(1)

L’objectif du présent règlement est d’établir l’espace européen des données de santé (EEDS) afin d’améliorer l’accès des personnes physiques à leurs données de santé électroniques à caractère personnel et leur contrôle sur ces données dans le contexte des soins de santé, ainsi que pour mieux atteindre d’autres finalités impliquant l’utilisation de données de santé électroniques dans les secteurs des soins de santé et des soins qui bénéficieraient à la société, telles que la recherche, l’innovation, l’élaboration des politiques, la préparation et la réaction aux menaces sanitaires, y compris la prévention des pandémies à venir et la réponse à y apporter, la sécurité des patients, la médecine personnalisée, les statistiques officielles ou les activités réglementaires. En outre, l’objectif du présent règlement est d’améliorer le fonctionnement du marché intérieur en établissant un cadre juridique et technique uniforme, en particulier pour le développement, la commercialisation et l’utilisation des systèmes de dossiers médicaux électroniques (ci-après dénommés «systèmes de DME») en conformité avec les valeurs de l’Union. L’EEDS sera un élément clé de la création d’une Union de la santé européenne forte et résiliente.

(2)

La pandémie de COVID-19 a mis en évidence l’impératif de disposer d’un accès rapide à des données de santé électroniques de qualité à des fins de préparation et de réaction aux menaces sanitaires, ainsi qu’à des fins de prévention, de diagnostic et de traitement et à des fins d’utilisation secondaire de ces données de santé électroniques. Cet accès rapide pourrait potentiellement contribuer, par une surveillance et un suivi efficients de la santé publique, à une gestion plus efficace des pandémies à venir, à une réduction des coûts et à une amélioration de la réaction aux menaces sanitaires et pourrait contribuer en définitive à sauver plus de vies. En 2020, la Commission a adapté d’urgence son système de gestion des données cliniques des patients, établi par la décision d’exécution (UE) 2019/1269 de la Commission (4), afin de permettre aux États membres de partager les données de santé électroniques des patients atteints de COVID-19 passant d’un prestataire de soins de santé et d’un État membre à un autre au plus fort de cette pandémie. Toutefois, cette adaptation n’était qu’une solution d’urgence, montrant la nécessité d’une approche structurelle et cohérente à l’échelon des États membres et à l’échelon de l’Union à la fois pour améliorer la disponibilité des données de santé électroniques pour les soins de santé et pour faciliter l’accès aux données de santé électroniques afin d’orienter des réponses politiques efficaces et de contribuer à des normes élevées en matière de santé humaine.

(3)

La crise de la COVID-19 a fermement consolidé le travail du réseau «Santé en ligne», un réseau volontaire d’autorités chargées de la santé numérique, en tant que principal pilier pour le développement d’applications de recherche des contacts et d’alerte des contacts pour les appareils mobiles et pour les aspects techniques des certificats COVID numériques de l’UE. Elle a aussi mis en évidence la nécessité de partager des données de santé électroniques faciles à trouver, accessibles, interopérables et réutilisables (les principes «FAIR»), et de garantir que les données de santé électroniques sont aussi ouvertes que possible, tout en respectant le principe de la minimisation des données énoncé dans le règlement (UE) 2016/679 du Parlement européen et du Conseil (5). Des synergies entre l’EEDS, le nuage européen pour la science ouverte et les infrastructures de recherche européennes devraient être assurées, et des enseignements devraient être tirés des solutions de partage des données mises au point au titre de la plateforme européenne de données sur la COVID-19.

(4)

Étant donné le caractère sensible des données de santé électroniques à caractère personnel, le présent règlement vise à fournir des garanties suffisantes, tant au niveau de l’Union qu’au niveau national, afin de garantir un niveau élevé de protection, de sécurité, de confidentialité et d’utilisation éthique des données. Ces garanties sont nécessaires pour renforcer la confiance dans la sécurité de traitement des données de santé électroniques des personnes physiques à des fins d’utilisation primaire et d’utilisation secondaire telles que celles-ci sont définies dans le présent règlement.

(5)

Le traitement des données de santé électroniques à caractère personnel est soumis aux dispositions du règlement (UE) 2016/679 et, pour les institutions, organes et organismes de l’Union, du règlement (UE) 2018/1725 du Parlement européen et du Conseil (6). Les références aux dispositions du règlement (UE) 2016/679 devraient s’entendre comme des références faites aux dispositions correspondantes du règlement (UE) 2018/1725 pour les institutions, organes et organismes de l’Union, le cas échéant.

(6)

De plus en plus de personnes vivant dans l’Union franchissent les frontières nationales pour travailler, étudier, rendre visite à des proches ou pour d’autres raisons. Afin de faciliter l’échange de données de santé, et conformément à la nécessité d’autonomiser les citoyens, ceux-ci devraient pouvoir accéder à leurs données de santé dans un format électronique qui puisse être reconnu et accepté partout dans l’Union. Ces données de santé électroniques à caractère personnel pourraient inclure des données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris celles relatives à la fourniture de services de soins de santé, et qui révèlent des informations sur l’état de santé de cette personne physique, des données à caractère personnel relatives aux caractéristiques génétiques innées ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou la santé d’une personne physique et qui résultent, en particulier, d’une analyse d’un échantillon biologique de la personne physique en question, ainsi que des données sur des facteurs déterminants pour la santé, tels que le comportement, les facteurs environnementaux et les influences physiques, les soins médicaux, ainsi que les facteurs sociaux ou éducatifs. Les données de santé électroniques comprennent également les données qui ont été initialement collectées à des fins de recherche, de statistiques, d’évaluation des menaces sanitaires, d’élaboration de politiques ou de réglementations et il devrait être possible de les mettre à disposition conformément aux règles établies dans le présent règlement. Les données de santé électroniques comprennent toutes les catégories de ces données, indépendamment du fait que ces données sont fournies par la personne concernée ou par d’autres personnes physiques ou morales, telles que des professionnels de la santé, ou qu’elles sont traitées en relation avec la santé ou le bien-être d’une personne physique, et devraient également inclure les données déduites et dérivées, telles que les diagnostics, les analyses et les examens médicaux, ainsi que les données observées et enregistrées par des procédés automatisés.

