24.10.2019   

FR

Journal officiel de l’Union européenne

L 270/83

DÉCISION D’EXÉCUTION (UE) 2019/1765 DE LA COMMISSION

du 22 octobre 2019

arrêtant les règles relatives à la création, à la gestion et au fonctionnement du réseau d’autorités nationales chargées de la santé en ligne, et abrogeant la décision d’exécution 2011/890/UE

[notifiée sous le numéro C(2019) 7460]

(Texte présentant de l’intérêt pour l’EEE)

LA COMMISSION EUROPÉENNE,

vu le traité sur le fonctionnement de l’Union européenne,

vu la directive 2011/24/UE du Parlement européen et du Conseil du 9 mars 2011 relative à l’application des droits des patients en matière de soins de santé transfrontaliers (1), et notamment son article 14, paragraphe 3,

considérant ce qui suit:

(1)

L’Union est chargée, en vertu de l’article 14 de la directive 2011/24/UE, de soutenir et faciliter la coopération et l’échange d’informations entre les États membres dans le cadre d’un réseau constitué sur la base du volontariat reliant les autorités nationales chargées de la santé en ligne désignées par les États membres (le «réseau “Santé en ligne”»).

(2)

La décision d’exécution 2011/890/UE (2) de la Commission prévoit des règles pour la création, la gestion et le fonctionnement du réseau «Santé en ligne».

(3)

À l’heure actuelle, cette décision ne prévoit pas de règles appropriées en ce qui concerne certains aspects nécessaires au fonctionnement suffisamment transparent du réseau «Santé en ligne», comme le rôle du réseau «Santé en ligne» et de la Commission en ce qui concerne l’infrastructure de services numériques dans le domaine de la santé en ligne pour les services transfrontaliers d’information sur la santé en ligne, et les nouvelles exigences en matière de protection des données au titre du règlement (UE) 2016/679 du Parlement européen et du Conseil (le «règlement général sur la protection des données») (3) et du règlement (UE) 2018/1725 du Parlement européen et du Conseil (4).

(4)

La gestion transparente du réseau «Santé en ligne» devrait être assurée en définissant des règles concernant l’intégration et le retrait des membres du réseau «Santé en ligne». La participation au réseau «Santé en ligne» étant volontaire, les États membres devraient pouvoir y adhérer à tout moment. Pour des raisons d’organisation, les États membres ayant l’intention de participer doivent préalablement en informer la Commission.

(5)

La communication électronique est un bon moyen d’assurer des échanges rapides et fiables de données entre les États membres participant au réseau «Santé en ligne». Des évolutions importantes ont eu lieu dans ce domaine. Plus particulièrement, afin de faciliter l’interopérabilité des systèmes de santé en ligne européens, les États membres participant au réseau «Santé en ligne» qui ont décidé de renforcer leur coopération dans ce domaine avec le soutien de la Commission ont mis au point l’infrastructure de services numériques dans le domaine de la santé en ligne pour les services transfrontaliers d’information sur la santé en ligne, un outil informatique d’échange de données sur la santé relevant du mécanisme pour l’interconnexion en Europe (5). Ces évolutions devraient être prises en compte dans la présente décision. En outre, comme il est souligné dans la communication de la Commission du 25 avril 2018 intitulée «Permettre la transformation numérique des services de santé et de soins dans le marché unique numérique; donner aux citoyens les moyens d’agir et construire une société plus saine» (6), il convient de préciser le rôle respectif des États membres participants et de la Commission en ce qui concerne le fonctionnement de l’infrastructure de services numériques dans le domaine de la santé en ligne pour les services transfrontaliers d’information sur la santé en ligne.

(6)

L’infrastructure de services numériques dans le domaine de la santé en ligne pour les services transfrontaliers d’information sur la santé en ligne devrait avoir pour fonction de faciliter l’échange transfrontalier de données de santé entre les États membres participant au réseau «Santé en ligne», comme indiqué dans les conclusions du Conseil de 2017 sur la santé dans la société numérique (7), par exemple, les données sur les patients contenues dans les prescriptions électroniques et les dossiers des patients et, à terme, les dossiers médicaux électroniques plus complets, ainsi que de développer d’autres cas d’utilisation et domaines d’informations sur la santé.

(7)

L’infrastructure de services numériques dans le domaine de la santé en ligne pour les services transfrontaliers d’information sur la santé en ligne se compose de plateformes de services centrales et de services génériques, comme le prévoit le règlement (UE) no 283/2014 du Parlement européen et du Conseil (8). Les plateformes de services centrales sont développées, déployées et maintenues par la Commission européenne. Avec les services génériques, elles devraient permettre et favoriser la connectivité transeuropéenne. Les services génériques sont développés, déployés et maintenus par les points de contact nationaux pour la santé en ligne, désignés par chaque État membre. Les points de contact nationaux pour la santé en ligne, qui utilisent les services génériques, créent un lien entre l’infrastructure nationale et les points de contact nationaux pour la santé en ligne des autres États membres par l’intermédiaire des plateformes de services centrales.

