance et coordination européennes

Article 64

Comité de l’espace européen des données de santé (comité de l’EHDS)

1.Il est institué un comité de l’espace européen des données de santé (comité de l’EHDS) afin de faciliter la coopération et l’échange d’informations entre les États membres. Le comité de l’EHDS est composé de représentants de haut niveau des autorités de santé numérique et des organismes responsables de l’accès aux données de santé de tous les États membres. D’autres autorités nationales, dont les autorités de surveillance du marché prévues à l’article 28, le comité européen de la protection des données et le Contrôleur européen de la protection des données, peuvent être invitées aux réunions lorsque les questions examinées relèvent de leurs compétences. Le comité de l’EHDS peut également inviter des experts et des observateurs à assister à ses réunions et peut coopérer avec d’autres experts externes, le cas échéant. Les autres institutions, organes et organismes de l’Union, les infrastructures de recherche et les autres structures similaires ont un rôle d’observateur.

2.Selon les fonctions liées à l’utilisation des données de santé électroniques, le comité de l’EHDS peut travailler en sous-groupes, dans lesquels les autorités de santé numériques ou les organismes responsables de l’accès aux données de santé pour un domaine déterminé sont représentés. Les sous-groupes peuvent tenir des réunions conjointes, en tant que de besoin.

3.La composition, l’organisation, le fonctionnement et la coopération des sous-groupes sont fixés dans le règlement intérieur proposé par la Commission.

4.Les parties prenantes et les tiers concernés, dont les représentants des patients, sont invités à assister aux réunions du comité de l’EHDS et à participer à ses travaux, en fonction des sujets examinés et de leur degré de sensibilité.

5.Le comité de l’EHDS coopère avec d’autres organismes, entités et experts compétents, tels que le comité européen de l’innovation dans le domaine des données prévu à l’article 26 du règlement [...] [acte sur la gouvernance des données, COM(2020) 767 final], les organismes compétents établis en application de l’article 7 du règlement [...] [règlement sur les données, COM(2022) 68 final], les organes de contrôle établis en application de l’article 17 du règlement [...] [règlement sur l’identification électronique], le comité européen de la protection des données prévu à l’article 68 du règlement (UE) 2016/679 et les organes de cybersécurité.

6.La Commission préside les réunions du comité de l’EHDS.

7.Le comité de l’EHDS est assisté par un secrétariat assuré par la Commission.

8.La Commission adopte, au moyen d’actes d’exécution, les mesures nécessaires à l’établissement, à la gestion et au fonctionnement du comité de l’EHDS. Ces actes d’exécution sont adoptés en conformité avec la procédure consultative mentionnée à l’article 68, paragraphe 2.

Article 65

Missions du comité de l’EHDS

1.Le comité de l’EHDS est chargé des tâches ci-après relatives à l’utilisation primaire des données de santé électroniques faite conformément aux chapitres II et III:

a)aider les États membres à coordonner les pratiques des autorités de santé numérique;

b)fournir des contributions écrites et échanger de bonnes pratiques sur les questions liées à la coordination de la mise en œuvre, à l’échelon des États membres, du présent règlement et des actes délégués et d’exécution adoptés en vertu de celui-ci, notamment en ce qui concerne:

i)les dispositions des chapitres II et III;

ii)la mise au point de services en ligne facilitant l’accès sécurisé, y compris l’identification électronique sécurisée, aux données de santé électroniques pour les professionnels de la santé et les personnes physiques;

iii)les autres aspects de l’utilisation primaire des données de santé électroniques;

c)faciliter la coopération entre les autorités de santé numérique par le renforcement des capacités, la mise en place d’une structure pour les rapports annuels d’activité, l’examen par les pairs des rapports annuels d’activité et l’échange d’informations;

d)diffuser des informations concernant les risques induits par les systèmes de DME et les incidents graves ainsi que leur gestion;

e)faciliter l’échange de vues sur l’utilisation primaire des données de santé électroniques avec les parties prenantes concernées, dont les représentants des patients, les professionnels de la santé, les chercheurs, les autorités de réglementation et les décideurs dans le secteur de la santé.

2.Le comité de l’EHDS est chargé des tâches ci-après relatives à l’utilisation secondaire des données de santé électroniques faite conformément au chapitre IV:

a)aider les États membres à coordonner les pratiques des organismes responsables de l’accès aux données de santé dans la mise en œuvre des dispositions énoncées au chapitre IV, afin d’assurer une application cohérente du présent règlement;

xi)la mise en œuvre des règles relatives à l’accès aux données de santé électroniques;

xii)les spécifications techniques ou les normes existantes se rapportant aux exigences énoncées au chapitre IV;

xiii)la politique d’incitation visant à promouvoir l’amélioration de la qualité des données et de l’interopérabilité;

xiv)les politiques relatives aux redevances à percevoir par les organismes responsables de l’accès aux données de santé et les détenteurs de données;

xv)l’établissement et l’application de sanctions;

xvi)les autres aspects de l’utilisation secondaire des données de santé électroniques;

c)faciliter la coopération entre les organismes responsables de l’accès aux données de santé par le renforcement des capacités, la mise en place d’une structure pour les rapports annuels d’activité, l’examen par les pairs des rapports annuels d’activité et l’échange d’informations;

d)diffuser des informations concernant les risques et les incidents de protection des données ayant trait à l’utilisation secondaire des données de santé électroniques, ainsi que leur gestion;

e)contribuer aux travaux du comité européen de l’innovation dans le domaine des données, qui doit être établi en application de l’article 29 du règlement [...] [acte sur la gouvernance des données, COM(2020) 767 final];

f)faciliter l’échange de vues sur l’utilisation secondaire des données de santé électroniques avec les parties prenantes concernées, dont les représentants des patients, les professionnels de la santé, les chercheurs, les autorités de réglementation et les décideurs dans le secteur de la santé.

Article 66

Groupes de responsabilité conjointe du traitement pour les infrastructures de l’Union

1.La Commission établit deux groupes chargés de la responsabilité conjointe du traitement concernant les infrastructures transfrontières prévues aux articles 12 et 52. Les groupes sont composés de représentants des points de contact nationaux et d’autres participants autorisés à ces infrastructures.

2.La composition, l’organisation, le fonctionnement et la coopération des sous-groupes sont fixés dans le règlement intérieur adopté par lesdits groupes.

3.Les parties prenantes et les tiers concernés, dont les représentants des patients, peuvent être invités à assister aux réunions des groupes et à participer à leurs travaux.

4.Les groupes élisent des présidents de séance.

5.Les groupes sont assistés par un secrétariat assuré par la Commission.

6.Les groupes prennent des décisions concernant la mise au point et l’exploitation des infrastructures transfrontières en application des chapitres II et IV, en ce qui concerne les changements d’infrastructure, l’ajout d’infrastructures ou de services supplémentaires, ou la garantie de l’interopérabilité avec d’autres infrastructures, systèmes numériques ou espaces de données. Le groupe prend également les décisions consistant à approuver l’adhésion des participants autorisés aux infrastructures ou l’exclusion des participants autorisés des infrastructures.

CHAPITRE VII

Délégation et comité

Article 67

Exercice de la délégation

1.Le pouvoir d’adopter des actes délégués conféré à la Commission est soumis aux conditions fixées au présent article.

2.Le pouvoir d’adopter des actes délégués visé à l’article 5, paragraphe 2, à l’article 10, paragraphe 3, à l’article 25, paragraphe 3, à l’article 32, paragraphe 4, à l’article 33, paragraphe 7, à l’article 37, paragraphe 4, à l’article 39, paragraphe 3, à l’article 41, paragraphe 7, à l’article 45, paragraphe 7, à l’article 46, paragraphe 8, à l’article 52, paragraphe 7, et à l’article 56, paragraphe 4, est conféré à la Commission pour une période indéterminée à compter de la date d’entrée en vigueur du présent règlement.

3.Le pouvoir d’adopter des actes délégués visé à l’article 5, paragraphe 2, à l’article 10, paragraphe 3, à l’article 25, paragraphe 3, à l’article 32, paragraphe 4, à l’article 33, paragraphe 7, à l’article 37, paragraphe 4, à l’article 39, paragraphe 3, à l’article 41, paragraphe 7, à l’article 45, paragraphe 7, à l’article 46, paragraphe 8, à l’article 52, paragraphe 7, et à l’article 56, paragraphe 4, peut être révoqué à tout moment par le Parlement européen ou le Conseil. La décision de révocation met un terme à la délégation du pouvoir spécifié dans cette décision. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l’Union européenne ou à une date ultérieure qui est précisée dans ladite décision. Elle ne porte pas atteinte à la validité des actes délégués déjà en vigueur.

4.Avant l’adoption d’un acte délégué, la Commission consulte les experts désignés par chaque État membre, conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016 «Mieux légiférer».

5.Aussitôt qu’elle adopte un acte délégué, la Commission le notifie simultanément au Parlement européen et au Conseil.