(7)

Dans les systèmes de santé, les données de santé électroniques à caractère personnel sont habituellement rassemblées dans des dossiers médicaux électroniques, qui contiennent généralement les antécédents médicaux, les diagnostics et traitements, les médicaments, les allergies et les vaccinations, ainsi que les images de radiologie, les résultats de laboratoire, ainsi que d’autres données médicales d’une personne physique, partagées par les différents acteurs dans le système de santé, tels que les médecins généralistes, hôpitaux, pharmacies ou services de soins. Afin d’autoriser les personnes physiques ou les professionnels de la santé à accéder aux données de santé électroniques, à les partager ou à les modifier, certains États membres ont pris les mesures juridiques et techniques nécessaires et ont mis en place des infrastructures centralisées qui connectent les systèmes de DME utilisés par les prestataires de soins de santé et les personnes physiques. En outre, certains États membres aident les prestataires de soins de santé publics et privés à mettre en place des espaces de données de santé électroniques à caractère personnel afin de permettre l’interopérabilité entre les différents prestataires de soins de santé. Plusieurs États membres soutiennent aussi ou fournissent des services d’accès aux données de santé électroniques pour les patients et les professionnels de la santé, par exemple au moyen de portails destinés aux patients ou aux professionnels de la santé. Ces États membres ont aussi pris des mesures pour garantir que les systèmes de DME ou les applications de bien-être peuvent transmettre les données de santé électroniques au système de DME central, par exemple en prévoyant un système de certification. Tous les États membres n’ont cependant pas mis en place de tels systèmes, et les États membres qui l’ont fait les ont mis en place de manière fragmentée. Afin de faciliter la libre circulation des données de santé électroniques à caractère personnel dans toute l’Union et d’éviter des conséquences négatives pour les patients lorsqu’ils reçoivent des soins de santé dans un contexte transfrontière, une action de l’Union est nécessaire pour améliorer l’accès des personnes physiques à leurs propres données de santé électroniques à caractère personnel et pour leur permettre de partager ces données. À cet égard, il convient de prendre des mesures appropriées au niveau de l’Union et au niveau national afin de réduire la fragmentation, l’hétérogénéité et les divisions, et pour mettre en place un système convivial et intuitif dans tous les États membres. Toute transformation numérique dans le secteur des soins de santé devrait tendre à l’inclusivité et bénéficier aussi aux personnes physiques dont les capacités d’accès aux services numériques et d’utilisation des services numériques sont limitées, y compris les personnes handicapées.

(8)

Le règlement (UE) 2016/679 contient des dispositions spécifiques concernant les droits des personnes physiques à l’égard du traitement de leurs données à caractère personnel. L’EEDS s’appuie sur ces droits et complète certains d’entre eux tels qu’ils s’appliquent aux données de santé électroniques à caractère personnel. Ces droits s’appliquent indépendamment de l’État membre dans lequel les données de santé électroniques à caractère personnel sont traitées, du type de prestataire de soins de santé, des sources de ces données ou de l’État membre d’affiliation de la personne physique. Les règles et droits relatifs à l’utilisation primaire des données de santé électroniques à caractère personnel au titre du présent règlement concernent toutes les catégories de ces données, indépendamment de la manière dont elles ont été collectées ou de la personne qui les a fournies, du fondement juridique du traitement au titre du règlement (UE) 2016/679 ou du statut du responsable du traitement en tant qu’organisation publique ou privée. Les droits supplémentaires d’accès et de portabilité concernant les données de santé électroniques à caractère personnel prévus par le présent règlement devraient être sans préjudice des droits d’accès et de portabilité établis par le règlement (UE) 2016/679. Les personnes physiques continuent à jouir de ces droits dans les conditions prévues par ledit règlement.

(9)