(8)

Afin d’améliorer l’échange transfrontalier de données de santé et d’assurer l’interopérabilité technique, sémantique et organisationnelle entre les systèmes nationaux de santé en ligne, le réseau «Santé en ligne» devrait, dans le contexte de l’infrastructure de services numériques dans le domaine de la santé en ligne pour les services transfrontaliers d’information sur la santé en ligne, jouer un rôle de premier plan dans l’élaboration et la coordination des exigences et spécifications communes nécessaires.

(9)

Le réseau «Santé en ligne» mène déjà plusieurs activités dans le domaine de la santé en ligne, qui sont exposées dans son programme de travail pluriannuel et visent principalement à fournir des orientations, à partager les bonnes pratiques ou à trouver des méthodes de travail communes. Ces activités sont notamment les suivantes: œuvrer pour permettre aux citoyens d’intervenir de manière active dans la gestion de leurs propres données de santé, notamment dans les domaines de la santé en ligne, de la santé mobile et de la télémédecine, et aux patients d’accéder, d’utiliser et de partager leurs propres données de santé, et assurer leurs compétences en matière de santé numérique. D’autres activités du réseau sont liées à l’utilisation innovante des données de santé, notamment les mégadonnées, l’intelligence artificielle, le développement des connaissances sur la politique en matière de soins de santé, y compris la mise à disposition, en coopération avec les parties concernées au niveau national et de l’Union européenne, d’orientations sur la promotion de la santé, la prévention des maladies et l’amélioration des soins de santé grâce à une meilleure utilisation des données de santé. Le réseau aide les États membres à permettre le partage et l’utilisation de données de santé et médicales à des fins de santé publique et de recherche. Conformément à l’article 14, paragraphe 2, point c), de la directive 2011/24/UE, il soutient également les États membres dans l’élaboration de mesures d’identification et d’authentification électroniques afin de faciliter la transférabilité des données dans le cadre de soins de santé transfrontaliers, en particulier en ce qui concerne l’infrastructure de services numériques dans le domaine de la santé en ligne pour les services transfrontaliers d’information sur la santé en ligne, en tenant compte du cadre eIDAS et d’autres actions en cours au niveau de l’Union.

(10)

Le réseau «Santé en ligne» travaille également au renforcement de la continuité des soins, en améliorant l’utilisation des services transfrontaliers de santé en ligne, en développant de nouveaux cas d’utilisation et domaines d’information sur la santé à côté des dossiers des patients et des prescriptions électroniques, et en venant à bout des difficultés de mise en œuvre liées à l’interopérabilité, à la protection des données, à la sécurité des données ou aux compétences numériques des professionnels de la santé. Il permet également d’améliorer l’interopérabilité des systèmes nationaux de technologies de l’information et de la communication et la transférabilité transfrontière des données médicales électroniques dans le cadre des soins de santé transfrontaliers en fournissant des orientations sur les exigences et les spécifications nécessaires pour assurer l’interopérabilité technique, sémantique et organisationnelle entre les systèmes nationaux de soins de santé numérique. Le réseau s’emploie à renforcer la coopération en matière de développement et de partage des bonnes pratiques en ce qui concerne les stratégies nationales en matière de santé numérique, en vue de favoriser la convergence pour un système de santé en ligne interopérable.

(11)

Lors de l’élaboration des orientations relatives aux aspects de l’échange de données liés à la sécurité, le réseau «Santé en ligne» devrait bénéficier de l’expertise du groupe de coopération sur la sécurité des réseaux et de l’information (SRI), institué en vertu de l’article 11 de la directive (UE) 2016/1148 du Parlement européen et du Conseil (9), ainsi que de l’Agence de l’Union européenne chargée de la sécurité des réseaux et de l’information (ENISA).

(12)

Le réseau «Santé en ligne» encourage également l’échange d’opinions entre ses membres sur les défis stratégiques nationaux en ce qui concerne les nouvelles technologies et les utilisations de données, et devrait promouvoir les discussions avec d’autres instances compétentes de l’Union (comme le groupe de pilotage sur la promotion de la santé, la prévention des maladies et la gestion des maladies non transmissibles ou le Conseil des États membres des réseaux européens de référence) sur les priorités, les orientations stratégiques et leur mise en œuvre.

(13)

Le 6 février 2019, la Commission a adopté une recommandation relative à un format européen d’échange des dossiers de santé informatisés (10) (la «recommandation de la Commission»). Afin de favoriser l’adoption du format européen d’échange des dossiers de santé informatisés, de même que la poursuite de son développement et de faciliter son usage, le réseau «Santé en ligne» est censé, en collaboration avec la Commission, les parties prenantes, les médecins, les représentants des patients et les autorités compétentes, élaborer des orientations, encourager le développement et le suivi du format d’échange des dossiers de santé informatisés et aider les États membres à garantir la protection de la vie privée et la sécurité de l’échange de données. Afin de renforcer l’interopérabilité, le réseau a mis au point des orientations en matière d’investissements (11), dans lesquelles il recommande de prendre en considération les normes et spécifications visées dans la recommandation de la Commission, notamment aux fins des procédures de passation des marchés publics.