6.Un acte délégué adopté en vertu de l’article 5, paragraphe 2, de l’article 10, paragraphe 3, de l’article 25, paragraphe 3, de l’article 32, paragraphe 4, de l’article 33, paragraphe 7, de l’article 37, paragraphe 4, de l’article 39, paragraphe 3, de l’article 41, paragraphe 7, de l’article 45, paragraphe 7, de l’article 46, paragraphe 8, de l’article 52, paragraphe 7, et de l’article 56, paragraphe 4, n’entre en vigueur que s’il n’a donné lieu à aucune objection du Parlement européen ou du Conseil dans un délai de trois mois à compter de sa notification à ces deux institutions ou si, avant l’expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas formuler d’objections. Ce délai est prolongé de trois mois à l’initiative du Parlement européen ou du Conseil.

Article 68

Procédure de comité

1.La Commission est assistée par un comité. Ledit comité est un comité au sens du règlement (UE) nº 182/2011.

2.Lorsqu’il est fait référence au présent paragraphe, l’article 4 du règlement (UE) nº 182/2011 s’applique.

Chapitre VIII

Divers

Article 69

Sanctions

Les États membres déterminent le régime des sanctions applicables aux violations du présent règlement et prennent toute mesure nécessaire pour assurer la mise en œuvre de celles-ci. Les sanctions doivent être effectives, proportionnées et dissuasives. Les États membres informent la Commission, au plus tard à la date d’application du présent règlement, du régime ainsi déterminé et des mesures ainsi prises, et lui communiquent immédiatement toute modification ultérieurement apportée à ce régime ou à ces mesures.

Article 70

Évaluation et réexamen

1.La Commission procède à une évaluation ciblée du présent règlement, notamment en ce qui concerne le chapitre III, cinq ans après son entrée en vigueur, et présente au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions un rapport exposant ses principales conclusions, accompagné, s’il y a lieu, d’une proposition de modification. L’évaluation comprend une évaluation de l’autocertification des systèmes de DME et une réflexion sur la nécessité d’introduire l’exécution par les organismes notifiés d’une procédure d’évaluation de la conformité.

2.La Commission procède à une évaluation globale du présent règlement sept ans après son entrée en vigueur, et présente au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions un rapport exposant ses principales conclusions, accompagné, s’il y a lieu, d’une proposition de modification.

3.Les États membres fournissent à la Commission les informations nécessaires à l’établissement de ce rapport.

Article 71

Modification de la directive 2011/24/UE

L’article 14 de la directive 2011/24/UE est supprimé.

Chapitre IX

Application différée et dispositions finales

Article 72

Entrée en vigueur et application

Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

Il est applicable à partir de la date correspondant à douze mois après sa date d’entrée en vigueur.

Toutefois, les articles 3, 4, 5, 6, 7, 12, 14, 23 et 31 sont applicables:

a)à partir de la date correspondant à un an après la date d’entrée en application pour les catégories de données de santé électroniques à caractère personnel mentionnées à l’article 5, paragraphe 1, points a), b) et c), et pour les systèmes de DME destinés par leur fabricant à traiter ces catégories de données;

b)à partir de la date correspondant à trois ans après la date d’entrée en application pour les catégories de données de santé électroniques à caractère personnel mentionnées à l’article 5, paragraphe 1, points d), e) et f), et pour les systèmes de DME destinés par leur fabricant à traiter ces catégories de données;

c)à partir de la date fixée dans des actes délégués adoptés en application de l’article 5, paragraphe 2, pour les autres catégories de données de santé électroniques à caractère personnel.

Le chapitre III est applicable aux systèmes de DME mis en service dans l’Union en vertu de l’article 15, paragraphe 2, à partir de la date correspondant à trois ans après la date d’entrée en application.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

Fait à Strasbourg, le

Par le Parlement européen Par le Conseil

La présidente Le président

FICHE FINANCIÈRE LÉGISLATIVE

1.CADRE DE LA PROPOSITION/DE L’INITIATIVE

1.1.Dénomination de la proposition/de l’initiative

1.2.Domaine(s) politique(s) concerné(s)

1.3.La proposition/l’initiative est relative à:

1.4.Objectif(s)

1.4.1.Objectif général / objectifs généraux

1.4.2.Objectif(s) spécifique(s)

1.4.3.Résultat(s) et incidence(s) attendus

1.4.4.Indicateurs de performance

1.5.Justifications de la proposition/de l’initiative

1.5.1.Besoin(s) à satisfaire à court ou à long terme, assorti(s) d’un calendrier détaillé pour la mise en œuvre de l’initiative

1.5.2.Valeur ajoutée de l’intervention de l’Union (celle-ci peut résulter de différents facteurs, par exemple gains de coordination, sécurité juridique, efficacité accrue, complémentarités, etc.). Aux fins du présent point, on entend par «valeur ajoutée de l’intervention de l’Union» la valeur découlant de l’intervention de l’Union qui vient s’ajouter à la valeur qui, sans cela, aurait été générée par la seule action des États membres.

1.5.3.Leçons tirées d’expériences similaires

1.5.4.Compatibilité avec le cadre financier pluriannuel et synergies éventuelles avec d’autres instruments appropriés

1.5.5.Évaluation des différentes possibilités de financement disponibles, y compris des possibilités de redéploiement

1.6.Durée et incidence financière de la proposition/de l’initiative

1.7.Mode(s) de gestion prévu(s)

2.MESURES DE GESTION

2.1.Dispositions en matière de suivi et de compte rendu

2.2.Système(s) de gestion et de contrôle

2.2.1.Justification du (des) mode(s) de gestion, du (des) mécanisme(s) de mise en œuvre des financements, des modalités de paiement et de la stratégie de contrôle proposée

2.2.2.Informations sur les risques recensés et sur le(s) système(s) de contrôle interne mis en place pour les atténuer

2.2.3.Estimation et justification du rapport coût/efficacité des contrôles (rapport «coûts du contrôle ÷ valeur des fonds gérés concernés»), et évaluation du niveau attendu de risque d’erreur (lors du paiement et lors de la clôture)

2.3.Mesures de prévention des fraudes et irrégularités

3.INCIDENCE FINANCIÈRE ESTIMÉE DE LA PROPOSITION/DE L’INITIATIVE

3.1.Rubrique(s) du cadre financier pluriannuel et ligne(s) budgétaire(s) de dépenses concernée(s)

3.2.Incidence financière estimée de la proposition sur les crédits

3.2.1.Synthèse de l’incidence estimée sur les crédits opérationnels

3.2.2.Estimation des réalisations financées avec des crédits opérationnels

3.2.3.Synthèse de l’incidence estimée sur les crédits administratifs

3.2.4.Compatibilité avec le cadre financier pluriannuel actuel

3.2.5.Participation de tiers au financement

3.3.Incidence estimée sur les recettes

FICHE FINANCIÈRE LÉGISLATIVE

1.CADRE DE LA PROPOSITION/DE L’INITIATIVE

1.1.Dénomination de la proposition/de l’initiative

Règlement du Parlement européen et du Conseil relatif à l’espace européen des données de santé

1.2.Domaine(s) politique(s) concerné(s)

Rubrique 1: Marché unique, innovation et numérique

Rubrique 2: Cohésion, résilience et valeurs

1.3.La proposition/l’initiative est relative à:

◻ une action nouvelle

◻ une action nouvelle suite à un projet pilote/une action préparatoire 60

◻ la prolongation d’une action existante

une fusion ou une réorientation d’une ou de plusieurs actions vers une autre action/une action nouvelle

1.4.Objectif(s)

1.4.1.Objectif général / objectifs généraux

L’objectif général de l’intervention est d’établir les règles régissant l’espace européen des données de santé afin de garantir aux personnes physiques l’accès à leurs propres données de santé et leur contrôle sur ces données, d’améliorer le fonctionnement du marché unique pour ce qui est de la mise au point et de l’utilisation de produits et services de santé innovants fondés sur des données de santé, et de veiller à ce que les chercheurs, les innovateurs, les décideurs politiques et les organismes de réglementation puissent tirer le meilleur parti des données de santé disponibles pour leurs travaux, tout en préservant la confiance et la sécurité.

1.4.2.Objectif(s) spécifique(s)

Objectif spécifique nº 1

Offrir plus de possibilités aux personnes physiques, en améliorant l’accès numérique à leurs données de santé électroniques et leur contrôle sur ces données, et en facilitant leur libre circulation.

Objectif spécifique nº 2

Fixer des exigences spécifiques relatives aux systèmes de dossiers médicaux électroniques (DME) et des obligations afin de garantir que les systèmes de DME mis sur le marché et utilisés sont interopérables, sécurisés et respectent les droits des personnes physiques concernant leurs données de santé.

Objectif spécifique nº 3

Disposer d’un cadre cohérent et efficace pour l’utilisation secondaire des données de santé des personnes physiques à des fins de recherche, d’innovation, d’élaboration de politiques, de statistiques officielles, de sécurité des patients ou d’activités réglementaires.

1.4.3.Résultat(s) et incidence(s) attendus

Préciser les effets que la proposition/l’initiative devrait avoir sur les bénéficiaires/la population visée.