Tandis que les droits conférés par le règlement (UE) 2016/679 devraient continuer de s’appliquer, le droit d’accès aux données par une personne physique, établi par le règlement (UE) 2016/679, devrait être développé davantage dans le secteur des soins de santé. En vertu dudit règlement, les responsables du traitement ne doivent pas fournir un accès immédiat. Le droit d’accès aux données de santé est encore communément mis en œuvre à de nombreux endroits par la fourniture des données de santé demandées sur support papier ou sous la forme de documents numérisés, ce qui prend du temps pour le responsable du traitement, tel que l’hôpital ou un autre prestataire de soins de santé fournissant l’accès. Cette situation ralentit l’accès des personnes physiques aux données de santé et peut avoir une incidence négative sur celles-ci si elles ont besoin d’un accès immédiat à ces données en raison de situations d’urgence concernant leur état de santé. Il est par conséquent nécessaire de prévoir un moyen plus efficace permettant aux personnes physiques d’accéder à leurs propres données de santé électroniques à caractère personnel. Elles devraient avoir un droit d’accès gratuit et immédiat, tout en respectant le besoin de faisabilité technique, aux catégories prioritaires spécifiques de données de santé électroniques à caractère personnel, telles que leur résumé du dossier de patient, par l’intermédiaire d’un service d’accès aux données de santé électroniques. Ce droit devrait s’appliquer indépendamment de l’État membre dans lequel les données de santé électroniques à caractère personnel sont traitées, du type de prestataire de soins de santé, des sources de ces données ou de l’État membre d’affiliation de la personne physique. La portée de ce droit complémentaire établi en vertu du présent règlement et les conditions de son exercice diffèrent à certains égards du droit d’accès aux données à caractère personnel au titre du règlement (UE) 2016/679, lequel couvre toutes les données à caractère personnel détenues par un responsable du traitement et est exercé à l’encontre d’un responsable du traitement individuel, qui dispose d’un mois maximum pour répondre à une demande. Le droit d’accès aux données électroniques de santé à caractère personnel prévu par le présent règlement devrait être limité aux catégories de données entrant dans son champ d’application, être exercé par l’intermédiaire d’un service d’accès aux données de santé électroniques et donner lieu à une réponse immédiate. Les droits prévus par le règlement (UE) 2016/679 devraient continuer à s’appliquer, ce qui permettrait aux personnes physiques de bénéficier de leurs droits au titre des deux cadres juridiques, en particulier du droit d’obtenir une copie papier des données de santé électroniques.

(10)

Il y a lieu de tenir compte du fait que l’accès immédiat des personnes physiques à certaines catégories de leurs données de santé électroniques à caractère personnel pourrait nuire à la sécurité de ces personnes physiques ou être contraire à l’éthique. Il pourrait par exemple être contraire à l’éthique d’informer un patient par voie électronique du diagnostic d’une maladie incurable susceptible de lui être fatale au lieu de fournir cette information au patient en premier lieu lors d’une consultation. Il devrait par conséquent être possible de retarder la fourniture de l’accès aux données de santé électroniques à caractère personnel dans de telles situations pour une durée limitée, par exemple jusqu’au moment où le professionnel de la santé peut expliquer la situation au patient. Les États membres devraient pouvoir établir une telle exception lorsqu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique, conformément aux limitations prévues à l’article 23 du règlement (UE) 2016/679.

(11)

Le présent règlement n’affecte pas les compétences des États membres en ce qui concerne l’enregistrement initial des données de santé électroniques à caractère personnel, telles que la soumission de l’enregistrement de données génétiques au consentement de la personne physique ou à d’autres garanties. Les États membres peuvent exiger que les données soient mises à disposition sous format électronique avant l’application du présent règlement. Cela ne devrait pas avoir d’incidence sur l’obligation de mettre à disposition sous format électronique les données de santé électroniques à caractère personnel enregistrées après la date d’application du présent règlement.

(12)

Afin de compléter les informations dont elles disposent, les personnes physiques devraient avoir la possibilité d’ajouter des données de santé électroniques à leur DME ou de conserver des informations supplémentaires dans leur dossier médical personnel distinct qui pourrait être accessible aux professionnels de la santé. Toutefois, les informations introduites par les personnes physiques pourraient ne pas être aussi fiables que les données de santé électroniques saisies et vérifiées par des professionnels de la santé et elles n’ont pas la même valeur clinique ou juridique que les informations fournies par des professionnels de la santé. Les données ajoutées par des personnes physiques dans leur DME devraient donc pouvoir être clairement distinguées des données fournies par des professionnels de la santé. Cette possibilité pour les personnes physiques d’ajouter et de compléter des données de santé électroniques à caractère personnel ne devrait pas leur donner le droit de modifier les données de santé électroniques à caractère personnel qui ont été fournies par des professionnels de la santé.

(13)

Permettre aux personnes physiques d’accéder plus facilement et plus rapidement à leurs données de santé électroniques à caractère personnel leur permettra de détecter d’éventuelles erreurs, telles que des informations incorrectes ou des dossiers de patients incorrectement attribués. Dans ces cas, les personnes physiques devraient pouvoir demander en ligne la rectification immédiate et gratuite des données de santé électroniques à caractère personnel incorrectes, par l’intermédiaire d’un service d’accès aux données de santé électroniques. Ces demandes de rectification devraient ensuite être traitées par les responsables du traitement concernés conformément au règlement (UE) 2016/679, en associant, si nécessaire, des professionnels de la santé ayant une spécialisation pertinente et chargés du traitement des personnes physiques.

(14)

En vertu du règlement (UE) 2016/679, le droit à la portabilité des données est limité aux données traitées sur la base d’un consentement ou d’un contrat et fournies par la personne concernée à un responsable du traitement. En outre, en vertu dudit règlement, les personnes physiques ont le droit d’obtenir que les données à caractère personnel soient transmises directement d’un responsable du traitement à un autre uniquement lorsque c’est techniquement possible. Le règlement (UE) 2016/679 n’impose toutefois pas d’obligation de faire en sorte que cette transmission directe soit techniquement faisable. Le droit à la portabilité des données devrait être complété dans le cadre du présent règlement, afin que les personnes physiques soient habilitées à donner l’accès à, au moins, des catégories prioritaires de leurs données de santé électroniques à caractère personnel aux professionnels de la santé de leur choix, à échanger de telles données de santé avec ces professionnels de la santé et à télécharger de telles données de santé. Les personnes physiques devraient en outre avoir le droit de demander à un prestataire de soins de santé de transmettre une partie de leurs données de santé électroniques à un destinataire clairement identifié dans le secteur de la sécurité sociale ou des services de remboursement. Ce type de transfert ne devrait être effectué que dans un sens.