(14)

Étant donné que l’infrastructure de services numériques dans le domaine de la santé en ligne pour les services transfrontaliers d’information sur la santé en ligne constitue un élément important du fonctionnement du réseau, il convient de préciser le rôle du réseau «Santé en ligne» dans ladite infrastructure et dans d’autres services européens de santé en ligne partagés afin de garantir la transparence dans le fonctionnement du réseau.

(15)

Afin d’assurer un échange efficace des données de santé entre les États membres, le réseau «Santé en ligne» devrait permettre d’aider les États membres à échanger ces données. Plus particulièrement, sur la base du respect d’exigences prédéfinies, ainsi que d’essais et d’audits réalisés par la Commission et, si possible, par d’autres experts, le réseau «Santé en ligne» devrait avoir la possibilité de s’accorder sur la capacité organisationnelle, sémantique et technique des États membres candidats à échanger des données de santé électroniques complètes et validées pour les cas d’utilisation adoptés, par l’intermédiaire de leur point de contact national pour la santé en ligne, de même que sur le maintien de leur conformité à cet égard.

(16)

Pour assurer un fonctionnement efficace et transparent du réseau, il convient de définir des règles concernant l’adoption du règlement intérieur et du programme de travail pluriannuel, ainsi que la création de sous-groupes afin de garantir le bon fonctionnement du réseau «Santé en ligne». Le règlement intérieur devrait préciser la procédure applicable aux décisions concernant l’échange de données à caractère personnel par l’intermédiaire de l’infrastructure de services numériques dans le domaine de la santé en ligne pour les services transfrontaliers d’information sur la santé en ligne, comme indiqué plus haut.

(17)

Les membres intéressés du réseau «Santé en ligne» peuvent approfondir leur coopération dans les domaines couverts par les missions du réseau. Cette coopération, pilotée par les États membres, est de nature volontaire. Tel est le cas de l’infrastructure de services numériques dans le domaine de la santé en ligne pour les services transfrontaliers d’information sur la santé en ligne et peut aussi l’être pour d’autres services européens de santé en ligne partagés développés dans le cadre du réseau «Santé en ligne». Lorsque des États membres décident de renforcer leur coopération, ils devraient s’accorder sur les règles de cette coopération et s’engager à les respecter.

(18)

Afin d’assurer le fonctionnement transparent du réseau «Santé en ligne», il convient de définir sa relation avec la Commission, notamment en ce qui concerne les missions du réseau «Santé en ligne» et le rôle de la Commission dans l’échange transfrontalier de données de santé au moyen de l’infrastructure de services numériques dans le domaine de la santé en ligne pour les services transfrontaliers d’information sur la santé en ligne.

(19)

Le traitement des données à caractère personnel des patients, des représentants des États membres, des experts et des observateurs participant au réseau «Santé en ligne», qui est effectué sous la responsabilité des États membres ou d’autres organisations ou organismes publics des États membres, devrait l’être conformément au règlement général sur la protection des données et à la directive 2002/58/CE du Parlement européen et du Conseil (12). Les données à caractère personnel des représentants des autorités nationales chargées de la santé en ligne, des autres représentants des États membres, des experts et des observateurs participant au réseau «Santé en ligne» sont traitées par la Commission conformément au règlement (UE) 2018/1725. Le traitement des données à caractère personnel aux fins de la gestion et de la sécurité des services centraux de l’infrastructure de services numériques dans le domaine de la santé en ligne pour les services transfrontaliers d’information sur la santé en ligne effectué sous la responsabilité de la Commission devrait être conforme au règlement (UE) 2018/1725.

(20)

Les États membres, représentés par les autorités nationales compétentes ou d’autres organismes désignés, déterminent ensemble la finalité et les moyens du traitement des données à caractère personnel par l’intermédiaire de l’infrastructure de services numériques dans le domaine de la santé en ligne pour les services transfrontaliers d’information sur la santé en ligne, et constituent dès lors des responsables du traitement des données. Les obligations respectives entre responsables du traitement des données devraient être définies dans un arrangement distinct. La Commission, en tant que fournisseur de solutions techniques et organisationnelles dans le cadre de l’infrastructure de services numériques dans le domaine de la santé en ligne pour les services transfrontaliers d’information sur la santé en ligne, traite les données à caractère personnel chiffrées des patients pour le compte des États membres entre les points de contact nationaux pour la santé en ligne et est, par conséquent, un sous-traitant. Conformément à l’article 28 du règlement général sur la protection des données et à l’article 29 du règlement (UE) 2018/1725, le traitement par un sous-traitant est régi par un contrat ou un acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement et qui définit l’objet du traitement. La présente décision définit les règles régissant le traitement des données par la Commission en tant que sous-traitant.