Objectif spécifique nº 1

Les personnes physiques devraient bénéficier d’un accès à leurs propres données de santé et d’un contrôle sur ces données plus faciles, y compris au-delà des frontières.

Objectif spécifique nº 2

Les fournisseurs et les fabricants de systèmes de DME devraient bénéficier d’un ensemble minimal mais clair d’exigences en matière d’interopérabilité et de sécurité pour ces systèmes, réduisant ainsi les obstacles à la fourniture de ces systèmes au sein du marché unique.

Objectif spécifique nº 3

Les personnes physiques devraient bénéficier d’une multitude de produits et de services de santé innovants fournis et mis au point sur la base de l’utilisation primaire et secondaire des données de santé, tout en préservant la confiance et la sécurité.

Les utilisateurs de données de santé, à savoir les chercheurs, les innovateurs, les décideurs et les organismes de réglementation, devraient bénéficier d’une utilisation secondaire des données de santé plus efficace.

1.4.4.Indicateurs de performance

Préciser les indicateurs permettant de suivre l’avancement et les réalisations.

Objectif spécifique nº 1

a)Nombre de prestataires de soins de santé de types différents connectés à MaSanté@UE (MyHealth@EU) calculé a) en termes absolus, b) en pourcentage sur l’ensemble des prestataires de soins de santé et c) en pourcentage de personnes physiques pouvant utiliser les services fournis par MaSanté@UE (MyHealth@EU);

b)volume de données de santé électroniques à caractère personnel de différentes catégories partagées au-delà des frontières via MaSanté@UE (MyHealth@EU);

c)pourcentage de personnes physiques ayant accès à leurs dossiers médicaux électroniques;

d)niveau de satisfaction des personnes physiques à l’égard des services de MaSanté@UE (MyHealth@EU).

Ces données seront collectées au moyen de rapports annuels des autorités de santé numérique.

Objectif spécifique nº 2

e)Nombre de systèmes de DME certifiés et d’applications de bien-être pour lesquelles une étiquette a été délivrée inscrits dans la base de données de l’UE;

f)nombre de cas de non-conformité avec les exigences obligatoires.

Ces données seront collectées au moyen de rapports annuels des autorités de santé numérique.

Objectif spécifique nº 3

g)Nombre d’ensembles de données publiés dans le catalogue de données européen;

h)nombre de demandes d’accès aux données, ventilées en demandes nationales et plurinationales, traitées, acceptées ou rejetées par les organismes d’accès aux données de santé.

Ces données seront collectées au moyen de rapports annuels des organismes d’accès aux données de santé.

1.5.Justifications de la proposition/de l’initiative

1.5.1.Besoin(s) à satisfaire à court ou à long terme, assorti(s) d’un calendrier détaillé pour la mise en œuvre de l’initiative

Le règlement sera pleinement applicable quatre ans après son entrée en vigueur, une fois que l’application différée aura expiré. Les dispositions concernant les droits des personnes physiques (chapitre II), la certification des systèmes de DME (chapitre III), l’utilisation secondaire des données de santé (chapitre IV) et la gouvernance (chapitre V) devraient avoir été mis en œuvre avant cette date. En particulier, les États membres doivent avoir désigné des autorités existantes et/ou établi de nouvelles autorités pour accomplir les tâches énoncées dans la législation avant cette date, de sorte que le comité de l’espace européen des données de santé (comité de l’EHDS) soit mis en place et en mesure de les assister en amont. L’infrastructure pour l’utilisation primaire et secondaire des données de santé devrait également être opérationnelle plus tôt afin de permettre l’intégration de tous les États membres avant que le présent règlement ne soit pleinement applicable.

Justification de l’action au niveau européen (ex ante)

Comme le montre l’évaluation de l’article 14 de la directive 2011/24/UE relative aux soins de santé transfrontaliers, les approches adoptées jusqu’à présent, qui consistent en des instruments de faible intensité/non contraignants, tels que des lignes directrices et des recommandations visant à favoriser l’interopérabilité, n’ont pas produit les résultats souhaités. Les approches nationales visant à résoudre les problèmes n’ont qu’une portée limitée et n’abordent pas pleinement la question à l’échelle de l’UE: l’échange transfrontière de données de santé reste actuellement très limité, ce qui s’explique en partie par la grande diversité des normes appliquées aux données de santé dans les différents États membres. Dans de nombreux États membres, l’interopérabilité et la portabilité des données se heurtent à d’importants obstacles nationaux, régionaux et locaux, qui entravent la continuité des soins et l’efficacité des systèmes de santé. Même si des données de santé sont disponibles au format électronique, elles ne suivent généralement pas les personnes physiques lorsque ces dernières recourent aux services d’un autre prestataire de soins de santé.

Valeur ajoutée de l’Union escomptée (ex post)

Une action au niveau européen au moyen du présent règlement augmentera l’efficacité des mesures prises pour relever ces défis. La définition de droits communs pour les personnes physiques lorsqu’elles accèdent à leurs données de santé et en contrôlent l’utilisation, ainsi que l’établissement de règles et d’obligations communes en matière d’interopérabilité et de sécurité des systèmes de DME, réduiront les coûts liés à la circulation des données de santé au sein de l’UE. Une base juridique commune pour l’utilisation secondaire des données de santé permettra également aux utilisateurs de données de réaliser des gains d’efficacité dans le domaine de la santé. L’établissement d’un cadre de gouvernance commun portant sur l’utilisation primaire et secondaire des données de santé facilitera la coordination.

1.5.3.Leçons tirées d’expériences similaires

Il ressort de l’évaluation des dispositions de la directive relative aux soins de santé transfrontaliers liées à la santé numérique que, compte tenu de la nature volontaire des actions du réseau «Santé en ligne», l’efficience et l’efficacité de l’augmentation des échanges transfrontières de données de santé sont quelque peu limitées. Les progrès sont lents dans la mise en œuvre de MaSanté@UE (MyHealth@EU). Même si le réseau «Santé en ligne» a recommandé aux États membres d’utiliser les normes, les profils et les spécifications du format d’échange des dossiers médicaux électroniques dans les marchés publics afin de créer des systèmes interopérables, leur adoption a été limitée, ce qui s’est traduit par un paysage fragmenté et un accès et une portabilité inégaux des données de santé. C’est pourquoi il est nécessaire d’établir des règles, des droits et des obligations spécifiques pour les personnes physiques concernant l’accès à leurs propres données de santé et leur contrôle sur ces données, et concernant l’échange transfrontière de ces données pour des utilisations primaires et secondaires, avec une structure de gouvernance assurant la coordination des organismes responsables spécifiques au niveau de l’Union.

1.5.4.Compatibilité avec le cadre financier pluriannuel et synergies éventuelles avec d’autres instruments appropriés

L’espace européen des données de santé est étroitement lié à plusieurs autres actions de l’Union dans les domaines de la santé et de l’aide sociale, de la numérisation, de la recherche, de l’innovation et des droits fondamentaux.

Le présent règlement définit les règles, les droits et les obligations pour le fonctionnement de l’espace européen des données de santé, ainsi que le déploiement des infrastructures, des systèmes de certification/d’étiquetage et des cadres de gouvernance nécessaires. Ces mesures complètent les dispositions horizontales de l’acte sur la gouvernance des données, du règlement sur les données et du règlement général sur la protection des données.

L’exécution des obligations par la Commission et les actions de soutien associées au titre de la présente proposition législative auront un coût de 220 millions d’EUR entre 2023 et 2027. Il est prévu que l’essentiel des coûts du présent règlement (170 millions d’EUR) soit financé par le programme «L’UE pour la santé», conformément à l’article 4, point f), du règlement correspondant 61 . Les actions prévues contribuent également à la réalisation des objectifs spécifiques de l’article 4, paragraphes a), b) et h). Le programme pour une Europe numérique apportera un soutien supplémentaire de 50 millions d’EUR pour l’accès des patients à leurs données de santé au moyen de MaSanté@UE (MyHealth@EU). Dans les deux cas, les dépenses liées à la présente proposition seront couvertes par les montants programmés de ces programmes.

Dans ses programmes de travail pour 2021 et 2022, le programme «L’UE pour la santé» soutient déjà la création et l’établissement de l’EHDS avec une contribution initiale substantielle de près de 110 millions d’EUR. Cette contribution couvre le fonctionnement de l’infrastructure existante pour l’utilisation primaire des données de santé électroniques [MaSanté@UE (MyHealth@EU)], l’utilisation de normes internationales par les États membres, des actions de renforcement des capacités et d’autres actions préparatoires, ainsi qu’un projet pilote d’infrastructure pour l’utilisation secondaire des données de santé, un projet pilote pour l’accès des patients à leurs données de santé via MaSanté@UE (MyHealth@EU) et sa version à grande échelle, et la création des services centraux pour l’utilisation secondaire des données de santé.