(15)

Le cadre défini par le présent règlement devrait s’appuyer sur le droit à la portabilité des données établi dans le règlement (UE) 2016/679, en veillant à ce que les personnes physiques, en tant que personnes concernées, puissent transmettre leurs données de santé électroniques à caractère personnel, y compris les données déduites, dans le format européen d’échange des dossiers médicaux électroniques, quelle que soit la base juridique du traitement des données de santé électroniques. Les professionnels de la santé devraient s’abstenir d’entraver l’application des droits des personnes physiques, par exemple en refusant de prendre en considération les données de santé électroniques à caractère personnel provenant d’un autre État membre et qui sont fournies dans le format européen, interopérable et fiable, d’échange des dossiers médicaux électroniques.

(16)

L’accès aux dossiers médicaux électroniques par les prestataires de soins de santé ou d’autres personnes devrait être transparent pour les personnes physiques concernées. Les services d’accès aux données de santé électroniques devraient fournir des informations détaillées sur l’accès aux données, par exemple quand l’accès a eu lieu et quelle entité ou personne physique a eu accès aux données et à quelles données il a été accédé. Les personnes physiques devraient également pouvoir activer ou désactiver les notifications automatiques concernant l’accès aux données de santé électroniques à caractère personnel les concernant par l’intermédiaire des services d’accès des professionnels de la santé.

(17)

Les personnes physiques pourraient ne pas vouloir qu’il soit permis d’accéder à certaines parties de leurs données de santé électroniques à caractère personnel, tout en autorisant l’accès à d’autres parties. Cela pourrait être particulièrement pertinent en cas de problèmes de santé sensibles, tels que ceux liés à la santé mentale ou sexuelle, de procédures sensibles telles que les avortements ou de données sur des médicaments spécifiques susceptibles de révéler d’autres problèmes sensibles. Il convient donc que ce partage sélectif des données de santé électroniques à caractère personnel soit soutenu et mis en œuvre au moyen de limitations fixées par la personne physique concernée de la même façon sur le territoire d’un État membre donné que pour le partage transfrontière des données. Ces limitations devraient permettre une granularité suffisante pour limiter des parties des ensembles de données, telles que des éléments des résumés des dossiers des patients. Avant de fixer les limitations, les personnes physiques devraient être informées des risques pour la sécurité des patients associés à la limitation de l’accès aux données de santé. Étant donné que l’indisponibilité des données de santé électroniques à caractère personnel faisant l’objet de limitations peut avoir une incidence sur la fourniture ou sur la qualité des services de santé délivrés à la personne physique, les personnes physiques faisant usage de telles limitations d’accès devraient assumer la responsabilité du fait que le prestataire de soins de santé ne peut pas prendre connaissance des données au moment de fournir les services de santé. Les limitations d’accès aux données de santé électroniques à caractère personnel pourraient avoir des conséquences potentiellement mortelles et, par conséquent, l’accès à ces données devrait néanmoins être possible lorsque cela est nécessaire pour protéger des intérêts vitaux dans des situations d’urgence. Les États membres pourraient prévoir dans leur droit national des dispositions juridiques plus spécifiques sur les mécanismes de limitations placées par les personnes physiques concernant certaines parties de leurs données de santé électroniques à caractère personnel, notamment en ce qui concerne la responsabilité médicale dans les cas où les limitations ont été placées par la personne physique concernée.

(18)

En outre, en raison des sensibilités différentes dans les États membres en ce qui concerne le degré de contrôle des patients sur leurs données de santé, les États membres devraient pouvoir prévoir un droit absolu pour les patients de refuser («opt-out») l’accès à leurs données de santé électroniques à caractère personnel par toute personne autre que le responsable du traitement initial, sans possibilité aucune d’outrepasser ce droit de refus dans des situations d’urgence. Dans ce cas, les États membres devraient établir les règles et les garanties spécifiques concernant ces mécanismes de refus. Ces règles et garanties spécifiques pourraient également se rapporter à des catégories spécifiques de données de santé électroniques à caractère personnel, par exemple les données génétiques. Ce droit de refus signifie que les données de santé électroniques à caractère personnel relatives à la personne physique qui exerce ce droit ne seraient pas, par l’intermédiaire des services mis en place au titre de l’EEDS, mises à la disposition d’une personne autre que le prestataire de soins de santé qui a dispensé le traitement. Les États membres devraient pouvoir exiger que les données de santé électroniques à caractère personnel soient enregistrées et conservées dans un système de DME utilisé par le prestataire de soins de santé qui a fourni les services de santé et soient accessibles uniquement à ce prestataire de soins de santé. Si une personne physique a exercé le droit de refus, les prestataires de soins de santé continueront à documenter le traitement dispensé conformément aux règles applicables et pourront accéder aux données qu’ils ont eux-mêmes enregistrées. Les personnes physiques qui exercent le droit de refus devraient pouvoir revenir sur leur décision. Dans ce cas, les données de santé électroniques à caractère personnel générées pendant la période de refus pourraient ne pas être disponibles via les services d’accès et MaSanté@UE (MyHealth@EU).