(21)

Afin d’assurer le respect du principe d’égalité d’accès sur la base du règlement général sur la protection des données et du règlement (UE) 2018/1725, la Commission devrait être considérée comme le responsable du traitement des données à caractère personnel relatives à la gestion des droits d’accès aux services centraux de l’infrastructure de services numériques dans le domaine de la santé en ligne pour les services transfrontaliers d’information sur la santé en ligne.

(22)

Afin d’assurer la transparence des procédures de remboursement, il convient de définir des règles relatives aux dépenses des participants aux activités du réseau «Santé en ligne».

(23)

La décision d’exécution 2011/890/UE devrait dès lors être abrogée et remplacée par la présente décision pour des raisons de sécurité juridique et de clarté.

(24)

Les mesures prévues par la présente décision sont conformes à l’avis du comité institué par l’article 16 de la directive 2011/24/UE,

A ADOPTÉ LA PRÉSENTE DÉCISION:

Article premier

Objet

La présente décision arrête les règles nécessaires à la création, à la gestion et au fonctionnement du réseau «Santé en ligne» des autorités nationales chargées de la santé en ligne, conformément à l’article 14 de la directive 2011/24/UE.

Article 2

Définitions

1.   Aux fins de la présente décision, on entend par:

a)

«réseau “Santé en ligne”», le réseau constitué sur la base du volontariat reliant les autorités nationales chargées de la santé en ligne désignées par les États membres et poursuivant les objectifs énoncés à l’article 14 de la directive 2011/24/UE;

b)

«points de contact nationaux pour la santé en ligne», des passerelles organisationnelles et techniques pour la fourniture de services transfrontaliers d’information sur la santé en ligne relevant de la responsabilité des États membres;

c)

«services transfrontaliers d’information sur la santé en ligne», les services existants qui sont traités par les points de contact nationaux pour la santé en ligne et par l’intermédiaire d’une plateforme de services centrale développée par la Commission aux fins des soins de santé transfrontaliers;

d)

«infrastructure de services numériques dans le domaine de la santé en ligne pour les services transfrontaliers d’information sur la santé en ligne», l’infrastructure qui permet la fourniture de services transfrontaliers d’information sur la santé en ligne par l’intermédiaire des points de contact nationaux pour la santé en ligne et de la plateforme européenne de services centrale. Cette infrastructure comprend à la fois des services génériques, tels que définis à l’article 2, paragraphe 2, point e), du règlement (UE) no 283/2014, développés par les États membres, et une plateforme de services centrale, telle que définie à l’article 2, paragraphe 2, point d), du même règlement, développée par la Commission;

e)

«autres services européens de santé en ligne partagés», les services numériques susceptibles d’être développés dans le cadre du réseau «Santé en ligne» et partagés entre les États membres;

f)

«modèle de gouvernance», un ensemble de règles relatives à la désignation d’organismes participant aux processus décisionnels concernant l’infrastructure de services numériques dans le domaine de la santé en ligne pour les services transfrontaliers d’information sur la santé en ligne ou d’autres services européens de santé en ligne partagés développés dans le cadre du réseau «Santé en ligne», ainsi que la description de ces processus.

2.   Les définitions figurant à l’article 4, points 1), 2), 7) et 8), du règlement (UE) 2016/679 s’appliquent en conséquence.

Article 3

Adhésion au réseau «Santé en ligne»

1.   Les membres du réseau «Santé en ligne» sont les autorités des États membres chargées de la santé en ligne, désignées par les États membres participant au réseau «Santé en ligne».

2.   Les États membres souhaitant participer au réseau «Santé en ligne» notifient par écrit à la Commission:

a)

leur décision de participer au réseau «Santé en ligne»;

b)

l’autorité nationale chargée de la santé en ligne qui deviendra membre du réseau «Santé en ligne», ainsi que le nom du représentant et celui de son suppléant.

3.   Les membres notifient à la Commission les éléments suivants par écrit:

a)

leur décision de se retirer du réseau «Santé en ligne»;

b)

tout changement dans les informations visées au paragraphe 2, point b).