Outre les 330 millions d’EUR au titre du programme «L’UE pour la santé» et du programme pour une Europe numérique qui viennent d’être détaillés, d’autres actions relevant du programme pour une Europe numérique, du mécanisme pour l’interconnexion en Europe et d’Horizon Europe compléteront et faciliteront la mise en œuvre de l’espace européen des données de santé. En outre, la Commission peut — sur demande — aider les États membres à atteindre les objectifs de la présente proposition en leur fournissant un soutien technique direct au titre de l’instrument d’appui technique. Ces programmes visent respectivement, entre autres, à développer et renforcer les ressources en matière de données de qualité et les mécanismes d’échange correspondants 62 et à développer, promouvoir et favoriser l’excellence scientifique 63 , y compris dans le domaine de la santé. Parmi les exemples de cette complémentarité figurent le soutien horizontal à la mise au point et à la mise à l’essai à grande échelle, par un projet pilote, d’une plateforme intergicielle intelligente pour des espaces communs de données, ce pour quoi 105 millions d’EUR ont déjà été alloués au titre du programme pour une Europe numérique en 2021-2022; des investissements spécifiques à un domaine, visant à faciliter l’accès transfrontière sécurisé aux images oncologiques et aux données génomiques, soutenus à hauteur de 38 millions d’EUR pour la période 2021-2022 par le programme pour une Europe numérique; des projets de recherche et d’innovation ainsi que des actions de coordination et de soutien en matière de qualité et d’interopérabilité des données de santé, déjà soutenus par Horizon Europe (volet 1) à hauteur de 108 millions d’EUR en 2021 et 2022, mais aussi par le programme «Infrastructures de recherche» à hauteur de 59 millions d’EUR. En 2021 et 2022, Horizon Europe a apporté un soutien supplémentaire à l’utilisation secondaire des données de santé concernant la COVID-19 (42 millions d’EUR) et le cancer (3 millions d’EUR).

En outre, en l’absence de connectivité physique dans le secteur de la santé, le mécanisme pour l’interconnexion en Europe contribuera aussi au développement de projets d’intérêt commun relatifs au déploiement de réseaux à très haute capacité répondant aux impératifs de sûreté et de sécurité et à l’accès à ces derniers, y compris des systèmes 5G, et au renforcement de la résilience et des capacités des réseaux numériques dorsaux sur les territoires de l’Union 64 . Un montant de 130 millions d’EUR est prévu en 2022 et 2023 pour l’interconnexion des infrastructures en nuage, y compris dans le domaine de la santé.

En outre, les coûts de connexion des États membres aux infrastructures européennes au sein de l’EHDS seront en partie couverts par les programmes de financement de l’Union, qui compléteront le programme «L’UE pour la santé». Des instruments tels que la facilité pour la reprise et la résilience (FRR) et le Fonds européen de développement régional (Feder) pourront financer la connexion des États membres aux infrastructures européennes.

1.5.5.Évaluation des différentes possibilités de financement disponibles, y compris des possibilités de redéploiement

L’exécution des obligations par la Commission et les actions de soutien associées au titre de la présente proposition législative seront directement financées par le programme «L’UE pour la santé» et soutenues par le programme pour une Europe numérique.

Les actions redéployées dans le cadre du programme pour une Europe numérique et d’Horizon Europe concernant la santé et la santé numérique pourront également compléter les actions de mise en œuvre soutenant ce règlement dans le cadre du programme «L’UE pour la santé».

1.6.Durée et incidence financière de la proposition/de l’initiative

◻ durée limitée

–◻ en vigueur à partir du/de [JJ/MM]AAAA jusqu’au/en [JJ/MM]AAAA

–◻ incidence financière de AAAA jusqu’en AAAA pour les crédits d’engagement et de AAAA jusqu’en AAAA pour les crédits de paiement

durée illimitée

–Mise en œuvre avec une période de montée en puissance à compter de janvier 2023,

–puis un fonctionnement en rythme de croisière au-delà.

1.7.Mode(s) de gestion prévu(s) 65

Gestion directe par la Commission

–dans ses services, y compris par l’intermédiaire de son personnel dans les délégations de l’Union;

–par les agences exécutives

◻ Gestion partagée avec les États membres

◻

Gestion indirecte en confiant des tâches d’exécution budgétaire:

–◻ à des pays tiers ou des organismes qu’ils ont désignés;

–◻ à des organisations internationales et à leurs agences (à préciser);

–◻ à la BEI et au Fonds européen d’investissement;

–◻ aux organismes visés aux articles 70 et 71 du règlement financier;

–◻ à des organismes de droit public;

–◻ à des organismes de droit privé investis d’une mission de service public, pour autant qu’ils soient dotés de garanties financières suffisantes;

–◻ à des organismes de droit privé d’un État membre qui sont chargés de la mise en œuvre d’un partenariat public-privé et présentent les garanties financières suffisantes;

–◻ à des personnes chargées de l’exécution d’actions spécifiques relevant de la PESC, en vertu du titre V du traité sur l’Union européenne, identifiées dans l’acte de base concerné.

–Si plusieurs modes de gestion sont indiqués, veuillez donner des précisions dans la partie «Remarques».

Remarques

2.MESURES DE GESTION

2.1.Dispositions en matière de suivi et de compte rendu

Préciser la fréquence et les conditions de ces dispositions.

Le règlement sera réexaminé et évalué dans un délai de sept ans à compter de son entrée en vigueur. Une évaluation ciblée de l’autocertification des systèmes de DME et une réflexion sur la nécessité d’introduire une procédure d’évaluation de la conformité menée par des organismes notifiés seront effectuées cinq ans après l’entrée en vigueur du règlement. La Commission communiquera les constatations de l’évaluation au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions.

La proposition comprend l’expansion et le déploiement des infrastructures numériques transfrontières pour l’utilisation primaire et secondaire des données de santé, ce qui facilitera le suivi de plusieurs indicateurs.

2.2.Système(s) de gestion et de contrôle

2.2.1.Justification du (des) mode(s) de gestion, du (des) mécanisme(s) de mise en œuvre des financements, des modalités de paiement et de la stratégie de contrôle proposée

Le règlement établit une nouvelle politique en matière de protection des données de santé électroniques, des règles harmonisées pour les systèmes de dossiers médicaux électroniques (DME) et des règles et une gouvernance pour la réutilisation des données de santé. Ces nouvelles règles nécessitent un mécanisme de coordination commun pour l’application transfrontière des obligations prévues par le présent règlement, sous la forme d’un nouveau groupe consultatif chargé de coordonner les activités des autorités nationales.

Les actions prévues au titre du présent règlement seront mises en œuvre en gestion directe, en utilisant les modes de mise en œuvre prévus par le règlement financier, à savoir essentiellement les subventions et les marchés publics. La gestion directe permet d’établir des conventions et des contrats de subvention avec les bénéficiaires et les contractants participant directement à des activités qui servent des politiques de l’Union. La Commission assurera un suivi direct des résultats des actions financées. Les modalités de paiement des actions financées seront adaptées aux risques liés aux opérations financières.

Afin de garantir l’efficacité, l’efficience et l’économie des contrôles effectués par la Commission, la stratégie de suivi sera orientée vers un équilibre entre les contrôles ex ante et ex post et se concentrera sur trois étapes clés de la mise en œuvre des subventions et des contrats, conformément au règlement financier:

a)la sélection des propositions/appels d’offres qui correspondent aux objectifs stratégiques du règlement;

b)le suivi opérationnel et les contrôles ex ante portant sur la mise en œuvre des projets, la passation des marchés publics, le préfinancement, les paiements intermédiaires et finaux, la gestion des garanties.

Des contrôles ex post sur les sites des bénéficiaires/contractants seront effectués pour un échantillon de transactions. Les transactions seront choisies au moyen d’une évaluation des risques combinée à une sélection aléatoire.

2.2.2.Informations sur les risques recensés et sur le(s) système(s) de contrôle interne mis en place pour les atténuer

La mise en œuvre du présent règlement se concentre sur l’attribution de subventions et de contrats de marchés publics pour des activités et des organisations spécifiques.

Les contrats de marchés publics seront principalement conclus en vue de la fourniture de plateformes européennes pour les infrastructures numériques et les services associés, et l’assistance technique pour le cadre de gouvernance.

Les subventions seront principalement accordées pour soutenir la connexion des États membres à l’infrastructure européenne, pour soutenir des projets d’interopérabilité et pour mener des actions conjointes. La période d’exécution des projets et activités subventionnés varie généralement de un à trois ans.

Les principaux risques sont les suivants:

a)risque de ne pas atteindre pleinement les objectifs du règlement en raison d’une participation insuffisante ou de problèmes de qualité/retards dans la mise en œuvre des projets ou contrats sélectionnés;

b)risque d’utilisation inefficace ou non économique des fonds accordés, tant pour les subventions (complexité des règles de financement) que pour les marchés publics (peu d’opérateurs économiques possédant les connaissances spécialisées requises, ce qui entraîne des possibilités insuffisantes de comparaison des offres de prix dans certains secteurs);

c)risque d’atteinte à la réputation de la Commission en cas de découverte d’activités frauduleuses ou criminelles; les systèmes de contrôle interne des tiers ne sont pas entièrement fiables en raison du nombre relativement élevé de contractants et de bénéficiaires hétérogènes, disposant chacun de son système de contrôle.