(19)

L’accès rapide et total des professionnels de la santé aux dossiers médicaux des patients est fondamental pour garantir la continuité des soins, éviter les duplications et les erreurs et réduire les coûts. Cependant, par manque d’interopérabilité, dans de nombreux cas, les professionnels de la santé ne peuvent pas accéder aux dossiers médicaux complets de leurs patients et ne peuvent pas prendre des décisions médicales optimales pour leur diagnostic et leur traitement, ce qui se traduit par des coûts supplémentaires considérables pour les systèmes de santé et pour les personnes physiques et peut aboutir à des résultats de santé plus défavorables pour les personnes physiques. Les données de santé électroniques mises à disposition dans un format interopérable, et qui peuvent être transmises entre prestataires de soins de santé, peuvent aussi réduire la charge administrative que représente pour les professionnels de la santé l’introduction manuelle ou la copie des données de santé d’un système électronique à l’autre. Il y a donc lieu de doter les professionnels de la santé de moyens électroniques appropriés, tels que des dispositifs électroniques et des portails ou autres services d’accès des professionnels de la santé, pour utiliser les données de santé électroniques à caractère personnel dans l’exercice de leurs fonctions. Comme il est difficile de déterminer à l’avance et de manière exhaustive quelles données parmi les données existantes dans les catégories prioritaires sont médicalement pertinentes dans un épisode de soins spécifique, les professionnels de la santé devraient disposer d’un large accès aux données. Lorsqu’ils accèdent aux données relatives à leurs patients, les professionnels de la santé devraient se conformer au droit applicable, aux codes de conduite, aux lignes directrices déontologiques ou à d’autres dispositions régissant la conduite éthique en ce qui concerne le partage d’informations ou l’accès aux informations, en particulier dans des situations potentiellement mortelles ou extrêmes. Conformément au règlement (UE) 2016/679, afin de limiter leur accès à ce qui est pertinent dans un épisode de soins spécifique, les prestataires de soins de santé devraient suivre le principe de minimisation des données lorsqu’ils accèdent aux données de santé électroniques à caractère personnel en limitant les données auxquelles il est accédé à celles qui sont strictement nécessaires et justifiées pour un service donné. Fournir des services d’accès aux professionnels de la santé est une mission assignée par le présent règlement dans l’intérêt public, dont l’exécution nécessite le traitement de données à caractère personnel conformément à l’article 6, paragraphe 1, point e), du règlement (UE) 2016/679. Le présent règlement prévoit des conditions et des garanties pour le traitement des données de santé électroniques par le service d’accès des professionnels de la santé conformément à l’article 9, paragraphe 2, point h), du règlement (UE) 2016/679, telles que des dispositions détaillées concernant la journalisation des accès aux données de santé électroniques à caractère personnel et qui visent à assurer la transparence à l’égard des personnes concernées. Le présent règlement devrait cependant être sans préjudice du droit national en ce qui concerne le traitement des données de santé pour la fourniture de soins de santé, notamment les dispositions de droit national établissant les catégories de professionnels de la santé qui peuvent traiter différentes catégories de données de santé électroniques.

(20)

Afin de faciliter l’exercice des droits complémentaires d’accès et de portabilité établis en vertu du présent règlement, les États membres devraient mettre en place un ou plusieurs services d’accès aux données de santé électroniques. Ces services pourraient être fournis au niveau national, régional ou local, ou par des prestataires de soins de santé, sous la forme d’un portail en ligne destiné aux patients, d’une application pour les appareils mobiles ou d’autres moyens. Ils devraient être conçus pour être facilement accessibles, notamment pour les personnes handicapées. La fourniture d’un tel service, permettant aux personnes physiques d’accéder facilement à leurs données de santé électroniques à caractère personnel, est d’un intérêt public important. Le traitement des données de santé électroniques à caractère personnel par l’intermédiaire de ces services est nécessaire à l’exécution de cette mission assignée par le présent règlement au sens de l’article 6, paragraphe 1, point e), et de l’article 9, paragraphe 2, point g), du règlement (UE) 2016/679. Le présent règlement fixe les conditions et les garanties nécessaires pour le traitement des données de santé électroniques dans les services d’accès aux données de santé électroniques, telles que l’identification électronique des personnes physiques accédant à ces services.

(21)

Les personnes physiques devraient pouvoir donner une autorisation à d’autres personnes physiques de leur choix, telles que leurs parents ou d’autres personnes physiques proches, permettant à ces personnes de leur choix d’accéder ou de contrôler l’accès aux données de santé électroniques à caractère personnel des personnes physiques ayant donné l’autorisation ou d’utiliser des services de santé numérique en leur nom. De telles autorisations pourraient aussi être pratiques pour d’autres utilisations par les personnes physiques ayant reçu une telle autorisation. Des services de procuration destinés à activer et à mettre en œuvre ces autorisations devraient être établis par les États membres, et ces services devraient être mis en relation avec les services d’accès aux données de santé électroniques à caractère personnel, tels que les portails ou les applications pour les appareils mobiles destinés aux patients. Ces services de procuration devraient aussi permettre aux tuteurs d’agir au nom des personnes dont ils ont la charge, y compris les mineurs; dans ce genre de situations, les autorisations pourraient être automatiques. Outre ces services de procuration, les États membres devraient également mettre en place des services d’assistance facilement accessibles, fournis par un personnel dûment formé et chargé d’aider les personnes physiques à exercer leurs droits. Afin de tenir compte des cas dans lesquels la présentation de certaines données de santé électroniques à caractère personnel de personnes à charge à leurs tuteurs pourrait être contraire aux intérêts ou à la volonté des personnes à charge, y compris des mineurs, les États membres devraient pouvoir prévoir des limitations et des garanties dans le droit national, ainsi que des mécanismes pour leur mise en œuvre technique. Les services d’accès aux données de santé électroniques à caractère personnel, tels que les portails ou les applications pour les appareils mobiles destinés aux patients, devraient utiliser ces autorisations et ainsi permettre aux personnes physiques autorisées d’accéder aux données de santé électroniques à caractère personnel relevant du champ d’application de l’autorisation. Afin de fournir une solution transversale plus conviviale, les services de procuration numériques devraient être alignés sur le règlement (UE) no 910/2014 du Parlement européen et du Conseil (7) et sur les spécifications techniques du portefeuille européen d’identité numérique. Cet alignement contribuerait à réduire les charges tant administratives que financières pour les États membres en réduisant le risque de développer des systèmes parallèles qui ne seraient pas interopérables dans l’ensemble de l’Union.