4.   La Commission met à la disposition du public la liste des membres participant au réseau «Santé en ligne».

Article 4

Activités du réseau «Santé en ligne»

1.   Dans la poursuite de l’objectif visé à l’article 14, paragraphe 2, point a), de la directive 2011/24/UE, le réseau «Santé en ligne» peut notamment:

a)

promouvoir une plus grande interopérabilité des systèmes nationaux de technologies de l’information et de la communication et la transférabilité transfrontalière des données électroniques de santé dans le cadre des soins de santé transfrontaliers;

b)

fournir des orientations aux États membres, en coopération avec d’autres autorités de contrôle compétentes, en ce qui concerne le partage des données de santé entre les États membres et le fait de mettre les citoyens en mesure d’accéder à leurs propres données de santé et de les partager;

c)

fournir des orientations aux États membres et faciliter l’échange de bonnes pratiques en ce qui concerne la mise au point de différents services de santé numérique, tels que la télémédecine, la santé mobile ou les nouvelles technologies dans le domaine des mégadonnées et de l’intelligence artificielle, en prenant en considération les actions en cours au niveau de l’Union européenne;

d)

fournir des orientations aux États membres en ce qui concerne la promotion de la santé, la prévention des maladies et l’amélioration de la fourniture des soins de santé grâce à une meilleure utilisation des données de santé et à l’amélioration des compétences numériques des patients et des professionnels de la santé;

e)

fournir des orientations aux États membres et faciliter l’échange volontaire de bonnes pratiques sur les investissements dans les infrastructures numériques;

f)

fournir aux États membres, en collaboration avec les autres organismes et parties prenantes concernés, des orientations sur les cas d’utilisation nécessaires à des fins d’interopérabilité clinique et sur les outils pertinents dans ce cadre;

g)

fournir des orientations aux membres sur la sécurité de l’infrastructure de services numériques dans le domaine de la santé en ligne pour les services transfrontaliers d’information sur la santé en ligne ou d’autres services européens de santé en ligne partagés développés dans le cadre du réseau «Santé en ligne», en prenant en considération la législation et les documents élaborés au niveau de l’Union, notamment dans le domaine de la sécurité, ainsi que les recommandations dans le domaine de la cybersécurité, en étroite collaboration avec le groupe de coopération sur la sécurité des réseaux et de l’information et avec l’Agence de l’Union européenne chargée de la sécurité des réseaux et de l’information, de même qu’avec les autorités nationales, le cas échéant.

2.   Dans le cadre de l’élaboration des orientations concernant des méthodes concrètes permettant d’utiliser les données médicales à des fins de santé publique et de recherche visées à l’article 14, paragraphe 2, point b) ii), de la directive 2011/24/UE, le réseau «Santé en ligne» tient compte des lignes directrices adoptées par le comité européen de la protection des données et, le cas échéant, se concerte avec celui-ci. Ces orientations peuvent également porter sur les informations échangées dans le cadre de l’infrastructure de services numériques dans le domaine de la santé en ligne pour les services transfrontaliers d’information sur la santé en ligne ou d’autres services européens de santé en ligne partagés.

Article 5

Fonctionnement du réseau «Santé en ligne»

1.   Le réseau «Santé en ligne» adopte son propre règlement intérieur à la majorité simple de ses membres.

2.   Le réseau «Santé en ligne» adopte un programme de travail pluriannuel et un instrument d’évaluation pour la mise en œuvre de celui-ci.

3.   Pour mener à bien ses missions, le réseau «Santé en ligne» peut créer des sous-groupes permanents en rapport avec des tâches spécifiques, notamment en ce qui concerne l’infrastructure de services numériques dans le domaine de la santé en ligne pour les services transfrontaliers d’information sur la santé en ligne ou les autres services européens de santé en ligne partagés développés dans le cadre du réseau «Santé en ligne».

4.   Le réseau «Santé en ligne» peut aussi mettre en place des sous-groupes temporaires, y compris en collaboration avec des experts, pour l’examen de questions particulières sur la base d’un mandat qu’il définit lui-même. Ces sous-groupes sont dissous aussitôt leur mandat rempli.

5.   Lorsque des membres du réseau «Santé en ligne» décident d’approfondir leur coopération dans certains domaines couverts par les missions du réseau, ils devraient s’accorder sur les règles de cette coopération approfondie et s’engager à les respecter.

6.   Dans la poursuite de ses objectifs, le réseau «Santé en ligne» travaille en coopération étroite avec les actions conjointes qui appuient les activités du réseau «Santé en ligne», lorsque de telles actions conjointes existent, avec les parties prenantes ou avec les autres organes ou mécanismes d’appui concernés et prend en considération les résultats obtenus dans le cadre de ces activités.

7.   Le réseau «Santé en ligne» développe, conjointement avec la Commission, les modèles de gouvernance de l’infrastructure de services numériques dans le domaine de la santé en ligne pour les services transfrontaliers d’information sur la santé en ligne et participe à cette gouvernance:

i)

en s’accordant sur les priorités de l’infrastructure de services numériques dans le domaine de la santé en ligne et en supervisant leur mise en œuvre;

ii)

en élaborant des orientations et des exigences pour la mise en œuvre, y compris la sélection des normes utilisées pour l’infrastructure de services numériques dans le domaine de la santé en ligne pour les services transfrontaliers d’information sur la santé en ligne;

iii)

en s’accordant sur la question de savoir si les membres du réseau «Santé en ligne» doivent être autorisés ou non à commencer et à continuer à échanger des données électroniques de santé au moyen de l’infrastructure de services numériques dans le domaine de la santé en ligne pour les services transfrontaliers d’information sur la santé en ligne, par l’intermédiaire de leurs points de contact nationaux pour la santé en ligne, en fonction de leur conformité avec les exigences établies par le réseau «Santé en ligne», telle qu’évaluée dans le cadre des essais fournis par la Commission et des audits réalisés par celle-ci;

iv)

en approuvant le plan de travail annuel relatif à l’infrastructure de services numériques dans le domaine de la santé en ligne pour les services transfrontaliers d’information sur la santé en ligne.