La Commission a mis en place des procédures internes visant à tenir compte des risques susmentionnés. Ces procédures internes sont pleinement conformes au règlement financier, comportent des mesures de lutte contre la fraude et sont fondées sur des considérations relatives aux coûts et aux avantages. Dans ce cadre, la Commission continue d’explorer les possibilités d’améliorer la gestion et de réaliser des gains d’efficacité. Les principales caractéristiques du dispositif de contrôle sont énoncées ci-après:

1)Contrôles préalables et concomitants à l’exécution des projets:

a)Un système adéquat de gestion de projet sera mis en place, axé sur les contributions des projets et des contrats aux objectifs stratégiques, en assurant une participation systématique de tous les acteurs, en établissant des comptes rendus réguliers sur la gestion du projet, complétés par des visites sur place au cas par cas, y compris des rapports sur les risques destinés à l’encadrement supérieur, le tout en maintenant la souplesse budgétaire adéquate.

b)Les modèles de convention de subvention et de contrat de services utilisés sont élaborés au sein de la Commission. Ces modèles prévoient un certain nombre de mécanismes de contrôle, comme des certificats d’audit, des garanties financières, des vérifications sur place et des inspections par l’OLAF. Les règles régissant l’éligibilité des coûts sont simplifiées grâce, par exemple, au recours aux coûts unitaires, aux montants forfaitaires, aux contributions indépendantes des coûts et aux autres possibilités offertes par le règlement financier. Cela permettra de réduire le coût des contrôles et d’orienter les vérifications et contrôles vers les domaines à haut risque.

c)Tous les membres du personnel souscrivent au code de bonne conduite administrative. Les membres du personnel participant à la procédure de sélection ou à la gestion des contrats/conventions de subvention signent (également) une déclaration d’absence de conflit d’intérêts. Le personnel reçoit régulièrement des formations et utilise des réseaux d’échange de bonnes pratiques.

d)La réalisation technique des projets fait l’objet, à intervalles réguliers, de contrôles documentaires effectués sur la base des rapports techniques intermédiaires remis par les contractants et les bénéficiaires; des réunions avec les contractants/bénéficiaires et des visites sur place sont également prévues au cas par cas.

2)Contrôles au terme du projet:

Des audits ex post sont effectués sur un échantillon de transactions pour vérifier sur place l’admissibilité des demandes de remboursement. Ces contrôles sont destinés à prévenir, détecter et corriger les erreurs matérielles liées à la légalité et à la régularité des transactions financières. Pour maximiser l’incidence des contrôles, la procédure de sélection des bénéficiaires à soumettre à un audit prévoit de combiner une sélection en fonction du risque et un échantillonnage aléatoire et de prendre en considération, dans la mesure du possible, des aspects opérationnels lors des vérifications sur place.

Les coûts annuels du niveau de contrôle suggéré dans le cadre du troisième programme de santé 2014-2020 représentent environ 4 à 7 % du budget annuel des dépenses opérationnelles. Ils s’expliquent par la diversité des transactions à contrôler. En effet, dans le domaine de la santé, la gestion directe implique l’attribution de nombreux contrats et subventions pour des actions de très petite à très grande taille, et le versement de nombreuses subventions de fonctionnement à des organisations non gouvernementales. Le risque lié à ces activités concerne la capacité des organisations, notamment celles de petite taille, à contrôler efficacement leurs dépenses.

La Commission estime que le coût moyen des contrôles devrait être le même pour les actions proposées au titre du présent règlement.

Dans le cadre du troisième programme de santé 2014-2020, sur une base de 5 ans, le taux d’erreur pour les audits sur place des subventions en gestion directe était de 1,8 %, tandis que pour les marchés publics, il était inférieur à 1 %. Ce niveau d’erreur est jugé acceptable, car il se situe en dessous du seuil de signification de 2 %.

Les actions proposées n’auront pas d’incidence sur la manière dont les crédits sont actuellement gérés. Le système de contrôle existant s’est révélé apte à prévenir et/ou à relever les erreurs et/ou les irrégularités et, le cas échéant, à les corriger. Il sera adapté pour inclure les nouvelles actions et pour garantir que les taux d’erreur résiduels (après correction) restent inférieurs au seuil de 2 %.

2.3.Mesures de prévention des fraudes et irrégularités

Préciser les mesures de prévention et de protection existantes ou envisagées, au titre de la stratégie antifraude par exemple.

En ce qui concerne les activités relevant de la gestion directe, la Commission prend les mesures appropriées garantissant la protection des intérêts financiers de l’Union européenne par l’application de mesures préventives contre la fraude, la corruption et toute autre activité illégale, au moyen de contrôles efficaces et, si des irrégularités sont décelées, par le recouvrement des montants indûment versés et, s’il y a lieu, par l’application de sanctions effectives, proportionnées et dissuasives. À cet effet, la Commission a adopté une stratégie antifraude, mise à jour en dernier lieu en avril 2019 [COM(2019)196], qui prévoit notamment les mesures de prévention, de détection et de correction énoncées ci-après:

La Commission ou ses représentants et la Cour des comptes disposent d’un pouvoir d’audit, sur pièces et sur place, à l’égard de tous les bénéficiaires de subventions, contractants et sous-traitants qui ont reçu des fonds de l’Union. L’OLAF est autorisé à effectuer des contrôles et vérifications sur place auprès des opérateurs économiques concernés, directement ou indirectement, par un tel financement.

La Commission met également en œuvre une série de mesures telles que les mesures suivantes:

a)dans les décisions, conventions et contrats résultant de la mise en œuvre du règlement, la Commission, OLAF compris, et la Cour des comptes seront expressément habilitées à mener des audits, des vérifications sur place et des inspections; ainsi qu’à recouvrer les montants indûment versés et, le cas échéant, à imposer des sanctions administratives;

b)pendant la phase d’évaluation des propositions ou offres reçues à la suite d’un appel, les candidats et soumissionnaires seront évalués en fonction des critères d’exclusion publiés, sur la base de déclarations et du système de détection rapide et d’exclusion (EDES);

c)les règles régissant l’éligibilité des dépenses seront simplifiées conformément aux dispositions du règlement financier;

d)des formations sur des questions relatives à la fraude et aux irrégularités sont régulièrement dispensées à l’ensemble du personnel participant à la gestion des contrats, ainsi qu’aux auditeurs et aux contrôleurs qui vérifient les déclarations des bénéficiaires sur le terrain.

3.INCIDENCE FINANCIÈRE ESTIMÉE DE LA PROPOSITION/DE L’INITIATIVE

3.1.Rubrique(s) du cadre financier pluriannuel et ligne(s) budgétaire(s) de dépenses concernée(s)

·Lignes budgétaires existantes

Dans l’ordre des rubriques du cadre financier pluriannuel et des lignes budgétaires.

Rubrique du cadre financier pluriannuel	Ligne budgétaire	Nature de la dépense	Participation
	Numéro	CD/CND 66	de pays AELE 67	de pays candidats 68	de pays tiers	au sens de l’article 21, paragraphe 2, point b), du règlement financier
1	02 04 03 – Programme pour une Europe numérique – Intelligence artificielle	CD	OUI	OUI	OUI	NON
2b	06 06 01 - Programme «L’UE pour la santé» (EU4Health)	CD	OUI	OUI	OUI	NON
7	20 02 06 Dépenses de gestion	CND	NON	NON	NON	NON

3.2.Incidence financière estimée de la proposition sur les crédits

3.2.1.Synthèse de l’incidence estimée sur les crédits opérationnels

–◻ La proposition/l’initiative n’engendre pas l’utilisation de crédits opérationnels

– La proposition/l’initiative engendre l’utilisation de crédits opérationnels, comme expliqué ci-après:

En Mio EUR (à la 3e décimale)

Rubrique du cadre
financier pluriannuel

Marché unique, innovation et numérique

DG CNECT (Réseaux de communication, contenu et technologies)			Année 2022 69	Année 2023	Année 2024	Année 2025	Année 2026	Année 2027	Années suivantes (par an)	TOTAL 2023-2027
• Crédits opérationnels
02 04 03 – Programme pour une Europe numérique – Intelligence artificielle	Engagements	(1a)			10,000	20,000		20,000		50,000
	Paiements	(2a)			5,000	15,000	10,000	10,000	10,000 70	50,000
Crédits de nature administrative financés par l’enveloppe de certains programmes spécifiques 71
Ligne budgétaire		(3)
TOTAL des crédits pour la DG CNECT	Engagements	=1a+1b+1c+3			10,000	20,000		20,000		50,000
	Paiements	=2a+2b+2c +3			5,000	15,000	10,000	10,000	10,000	50,000
Les contributions du programme pour une Europe numérique à compter de 2023 sont indicatives et seront examinées dans le contexte de la préparation des programmes de travail respectifs. L’allocation finale dépendra des priorités de financement décidées dans le cadre de la procédure d’adoption sous-jacente et de l’accord du comité de programme concerné.