(22)

Dans certains États membres, les soins de santé sont dispensés par des équipes de gestion des soins primaires, qui sont des groupes de professionnels de la santé centrés sur les soins primaires, tels que des médecins généralistes, qui exercent leurs activités de soins primaires sur la base d’un plan de soins de santé qu’elles établissent. D’autres types d’équipes de soins de santé existent également dans plusieurs États membres pour d’autres objectifs de soins. Dans le cadre de l’utilisation primaire dans l’EEDS, l’accès devrait être fourni aux professionnels de la santé appartenant à ces équipes.

(23)

Les autorités de contrôle instituées en vertu du règlement (UE) 2016/679 sont compétentes pour surveiller l’application dudit règlement et veiller au respect de celui-ci, en particulier pour surveiller le traitement des données de santé électroniques à caractère personnel et traiter les réclamations introduites par les personnes physiques concernées. Le présent règlement établit des droits supplémentaires pour les personnes physiques en ce qui concerne l’utilisation primaire, qui vont au-delà du droit d’accès et du droit à la portabilité inscrits dans le règlement (UE) 2016/679, et qui complètent ces droits. Dès lors que ces droits supplémentaires devraient également être mis en œuvre par les autorités de contrôle instituées en vertu du règlement (UE) 2016/679, les États membres devraient veiller à ce que ces autorités de contrôle disposent des ressources financières et humaines et des locaux et infrastructures nécessaires à l’accomplissement effectif de ces tâches supplémentaires. L’autorité de contrôle ou les autorités de contrôle chargées de la surveillance et de l’exécution du traitement des données de santé électroniques à caractère personnel à des fins d’utilisation primaire en conformité avec le présent règlement devraient être compétentes pour imposer des amendes administratives. Le système juridique du Danemark ne permet pas d’imposer des amendes administratives comme le prévoit le présent règlement. Les règles relatives aux amendes administratives peuvent être appliquées de telle sorte que, au Danemark, les amendes soient imposées par les juridictions nationales compétentes sous la forme d’une sanction pénale, à condition qu’une telle application des règles ait un effet équivalent aux amendes administratives imposées par les autorités de contrôle. En tout état de cause, les amendes imposées devraient être effectives, proportionnées et dissuasives.

(24)

Les États membres devraient s’efforcer d’adhérer aux principes éthiques, tels que les principes éthiques européens en matière de santé numérique adoptés par le réseau «Santé en ligne» le 26 janvier 2022 et le principe de confidentialité entre les professionnels de la santé et leurs patients dans l’application du présent règlement. Reconnaissant l’importance des principes éthiques, les principes éthiques européens en matière de santé numérique fournissent des orientations aux praticiens, aux chercheurs, aux innovateurs, aux décideurs politiques et aux régulateurs.

(25)

La pertinence des différentes catégories de données de santé électroniques pour les différents scénarios de soins de santé varie. Différentes catégories ont aussi atteint différents niveaux de maturité en matière de normalisation, et la mise en œuvre de mécanismes en vue de leur échange peut donc être plus ou moins complexe selon la catégorie. L’amélioration de l’interopérabilité et du partage de données devrait donc être progressive et il est nécessaire de hiérarchiser certaines catégories de données de santé électroniques. Les catégories de données de santé électroniques telles que les résumés des dossiers des patients, les prescriptions et les dispensations électroniques, les examens d’imagerie médicale et les comptes rendus d’imagerie médicale y afférents, les résultats d’examens médicaux, tels que les résultats de laboratoires et les comptes rendus y afférents et les rapports de sortie d’hôpital, ont été sélectionnées par le réseau «Santé en ligne» comme étant les plus pertinentes pour la majorité des situations de soins de santé et devraient être considérées comme des catégories prioritaires pour que les États membres mettent en œuvre l’accès à celles-ci et à leur transmission. Lorsque ces catégories prioritaires de données représentent des groupes de données de santé électroniques, le présent règlement devrait s’appliquer à la fois aux groupes dans leur ensemble, et aux entrées de données individuelles comprises dans ces groupes. Ainsi, étant donné que le statut vaccinal fait partie du résumé du dossier du patient, les droits et exigences liés au résumé du dossier du patient devraient également s’appliquer à ce statut vaccinal, même s’il est traité séparément du résumé du dossier du patient dans son ensemble. Lorsque de nouveaux besoins en matière d’échange de catégories supplémentaires de données de santé électroniques sont mis en évidence à des fins de soins de santé, l’accès à ces catégories supplémentaires et leur échange devraient être possible en vertu du présent règlement. Les catégories supplémentaires devraient d’abord être mises en œuvre au niveau des États membres et l’échange sur une base volontaire de telles catégories de données dans les situations transfrontières entre les États membres coopérants devrait être prévu dans le présent règlement. Il y a lieu d’accorder une attention particulière à l’échange de données dans les régions frontalières des États membres voisins où la fourniture de services de santé transfrontières est plus fréquente et nécessite des procédures encore plus rapides que dans le reste de l’Union en général.