8.   Le réseau «Santé en ligne» peut développer, conjointement avec la Commission, les modèles de gouvernance d’autres services européens de santé en ligne partagés mis au point dans le cadre du réseau «Santé en ligne» et participer à leur gouvernance. Le réseau peut également définir les priorités, conjointement avec la Commission, et élaborer des orientations concernant le fonctionnement de ces services européens de santé en ligne partagés.

9.   Le règlement intérieur peut prévoir que des pays autres que les États membres, appliquant la directive 2011/24/UE, peuvent participer aux réunions du réseau «Santé en ligne» en tant qu’observateurs.

10.   Les membres du réseau «Santé en ligne» et leurs représentants, ainsi que les experts et observateurs invités, respectent les obligations de secret professionnel prévues à l’article 339 du traité, ainsi que les règles de sécurité de la Commission concernant la protection des informations classifiées de l’Union européenne, définies dans la décision (UE, Euratom) 2015/444 de la Commission (13). En cas de non-respect de ces obligations, le président du réseau «Santé en ligne» peut prendre toutes les mesures appropriées prévues dans le règlement intérieur.

Article 6

Relation entre le réseau «Santé en ligne» et la Commission

1.   La Commission:

a)

assiste aux réunions du réseau «Santé en ligne», dont elle assume la coprésidence, conjointement avec le représentant des membres;

b)

coopère avec le réseau «Santé en ligne» et lui fournit un soutien en ce qui concerne ses activités;

c)

assure le secrétariat du réseau «Santé en ligne»;

d)

élabore, met en œuvre et tient à jour des mesures techniques et organisationnelles appropriées liées aux services centraux de l’infrastructure de services numériques dans le domaine de la santé en ligne pour les services transfrontaliers d’information sur la santé en ligne;

e)

aide le réseau «Santé en ligne» à s’accorder sur la conformité technique et organisationnelle des points de contact nationaux pour la santé en ligne avec les exigences en matière d’échange transfrontalier de données de santé, en fournissant et en réalisant les essais et les audits nécessaires. Des experts des États membres peuvent assister les auditeurs de la Commission.

2.   La Commission peut assister aux réunions des sous-groupes du réseau «Santé en ligne».

3.   La Commission peut consulter le réseau «Santé en ligne» sur les questions liées à la santé en ligne au niveau de l’Union et à l’échange de bonnes pratiques en matière de santé en ligne.

4.   La Commission met à la disposition du public les informations relatives aux activités menées par le réseau «Santé en ligne».

Article 7

Protection des données

1.   Les États membres, représentés par les autorités nationales compétentes ou d’autres organismes désignés, sont considérés comme des responsables du traitement des données à caractère personnel qu’ils traitent dans le cadre de l’infrastructure de services numériques dans le domaine de la santé en ligne pour les services transfrontaliers d’information sur la santé en ligne et ils répartissent de manière claire et transparente les responsabilités entre les responsables du traitement des données.

2.   La Commission est considérée comme sous-traitant pour les données à caractère personnel des patients traitées dans le cadre de l’infrastructure de services numériques dans le domaine de la santé en ligne pour les services transfrontaliers d’information sur la santé en ligne. En sa qualité de sous-traitant, la Commission gère les services centraux de l’infrastructure de services numériques dans le domaine de la santé en ligne pour les services transfrontaliers d’information sur la santé en ligne et respecte les obligations qui incombent aux sous-traitants, énoncées à l’annexe de la présente décision. La Commission n’a pas accès aux données à caractère personnel des patients traitées dans le cadre de l’infrastructure de services numériques dans le domaine de la santé en ligne pour les services transfrontaliers d’information sur la santé en ligne.

3.   La Commission est considérée comme responsable du traitement des données à caractère personnel nécessaires pour accorder et gérer les droits d’accès aux services centraux de l’infrastructure de services numériques dans le domaine de la santé en ligne pour les services transfrontaliers d’information sur la santé en ligne. Ces données sont les coordonnées des utilisateurs, y compris leurs prénom, nom, leur adresse électronique et leur appartenance.

Article 8

Frais

1.   Les participants aux activités du réseau «Santé en ligne» ne sont pas rémunérés par la Commission pour leurs services.