• TOTAL des crédits opérationnels	Engagements	(4)	10,000	20,000		20,000		50,000
	Paiements	(5)	5,000	15,000	10,000	10,000	10,000	50,000
• TOTAL des crédits de nature administrative financés par l’enveloppe de certains programmes spécifiques		(6)
TOTAL des crédits pour la RUBRIQUE 1 du cadre financier pluriannuel	Engagements	=4+6	10,000	20,000		20,000		50,000
	Paiements	=5+6	5,000	15,000	10,000	10,000	10,000	50,000

Rubrique du cadre
financier pluriannuel

Cohésion, résilience et valeurs

DG SANTÉ			Année 2022 72	Année 2023	Année 2024	Année 2025	Année 2026	Année 2027	Années suivantes (par an)	TOTAL 2023-2027
• Crédits opérationnels
06 06 01 - Programme «L’UE pour la santé» (EU4Health)	Engagements	(1a)		26,000	25,000	34,000	35,000	50,000	15,000	170,000
	Paiements	(2a)		13,000	25,500	29,500	34,500	67,500	15,000	170,000
Crédits de nature administrative financés par l’enveloppe de certains programmes spécifiques 73
Ligne budgétaire		(3)
TOTAL des crédits pour la DG SANTE	Engagements	=1a+1b+1c+3		26,000	25,000	34,000	35,000	50,000	15,000	170,000
	Paiements	=2a+2b+2c +3		13,000	25,500	29,500	34,500	67,500	15,000	170,000

• TOTAL des crédits opérationnels	Engagements	(4)	26,000	25,000	34,000	35,000	50,000	15,000	170,000
	Paiements	(5)	13,000	25,500	29,500	34,500	67,500	15,000	170,000
• TOTAL des crédits de nature administrative financés par l’enveloppe de certains programmes spécifiques		(6)
TOTAL des crédits pour la RUBRIQUE 2b du cadre financier pluriannuel	Engagements	=4+6	26,000	25,000	34,000	35,000	50,000	15,000	170,000
	Paiements	=5+6	13,000	25,500	29,500	34,500	67,500	15,000	170,000

Rubrique du cadre
financier pluriannuel

Dépenses administratives

Cette partie est à compléter en utilisant les «données budgétaires de nature administrative», à introduire d’abord dans l’ annexe de la fiche financière législative (annexe V des règles internes), à charger dans DECIDE pour les besoins de la consultation interservices.

En Mio EUR (à la 3e décimale)

		Année 2022	Année 2023	Année 2024	Année 2025	Année 2026	Année 2027	Années suivantes (par an)	TOTAL 2023-2027
DG SANTÉ
• Ressources humaines			3,289	3,289	3,289	3,289	3,289	3,289	16,445
• Autres dépenses administratives			0,150	0,150	0,250	0,250	0,250	0,250	1,050
TOTAL pour la DG SANTE	Crédits		3,439	3,439	3,539	3,539	3,539	3,539	17,495

TOTAL des crédits
pour la RUBRIQUE 7
du cadre financier pluriannuel

(Total engagements = Total paiements)

3,439

3,539

17,495

En Mio EUR (à la 3e décimale)

		Année 2022	Année 2023	Année 2024	Année 2025	Année 2026	Année 2027	Années suivantes (par an)	TOTAL 2023-2027
TOTAL des crédits pour les RUBRIQUES 1 à 7 du cadre financier pluriannuel	Engagements		29,439	38,439	57,539	38,539	73,539	18,539	237,495
	Paiements		16,439	33,939	48,039	48,039	91,039	18,539	237,495

3.2.2.Estimation des réalisations financées avec des crédits opérationnels

Crédits d’engagement en Mio EUR (à la 3e décimale)

Indiquer les objectifs et les réalisations ⇩			Année 2022		Année 2023		Année 2024		Année 2025		Année 2026		Année 2027		Années suivantes (par an)		TOTAL 2023-2027
	RÉALISATIONS
	Type 74	Coût moyen	Nº	Coût	Nº	Coût	Nº	Coût	Nº	Coût	Nº	Coût	Nº	Coût	Nº	Coût	Nbre total	Coût total
OBJECTIF SPÉCIFIQUE 1
Mise au point et maintenance de la plateforme centrale européenne pour MaSanté@UE (MyHealth@EU) et soutien aux États membres						16,400		18,000		28,000		10,000		38,000		8,000		110,400
Sous-total objectif spécifique nº 1						16,400		18,000		28,000		10,000		38,000		8,000		110,400
OBJECTIF SPÉCIFIQUE 2
Base de données pour les systèmes de DME et les applications de bien-être						3,100		3,000		3,000		3,000		2,000		2,000		14,100
Sous-total objectif spécifique nº 2						3,100		3,000		3,000		3,000		2,000		2,000		14,100
OBJECTIF SPÉCIFIQUE 3
Mise au point et maintenance de la plateforme centrale européenne pour DonnéesDeSanté@UE (HealthData@EU) et soutien aux États membres						6,500		14,000		23,000		22,000		30,000		5,000		95,500
Sous-total objectif spécifique nº 3						6,500		14,000		23,000		22,000		30,000		5,000		95,500
TOTAUX						26,000		35,000		54,000		35,000		70,000		15,000		220,000

3.2.3.Synthèse de l’incidence estimée sur les crédits administratifs

–◻ La proposition/l’initiative n’engendre pas l’utilisation de crédits de nature administrative.

– La proposition/l’initiative engendre l’utilisation de crédits de nature administrative, comme expliqué ci-après:

En Mio EUR (à la 3e décimale)

	Année 2022	Année 2023	Année 2024	Année 2025	Année 2026	Année 2027 et années suivantes	TOTAL
RUBRIQUE 7 du cadre financier pluriannuel
Ressources humaines		3,289	3,289	3,289	3,289	3,289	16,445
Autres dépenses administratives		0,150	0,150	0,250	0,250	0,250	1,050
Sous-total RUBRIQUE 7 du cadre financier pluriannuel		3,439	3,439	3,539	3,539	3,539	17,495

	Année 2022	Année 2023	Année 2024	Année 2025	Année 2026	Année 2027 et années suivantes	TOTAL
Hors RUBRIQUE 7 75 du cadre financier pluriannuel
Ressources humaines
Autres dépenses de nature administrative
Sous-total hors RUBRIQUE 7 du cadre financier pluriannuel

	Année 2022	Année 2023	Année 2024	Année 2025	Année 2026	Année 2027 et années suivantes	TOTAL
TOTAL		3,439	3,439	3,539	3,539	3,539	17,495

Les besoins en crédits pour les ressources humaines et les autres dépenses de nature administrative seront couverts par les crédits de la DG déjà affectés à la gestion de l’action et/ou redéployés en interne au sein de la DG, complétés le cas échéant par toute dotation additionnelle qui pourrait être allouée à la DG gestionnaire dans le cadre de la procédure d’allocation annuelle et compte tenu des contraintes budgétaires existantes.

3.2.3.1.Besoins estimés en ressources humaines

–◻ La proposition/l’initiative n’engendre pas l’utilisation de ressources humaines.

– La proposition/l’initiative engendre l’utilisation de ressources humaines, comme expliqué ci-après:

Estimation à exprimer en équivalents temps plein

		Année 2022	Année 2023	Année 2024	Année 2025	Année 2026	Année 2027 et années suivantes
• Emplois du tableau des effectifs (fonctionnaires et agents temporaires)
20 01 02 01 (au siège et dans les bureaux de représentation de la Commission)			16	16	16	16	16
20 01 02 03 (en délégation)
01 01 01 01 (recherche indirecte)
01 01 01 11 (recherche directe)
Autres lignes budgétaires (à préciser)
20 02 01 (AC, END, INT de l’enveloppe globale)			9	9	9	9	9
20 02 03 (AC, AL, END, INT et JPD dans les délégations)
XX 01 xx yy zz 76	- au siège
	- en délégation
01 01 01 02 (AC, END, INT sur recherche indirecte)
01 01 01 12 (AC, END, INT sur recherche directe)
Autres lignes budgétaires (à préciser)
TOTAL			25	25	25	25	25

06 est le domaine politique ou le titre concerné.

Les besoins en ressources humaines seront couverts par les effectifs de la DG déjà affectés à la gestion de l’action et/ou redéployés en interne au sein de la DG, complétés le cas échéant par toute dotation additionnelle qui pourrait être allouée à la DG gestionnaire dans le cadre de la procédure d’allocation annuelle et compte tenu des contraintes budgétaires existantes.

Description des tâches à effectuer:

Fonctionnaires et agents temporaires

12 AD ETP (10 à l’unité politique et 2 à l’unité informatique de la DG SANTE) et 4 AST ETP (3 à l’unité politique et 1 à l’unité informatique de la DG SANTE) seront nécessaires pour exécuter les tâches suivantes liées à la mise au point et au fonctionnement de l’EHDS:

a)gestion de l’infrastructure numérique transfrontière MaSanté@UE (MyHealth@EU);

b)gestion de l’infrastructure numérique transfrontière pour les utilisations secondaires;

c)normalisation des dossiers médicaux électroniques et des échanges de données de santé;

d)qualité des données des dossiers médicaux électroniques et des échanges de données de santé;

e)accès aux données de santé pour des utilisations secondaires;

f)contrôles des plaintes, des infractions et de la de conformité;

g)soutien logistique au cadre de gouvernance (réunions physiques et en ligne);

h)tâches horizontales sur la communication, la gestion des parties prenantes et les relations interinstitutionnelles;

i)coordination interne;

j)activités de gestion.