(26)

Le niveau de disponibilité des données de santé et des données génétiques à caractère personnel au format électronique varie selon les États membres. L’EEDS devrait permettre aux personnes physiques de disposer plus facilement de ces données au format électronique et de mieux contrôler l’accès à leurs données de santé électroniques à caractère personnel et le partage de ces données. De plus, cela contribuerait à la réalisation de l’objectif consistant à ce que 100 % des citoyens de l’Union aient accès à leur dossier médical électronique d’ici à 2030, conformément à la décision (UE) 2022/2481 du Parlement européen et du Conseil (8). Afin de rendre les données de santé électroniques accessibles et transmissibles, il convient d’accéder à ces données et de transmettre ces données dans un format européen commun interopérable d’échange de dossiers médicaux électroniques, au moins pour certaines catégories de données de santé électroniques, telles que les résumés des dossiers des patients, les ordonnances et dispensations électroniques, les examens d’imagerie médicale et les comptes rendus d’imagerie médicale y afférents, les résultats d’examens médicaux et les rapports de sortie d’hôpital, sous réserve de périodes de transition. Lorsque des données de santé électroniques à caractère personnel sont mises à la disposition d’un prestataire de soins de santé ou d’une pharmacie par une personne physique, ou sont transmises par un autre responsable du traitement dans le format européen d’échange des dossiers médicaux électroniques, ce format devrait être accepté et le destinataire devrait être en mesure de lire les données et de les utiliser pour la prestation de soins de santé ou la délivrance d’un médicament, favorisant ainsi la prestation des services de soins de santé ou la délivrance d’une ordonnance électronique. Le format européen d’échange des dossiers médicaux électroniques devrait être conçu de manière à faciliter, dans la mesure du possible, la traduction des données de santé électroniques communiquées à l’aide de ce format dans les langues officielles de l’Union. La recommandation (UE) 2019/243 de la Commission (9) jette les bases d’un tel format européen commun d’échange des dossiers médicaux électroniques. L’interopérabilité de l’EEDS devrait contribuer à la création d’ensembles européens de données de santé de bonne qualité. L’utilisation d’un format européen d’échange des dossiers médicaux électroniques devrait se généraliser au niveau de l’Union et au niveau national. Le format européen d’échange des dossiers médicaux électroniques pourrait permettre son utilisation par différents profils au niveau des systèmes de DME et au niveau des points de contact nationaux pour la santé numérique dans MaSanté@UE (MyHealth@EU) pour l’échange transfrontière de données.

(27)

Si les systèmes de DME sont largement répandus, le niveau de numérisation des données de santé varie dans les États membres en fonction des catégories de données et de la couverture des prestataires de soins de santé qui enregistrent les données de santé au format électronique. Afin de soutenir l’application des droits des personnes concernées en matière d’accès et d’échange de données de santé électroniques, une action de l’Union est nécessaire pour éviter d’amplifier la fragmentation. Pour contribuer à la qualité et à la continuité des soins de santé, certaines catégories de données de santé devraient être enregistrées au format électronique de manière systématique et conformément aux exigences spécifiques en matière de qualité des données. Le format européen d’échange des dossiers médicaux électroniques devrait servir de base aux spécifications liées à l’enregistrement et à l’échange de données de santé électroniques.

(28)

La télémédecine est un outil de plus en plus important qui permet aux patients d’avoir accès aux soins et de lutter contre les inégalités. Elle est susceptible de réduire les inégalités en matière de santé et de renforcer la libre circulation transfrontière des citoyens de l’Union. Les outils numériques et les autres outils technologiques peuvent faciliter la prestation de soins dans les régions éloignées. Lorsque des services numériques accompagnent la prestation matérielle d’un service de soins de santé, ils devraient être inclus dans la prestation de soins globale. En vertu de l’article 168 du traité sur le fonctionnement de l’Union européenne, les États membres sont responsables de leur politique de santé, en particulier de l’organisation et de la fourniture de services de santé et de soins médicaux, y compris de la réglementation d’activités telles que les pharmacies en ligne, la télémédecine et d’autres services qu’ils fournissent et remboursent, conformément à leur législation nationale. Les différentes politiques en matière de soins de santé ne devraient toutefois pas faire obstacle à la libre circulation des données de santé électroniques dans le contexte des soins de santé transfrontières, par exemple la télémédecine et les services des pharmacies en ligne.