2.   Les frais de déplacement et de séjour des participants aux activités du réseau «Santé en ligne» sont remboursés par la Commission conformément aux dispositions en vigueur à la Commission relatives à l’indemnisation des personnes étrangères à la Commission convoquées en qualité d’expert. Ces frais sont remboursés dans la limite des crédits disponibles alloués dans le cadre de la procédure annuelle d’allocation des ressources.

Article 9

Abrogation

La décision d’exécution 2011/890/UE est abrogée. Les références à la décision abrogée s’entendent comme faites à la présente décision.

Article 10

Destinataires

Les États membres sont destinataires de la présente décision.

Fait à Bruxelles, le 22 octobre 2019.

Par la Commission

Vytenis ANDRIUKAITIS

Membre de la Commission

(1)  JO L 88 du 4.4.2011, p. 45.

(2)  Décision d’exécution 2011/890/UE de la Commission du 22 décembre 2011 arrêtant les règles relatives à la création, à la gestion et au fonctionnement du réseau d’autorités nationales responsables de la santé en ligne (JO L 344 du 28.12.2011, p. 48).

(3)  Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).

(4)  Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).

(5)  Règlement (UE) no 1316/2013 du Parlement européen et du Conseil du 11 décembre 2013 établissant le mécanisme pour l’interconnexion en Europe, modifiant le règlement (UE) no 913/2010 et abrogeant les règlements (CE) no 680/2007 et (CE) no 67/2010 (JO L 348 du 20.12.2013, p. 129).

(6)  Communication de la Commission intitulée «Permettre la transformation numérique des services de santé et de soins dans le marché unique numérique; donner aux citoyens les moyens d’agir et construire une société plus saine», COM(2018) 233 final, p. 7.

(7)  Conclusions du Conseil sur la santé dans la société numérique — réaliser des progrès en matière d’innovation fondée sur les données dans le domaine de la santé, 2017/C 440/05, paragraphe 30.

(8)  Règlement (UE) no 283/2014 du Parlement européen et du Conseil du 11 mars 2014 concernant des orientations pour les réseaux transeuropéens dans le domaine des infrastructures de télécommunications et abrogeant la décision no 1336/97/CE (JO L 86 du 21.3.2014, p. 14).

(9)  Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (JO L 194 du 19.7.2016, p. 1).

(10)  Recommandation (UE) 2019/243 de la Commission du 6 février 2019 relative à un format européen d’échange des dossiers de santé informatisés (JO L 39 du 11.2.2019, p. 18).

(11)  https://ec.europa.eu/health/sites/health/files/ehealth/docs/ev_20190611_co922_en.pdf

(12)  Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37).

(13)  Décision (UE, Euratom) 2015/444 de la Commission du 13 mars 2015 concernant les règles de sécurité aux fins de la protection des informations classifiées de l’Union européenne (JO L 72 du 17.3.2015, p. 53).

ANNEXE

Responsabilités de la commission en tant que sous-traitant des données dans le cadre de l’infrastructure de services numériques dans le domaine de la santé en ligne pour les services transfrontaliers d’information sur la santé en ligne

La Commission:

1.

Met en place et garantit une infrastructure de communication sécurisée et fiable qui assure l’interconnexion entre les réseaux des membres du réseau «Santé en ligne» participant à l’infrastructure de services numériques dans le domaine de la santé en ligne pour les services transfrontaliers d’information sur la santé en ligne (l’«infrastructure de communication sécurisée centrale»). Afin de remplir ces obligations, la Commission peut engager des tiers. La Commission veille à ce que les mêmes obligations en matière de protection des données que celles énoncées dans la présente décision s’appliquent à ces tiers.

2.

Configure une partie de l’infrastructure de communication sécurisée centrale de telle sorte que les points de contact nationaux pour la santé en ligne puissent échanger des informations de manière sécurisée, fiable et efficace.

3.

Traite les données personnelles selon des instructions documentées fournies par les responsables du traitement des données.

4.

Prend toutes les mesures de sécurité nécessaires sur les plans organisationnel, physique et logique pour maintenir l’infrastructure de communication sécurisée centrale. À cette fin, la Commission:

a)

désigne une entité responsable de la gestion de la sécurité au niveau de l’infrastructure de communication sécurisée centrale, communique ses coordonnées aux responsables du traitement des données et veille à sa disponibilité pour répondre aux menaces pour la sécurité;

b)

assume la responsabilité de la sécurité de l’infrastructure de communication sécurisée centrale;

c)

veille à ce que toutes les personnes qui se voient accorder l’accès à l’infrastructure de communication sécurisée centrale soient soumises à une obligation contractuelle, professionnelle ou statutaire de confidentialité;

d)

veille à ce que le personnel ayant accès aux informations classifiées réponde aux critères correspondants en matière d’habilitation et de confidentialité.

5.