6,5 postes AD ETP et 4 AST ETP seront couverts par le personnel qui travaille actuellement sur la santé numérique et les échanges de données de santé, en vertu de l’article 14 de la directive 2011/24/UE, et dans le cadre des préparatifs du règlement EHDS. Les 5,5 postes AD ETP restants seront couverts par un redéploiement interne de la DG SANTE.

Personnel externe

Pour l’exécution des tâches énumérées ci-dessus, le personnel AD et AST sera soutenu par 5 postes AC et 4 END à la DG SANTE.

4 AC ETP et 3 END ETP seront couverts par le personnel travaillant actuellement sur la santé numérique et les échanges de données de santé, en vertu de l’article 14 de la directive 2011/24/UE, et dans le cadre des préparatifs du règlement EHDS. Les postes restants, 1 AC ETP et 1 END ETP, seront couverts par un redéploiement interne de la DG SANTE.

3.2.4.Compatibilité avec le cadre financier pluriannuel actuel

La proposition/l’initiative:

– peut être intégralement financée par voie de redéploiement au sein de la rubrique concernée du cadre financier pluriannuel (CFP).

Les crédits seront redéployés au sein de l’enveloppe financière allouée au programme «L’UE pour la santé» et au programme pour une Europe numérique dans le CFP 2021-2027.

–◻ nécessite l’utilisation de la marge non allouée sous la rubrique correspondante du CFP et/ou le recours aux instruments spéciaux comme le prévoit le règlement CFP.

–◻ nécessite une révision du CFP.

3.2.5.Participation de tiers au financement

La proposition/l’initiative:

– ne prévoit pas de cofinancement par des tierces parties.

–◻ prévoit le cofinancement par des tierces parties estimé ci-après:

Crédits en Mio EUR (à la 3e décimale)

	Année N 77	Année N+1	Année N+2	Année N+3	Insérer autant d’années que nécessaire pour refléter la durée de l’incidence (cf. point 1.6)	Total
Préciser l’organisme de cofinancement
TOTAL crédits cofinancés

3.3.Incidence estimée sur les recettes

– La proposition/l’initiative est sans incidence financière sur les recettes.

–◻ La proposition/l’initiative a une incidence financière décrite ci-après:

–◻ sur les ressources propres

–◻ sur les autres recettes

–Veuillez indiquer si les recettes sont affectées à des lignes de dépenses ◻

En Mio EUR (à la 3e décimale)

Ligne budgétaire de recettes:	Montants inscrits pour l’exercice en cours	Incidence de la proposition/de l’initiative 78
		Année N	Année N+1	Année N+2	Année N+3	Insérer autant d’années que nécessaire pour refléter la durée de l’incidence (cf. point 1.6)
Article ………….

Pour les recettes affectées, préciser la (les) ligne(s) budgétaire(s) de dépenses concernée(s).

Autres remarques (relatives par exemple à la méthode/formule utilisée pour le calcul de l’incidence sur les recettes ou toute autre information).

(1) Commission européenne. Stratégie européenne pour les données (2020), https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_fr

(2) Comme indiqué dans la lettre de mission suivante (en anglais): mission-letter-stella-kyriakides_en.pdf (europa.eu) .

(3) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).

(4) Commission européenne, Assessment of the EU Member States’ rules on health data in the light of the GDPR , 2021.

(5) Directive 2011/24/UE du Parlement européen et du Conseil du 9 mars 2011 relative à l’application des droits des patients en matière de soins de santé transfrontaliers (JO L 88 du 4.4.2011, p. 45).

(6) Règlement (UE) 2021/953 du Parlement européen et du Conseil du 14 juin 2021 relatif à un cadre pour la délivrance, la vérification et l’acceptation de certificats COVID-19 interopérables de vaccination, de test et de rétablissement (certificat COVID numérique de l’UE) afin de faciliter la libre circulation pendant la pandémie de COVID-19 (JO L 211 du 15.6.2021, p. 1).

(7) Commission européenne, Cadre européen d’interopérabilité

(8) Commission européenne, Décennie numérique de l’Europe: objectifs numériques pour 2030 .

(9) Commission européenne, initiative intitulée «Déclaration de principes numériques — une "approche européenne" pour la société numérique» .

(10) Règlement (UE) 2017/745 du Parlement européen et du Conseil du 5 avril 2017 relatif aux dispositifs médicaux, modifiant la directive 2001/83/CE, le règlement (CE) nº 178/2002 et le règlement (CE) nº 1223/2009 et abrogeant les directives du Conseil 90/385/CEE et 93/42/CEE (JO L 117 du 5.5.2017, p. 1)

(11) Règlement (UE) 2017/746 du Parlement européen et du Conseil du 5 avril 2017 relatif aux dispositifs médicaux de diagnostic in vitro et abrogeant la directive 98/79/CE et la décision 2010/227/UE de la Commission (JO L 117 du 5.5.2017, p. 176).

(12) Proposition de règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle), COM(2021) 206 final .

(13) Proposition de règlement du Parlement européen et du Conseil sur la gouvernance européenne des données (acte sur la gouvernance des données), COM(2020) 767 final .

(14) Proposition de règlement fixant des règles harmonisées pour l’équité de l’accès aux données et de l’utilisation des données (règlement sur les données), COM(2022) 68 final .

(15) Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (JO L 194 du 19.7.2016, p. 1).

(16) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) nº 45/2001 et la décision nº 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).

(17) Autorité européenne de préparation et de réaction en cas d’urgence sanitaire | Commission européenne (europa.eu) .

(18) Un plan européen de lutte contre le cancer | Commission européenne (europa.eu) .

(19) Mission de l’UE: Cancer | Commission européenne (europa.eu) .

(20) Stratégie pharmaceutique pour l’Europe (europa.eu) .

(21) Proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, abrogeant la directive (UE) 2016/1148 [COM(2020) 823 final].

(22) Proposition de règlement du Parlement européen et du Conseil modifiant le règlement (UE) nº 910/2014 en ce qui concerne l’établissement d’un cadre européen relatif à une identité numérique, COM(2021)281 final .

(23) Commission européenne, Rapport intitulé «Les régions frontalières de l’UE: des laboratoires vivants de l’intégration européenne» , 2021.

(24) L’exclusion des données «déduites» et la limitation aux données traitées sur la base du consentement ou d’un contrat signifient que d’importants volumes de données relatives à la santé ne relèvent pas du champ d’application du droit à la portabilité au titre du RGPD.

(25) Coin presse | Commission européenne (europa.eu) .

(26) Pour de plus amples détails, voir le document intitulé «Nivel for European Commission», p. 20.

(27) Commission européenne (étude à venir). Étude sur une infrastructure et un écosystème de données à l’appui de l’analyse d’impact de l’espace européen des données de santé, Trasys.

(28) Commission européenne, Public consultation on overcoming cross-border obstacles, 2020.

(29) Commission européenne (2020). Assessment of the EU Member States rules on health data in the light of GDPR . (Annexes disponibles ici : https://ec.europa.eu/health/system/files/2021-02/ms_rules_health-data_annex_en_0.pdf ).

(30) eHealth, Interoperability of Health Data and Artificial Intelligence for Health and Care in the EU, Lot 1 - Interoperability of Electronic Health Records in the EU (2020) .

(31) Study on the use of real-world data (RWD) for research, clinical care, regulatory decision-making, health technology assessment, and policy-making .

(32) Market study on telemedicine .

(33) Preliminary Opinion 8/2020 on the European Health Data Space .

(34) Article 6, paragraphe 4, du règlement (UE) 2021/1119 du Parlement européen et du Conseil du 30 juin 2021 établissant le cadre requis pour parvenir à la neutralité climatique et modifiant les règlements (CE) nº 401/2009 et (UE) 2018/1999 («loi européenne sur le climat»).

(35) Les contributions du programme pour une Europe numérique à partir de 2023 sont indicatives et seront envisagées dans le contexte de la préparation des programmes de travail respectifs. L’allocation finale dépendra des priorités de financement décidées dans le cadre de la procédure d’adoption sous-jacente et de l’accord du comité de programme concerné.

(36) Article 5 du règlement (UE) 2021/694 du Parlement européen et du Conseil du 29 avril 2021 établissant le programme pour une Europe numérique et abrogeant la décision (UE) 2015/2240.

(37) Article 3, paragraphe 2, point a), du règlement (UE) 2021/695 du Parlement européen et du Conseil du 28 avril 2021 portant établissement du programme-cadre pour la recherche et l’innovation «Horizon Europe» et définissant ses règles de participation et de diffusion, et abrogeant les règlements (UE) nº 1290/2013 et (UE) nº 1291/2013.

(38) Article 3, paragraphe 2, point c), du règlement (UE) 2021/1153 du Parlement européen et du Conseil du 7 juillet 2021 établissant le mécanisme pour l’interconnexion en Europe et abrogeant les règlements (UE) nº 1316/2013 et (UE) nº 283/2014.