Prend toutes les mesures de sécurité nécessaires pour éviter de compromettre le bon fonctionnement opérationnel du domaine des autres. À cette fin, la Commission met en place les procédures spécifiques relatives à la connexion à l’infrastructure de communication sécurisée centrale. Ces procédures comprennent:

a)

une procédure d’évaluation des risques, afin d’identifier et d’estimer les menaces potentielles pour le système;

b)

une procédure d’audit et de contrôle destinée à:

i)

vérifier la correspondance entre les mesures de sécurité mises en œuvre et la politique de sécurité appliquée;

ii)

contrôler régulièrement l’intégrité des fichiers système, les paramètres de sécurité et les autorisations accordées;

iii)

assurer une surveillance afin de détecter les atteintes à la sécurité et les intrusions;

iv)

appliquer des modifications afin d’éviter les failles existantes en matière de sécurité;

v)

définir les conditions d’autorisation, y compris à la demande des responsables du traitement, et contribuer à la réalisation d’audits indépendants, y compris des inspections, et d’examens des mesures de sécurité;

c)

une procédure de contrôle des modifications afin de documenter et de mesurer l’incidence des modifications avant leur mise en œuvre et de tenir les points de contact nationaux pour la santé en ligne informés de toute modification susceptible d’affecter la communication avec les autres infrastructures nationales et/ou leur sécurité;

d)

une procédure de maintenance et de réparation afin de préciser les règles et les conditions à respecter lors de la maintenance et/ou de la réparation des équipements;

e)

une procédure relative aux incidents de sécurité afin de définir le système de signalement et d’escalade, d’informer sans délai l’administration nationale responsable, ainsi que le contrôleur européen de la protection des données de toute atteinte à la sécurité et de définir une procédure disciplinaire pour traiter les atteintes à la sécurité.

6.

Prend des mesures de sécurité physiques et/ou logiques pour les installations hébergeant l’équipement de l’infrastructure de communication sécurisée centrale ainsi que pour les contrôles d’accès de sécurité et les contrôles d’accès aux données logiques. À cette fin, la Commission:

a)

assure la sécurité physique afin de mettre en place des périmètres de sécurité caractéristiques et de permettre la détection des atteintes;

b)

contrôle l’accès aux installations et tient un registre des visiteurs à des fins de traçage;

c)

veille à ce que les personnes extérieures auxquelles l’accès est accordé soient accompagnées par du personnel dûment autorisé de leur organisation;

d)

veille à ce que des équipements ne puissent être ajoutés, remplacés ou retirés sans autorisation préalable des organismes compétents désignés;

e)

contrôle l’accès depuis et vers d’autres réseaux interconnectés avec l’infrastructure de communication sécurisée centrale;

f)

veille à ce que les personnes qui accèdent à l’infrastructure de communication sécurisée centrale soient identifiées et authentifiées;

g)

réexamine les droits d’autorisation liés à l’accès à l’infrastructure de communication sécurisée centrale en cas d’atteinte à la sécurité touchant cette infrastructure;

h)

préserve l’intégrité des informations transmises dans le cadre de l’infrastructure de communication sécurisée centrale;

i)

met en œuvre des mesures de sécurité d’ordre technique et organisationnel afin d’empêcher l’accès non autorisé aux données à caractère personnel;

j)

met en œuvre, en tant que de besoin, des mesures visant à empêcher tout accès non autorisé à l’infrastructure de communication sécurisée centrale depuis le domaine des points de contact nationaux pour la santé en ligne (c’est-à-dire: blocage d’une localisation/d’une adresse IP).

7.

Prend des mesures pour protéger son domaine, y compris la rupture des connexions, en cas d’écart important par rapport aux principes et concepts de qualité ou de sécurité.

8.

Maintient un plan de gestion des risques lié à son domaine de compétence.

9.

Surveille — en temps réel — la performance de tous les éléments de service des services de son infrastructure de communication sécurisée centrale, produit des statistiques régulières et tient des registres.

10.

Fournit un soutien à tous les services de l’infrastructure de communication sécurisée centrale en anglais, 24 h sur 24 et 7 j sur 7, par téléphone, courrier ou portail web et accepte les appels émanant d’appelants autorisés: les coordonnateurs de l’infrastructure de communication sécurisée centrale et leurs services d’assistance respectifs, les responsables de projets et les personnes désignées de la Commission.

11.

Soutient les responsables du traitement des données en fournissant des informations sur l’infrastructure de communication sécurisée centrale de l’infrastructure de services numériques dans le domaine de la santé en ligne pour les services transfrontaliers d’information sur la santé en ligne, dans le but de mettre en application les obligations énoncées aux articles 35 et 36 du règlement (UE) 2016/679.

12.

Veille à ce que les données transportées au sein de l’infrastructure de communication sécurisée centrale soient chiffrées.

13.

Prend toutes les mesures appropriées pour empêcher que les opérateurs de l’infrastructure de communication sécurisée centrale disposent d’un accès non autorisé aux données transportées.

14.

Prend des mesures pour faciliter l’interopérabilité et la communication entre les administrations nationales compétentes désignées de l’infrastructure de communication sécurisée centrale.