(39) JO C du , p. .

(40) JO C du , p. .

(41) Décision d’exécution (UE) 2019/1269 de la Commission du 26 juillet 2019 modifiant la décision d’exécution 2014/287/UE établissant les critères de mise en place et d’évaluation des réseaux européens de référence et de leurs membres et de facilitation des échanges d’informations et de connaissances liées à la mise en place de ces réseaux et à leur évaluation (JO L 200 du 29.7.2019, p. 35).

(42) Portail EOSC (eosc-portal.eu)

(43) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).

(44) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) nº 45/2001 et la décision nº 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).

(45) Recommandation (UE) 2019/243 de la Commission du 6 février 2019 relative à un format européen d’échange des dossiers de santé informatisés (JO L 39 du 11.2.2019, p. 18).

(46) Directive 2011/24/UE du Parlement européen et du Conseil du 9 mars 2011 relative à l’application des droits des patients en matière de soins de santé transfrontaliers (JO L 88 du 4.4.2011, p. 45).

(47) Règlement (UE) nº 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (JO L 257 du 28.8.2014, p. 73).

(48) Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) nº 526/2013 (règlement sur la cybersécurité) (JO L 151 du 7.6.2019, p. 15).

(49) Règlement (UE) 2017/745 du Parlement européen et du Conseil du 5 avril 2017 relatif aux dispositifs médicaux, modifiant la directive 2001/83/CE, le règlement (CE) nº 178/2002 et le règlement (CE) nº 1223/2009 et abrogeant les directives du Conseil 90/385/CEE et 93/42/CEE (JO L 117 du 5.5.2017, p. 1).

(50) Règlement (CE) nº 723/2009 du Conseil du 25 juin 2009 relatif à un cadre juridique communautaire applicable à un Consortium pour une infrastructure européenne de recherche (ERIC) (JO L 206 du 8.8.2009, p. 1).

(51) Règlement (UE) 2018/1724 du Parlement européen et du Conseil du 2 octobre 2018 établissant un portail numérique unique pour donner accès à des informations, à des procédures et à des services d’assistance et de résolution de problèmes, et modifiant le règlement (UE) nº 1024/2012 (JO L 295 du 21.11.2018, p. 1).

(52) JO L 123 du 12.5.2016, p. 1.

(53) Règlement (UE) nº 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l’exercice des compétences d’exécution par la Commission (JO L 55 du 28.2.2011, p. 13).

(54) Commission européenne, Cadre européen d’interopérabilité

(55) Directive (UE) 2019/882 du Parlement européen et du Conseil du 17 avril 2019 relative aux exigences en matière d’accessibilité applicables aux produits et services (JO L 151 du 7.6.2019, p. 70).

(56) Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (JO L 194 du 19.7.2016, p. 1).

(57) Directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d’information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l’information (JO L 241 du 17.9.2015, p. 1).

(58) Règlement (CE) nº 765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l’accréditation et à la surveillance du marché pour la commercialisation des produits et abrogeant le règlement (CEE) nº 339/93 du Conseil (JO L 218 du 13.8.2008, p. 30).

(59) Recommandation de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises (JO L 124 du 20.5.2003, p. 36).

(60) Tel(le) que visé(e) à l’article 58, paragraphe 2, point a) ou b), du règlement financier.

(61) Règlement (UE) 2021/522 du Parlement européen et du Conseil du 24 mars 2021 établissant un programme d’action de l’Union dans le domaine de la santé (programme «L’UE pour la santé») pour la période 2021-2027, et abrogeant le règlement (UE) nº 282/2014.

(62) Article 5 du règlement (UE) 2021/694 du Parlement européen et du Conseil du 29 avril 2021 établissant le programme pour une Europe numérique et abrogeant la décision (UE) 2015/2240.

(63) Article 3, paragraphe 2, point a), du règlement (UE) 2021/695 du Parlement européen et du Conseil du 28 avril 2021 portant établissement du programme-cadre pour la recherche et l’innovation «Horizon Europe» et définissant ses règles de participation et de diffusion, et abrogeant les règlements (UE) nº 1290/2013 et (UE) nº 1291/2013.

(64) Article 3, paragraphe 2, point c), du règlement (UE) 2021/1153 du Parlement européen et du Conseil du 7 juillet 2021 établissant le mécanisme pour l’interconnexion en Europe et abrogeant les règlements (UE) nº 1316/2013 et (UE) nº 283/2014.

(65) Les explications sur les modes de gestion ainsi que les références au règlement financier sont disponibles sur le site BudgWeb: https://myintracomm.ec.europa.eu/budgweb/FR/man/budgmanag/Pages/budgmanag.aspx

(66) CD = crédits dissociés / CND = crédits non dissociés.

(67) AELE: Association européenne de libre-échange.

(68) Pays candidats et, le cas échéant, pays candidats potentiels des Balkans occidentaux.

(69) L’année N est l’année du début de la mise en œuvre de la proposition/de l’initiative. Veuillez remplacer «N» par la première année de mise en œuvre prévue (par exemple: 2021). Procédez de la même façon pour les années suivantes.

(70) Ce montant découle de l’engagement en 2027 et ne constitue pas un paiement récurrent. Il est inclus dans le calcul du total pour la période 2023-2027.

(71) Assistance technique et/ou administrative et dépenses d’appui à la mise en œuvre de programmes et/ou d’actions de l’UE (anciennes lignes «BA»), recherche indirecte, recherche directe.

(72) L’année N est l’année du début de la mise en œuvre de la proposition/de l’initiative. Veuillez remplacer «N» par la première année de mise en œuvre prévue (par exemple: 2021). Procédez de la même façon pour les années suivantes.

(73) Assistance technique et/ou administrative et dépenses d’appui à la mise en œuvre de programmes et/ou d’actions de l’UE (anciennes lignes «BA»), recherche indirecte, recherche directe.

(74) Les réalisations se réfèrent aux produits et services qui seront fournis (par exemple: nombre d’échanges d’étudiants financés, nombre de km de routes construites, etc.).

(75) Assistance technique et/ou administrative et dépenses d’appui à la mise en œuvre de programmes et/ou d’actions de l’UE (anciennes lignes «BA»), recherche indirecte, recherche directe.

(76) Sous-plafonds de personnel externe financés sur crédits opérationnels (anciennes lignes «BA»).

(77) L’année N est l’année du début de la mise en œuvre de la proposition/de l’initiative. Veuillez remplacer «N» par la première année de mise en œuvre prévue (par exemple: 2021). Procédez de la même façon pour les années suivantes.

(78) En ce qui concerne les ressources propres traditionnelles (droits de douane et cotisations sur le sucre), les montants indiqués doivent être des montants nets, c’est-à-dire des montants bruts après déduction de 20 % de frais de perception.

Catégorie de données de santé électroniques	Principales caractéristiques des données de santé électroniques incluses dans la catégorie
1.Dossier de patient	Données de santé électroniques qui incluent des faits cliniques importants concernant une personne identifiée et qui sont essentielles à la fourniture sûre et efficiente de soins de santé à cette personne. Les informations suivantes font partie d’un dossier de patient: 1.Données d'identification personnelle 2.Coordonnées 3.Informations relatives aux assurances 4.Allergies 5.Alertes médicales 6.Informations de vaccination/prophylaxie, éventuellement sous la forme d’un carnet de vaccination 7.Problèmes actuels, résolus, clos ou inactifs 8.Informations textuelles relatives aux antécédents médicaux 9.Dispositifs et implants médicaux 10.Procédures 11.État fonctionnel 12.Médicaments actuels et passés pertinents 13.Observations concernant les antécédents sociaux relatives à la santé 14.Antécédents de grossesse 15.Données fournies par le patient 16.Résultats d’observation concernant l’état de santé 17.Plan de soins 18.Informations relatives à une maladie rare, telles que les détails de l’incidence ou les caractéristiques de la maladie
2.Prescription électronique	Données de santé électroniques constituant une prescription pour un médicament tel que défini à l’article 3, point k), de la directive 2011/24/UE.
3.Dispensation électronique	Informations relatives à la fourniture d’un médicament à une personne physique par une pharmacie sur la base d’une prescription électronique
4.Imagerie médicale et comptes rendus d’imagerie médicale	Données de santé électroniques relatives à l’utilisation de technologies qui sont utilisées pour visualiser le corps humain afin de prévenir, diagnostiquer, surveiller ou traiter des problèmes médicaux, ou produites par ces technologies
5.Résultats de laboratoire	Données de santé électroniques représentant les résultats d’études réalisées notamment au moyen de techniques de diagnostic in vitro comme la biochimie clinique, l’hématologie, la médecine transfusionnelle, la microbiologie, l’immunologie et d’autres, et y compris, le cas échéant, les rapports corroborant l’interprétation des résultats
6.Lettres de sortie d’hospitalisation	Données de santé électroniques relatives à une visite médicale ou à un épisode de soins et comprenant des informations essentielles sur l’admission, le traitement et la sortie d’une personne physique

Choose the experimental features you want to try