(29)

Le règlement (UE) no 910/2014 fixe les conditions dans lesquelles les États membres procèdent à l’identification des personnes physiques dans des situations transfrontières en utilisant des moyens d’identification électronique délivrés par un autre État membre, et il établit des règles pour la reconnaissance mutuelle de ces moyens d’identification électronique. L’EEDS exige un accès sécurisé aux données de santé électroniques, y compris dans les situations transfrontières. Les services d’accès aux données de santé électroniques et les services de télémédecine devraient permettre aux personnes physiques d’exercer leurs droits indépendamment de leur État membre d’affiliation, et devraient dès lors favoriser l’identification des personnes physiques à l’aide de tout moyen d’identification électronique reconnu en vertu du règlement (UE) no 910/2014. Compte tenu des difficultés potentielles de mise en correspondance des identités dans les situations transfrontières, il pourrait être nécessaire pour les États membres de traitement de délivrer des mécanismes d’accès complémentaires tels que des jetons ou des codes d’accès aux personnes physiques qui arrivent d’autres États membres et reçoivent des soins de santé. La Commission devrait être habilitée à adopter des actes d’exécution pour déterminer les exigences relatives à l’identification et à l’authentification interopérables et transfrontières des personnes physiques et des professionnels de la santé, y compris tout mécanisme complémentaire qui est nécessaire pour garantir que les personnes physiques peuvent exercer les droits afférents à leurs données de santé électroniques à caractère personnel dans des situations transfrontières.

(30)

Les États membres devraient désigner des autorités de santé numérique compétentes pour la planification et la mise en œuvre des normes relatives à l’accès aux données de santé électroniques, à leur transmission et à l’exécution des droits des personnes physiques et des professionnels de la santé, en tant qu’organisations distinctes ou comme faisant partie d’autorités déjà existantes. Le personnel de l’autorité de santé numérique ne devrait pas détenir d’intérêts, financiers ou autres, dans des industries ou des activités économiques qui seraient de nature à compromettre son impartialité. Des autorités de santé numérique existent déjà dans la plupart des États membres et elles s’occupent des DME, de l’interopérabilité, de la sécurité ou de la normalisation. Dans l’exercice de leurs tâches, les autorités de santé numérique devraient coopérer notamment avec les autorités de contrôle instituées en vertu du règlement (UE) 2016/679 et les organes de contrôle institués en vertu du règlement (UE) no 910/2014. Les autorités de santé numérique peuvent également coopérer avec le Comité européen de l’intelligence artificielle institué par le règlement (UE) 2024/1689 du Parlement européen et du Conseil (10), le groupe de coordination en matière de dispositifs médicaux institué par le règlement (UE) 2017/745 du Parlement européen et du Conseil (11), le comité européen de l’innovation dans le domaine des données institué en vertu du règlement (UE) 2022/868 du Parlement européen et du Conseil (12) et les autorités compétentes au titre du règlement (UE) 2023/2854 du Parlement européen et du Conseil (13). Les États membres devraient faciliter la participation des acteurs nationaux à la coopération à l’échelle de l’Union, faciliter la transmission de l’expertise et la fourniture de conseils sur la conception des solutions nécessaires pour atteindre les objectifs de l’EEDS.

(31)

Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne physique ou morale devrait disposer du droit à un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de santé numérique qui la concerne ou lorsqu’une autorité de santé numérique ne traite pas une réclamation ou n’informe pas la personne physique ou morale, dans un délai de trois mois, de l’état d’avancement ou de l’issue de la réclamation. Toute action contre une autorité de santé numérique devrait être intentée devant les juridictions des États membres dans lesquels l’autorité de santé numérique est établie.

(32)

Les autorités de santé numérique devraient disposer des compétences techniques suffisantes, en rassemblant éventuellement des experts de différentes organisations. Les activités des autorités de santé numérique devraient être bien organisées et contrôlées afin de garantir leur efficacité. Les autorités de santé numérique devraient prendre les mesures nécessaires pour protéger les droits des personnes physiques en mettant en place des solutions techniques nationales, régionales et locales telles que des solutions d’intermédiation pour les DME nationaux et des portails nationaux destinés aux patients. Lorsqu’elles prennent de telles mesures de protection nécessaires, les autorités de santé numérique devraient appliquer à ces solutions des normes et des spécifications communes, promouvoir l’application de ces normes et spécifications dans les procédures de marchés publics et utiliser d’autres moyens innovants, y compris le remboursement des solutions qui sont conformes aux exigences d’interopérabilité et de sécurité de l’EEDS. Les États membres devraient veiller à ce que des initiatives de formation appropriées soient prises. Il convient notamment d’informer les professionnels de la santé de leurs droits et de leurs obligations en vertu du présent règlement ainsi que de les former à cet égard. Pour mener à bien leurs tâches, les autorités de santé numérique devraient coopérer, au niveau de l’Union et au niveau national, avec d’autres entités, notamment les organismes d’assurance, les prestataires de soins de santé, les professionnels de la santé, les fabricants de systèmes de DME et d’applications de bien-être, ainsi qu’avec les autres parties prenantes du secteur de la santé ou des technologies de l’information, les entités chargées des régimes de remboursement, les organismes d’évaluation des technologies de la santé, les autorités et agences de réglementation des médicaments, les autorités chargées des dispositifs médicaux, les acheteurs et les autorités chargées de la cybersécurité ou de l’identification électronique.

(33)

L’accès aux données de santé électroniques et la transmission de ces données sont importants dans les situations de soins de santé transfrontières, car ils peuvent favoriser la continuité des soins de santé lorsque des personnes physiques se rendent dans d’autres États membres ou changent de lieu de résidence. La continuité des soins et l’accès rapide aux données de santé électroniques à caractère personnel sont encore plus importants pour les résidents de régions frontalières qui franchissent fréquemment une frontière pour recevoir des soins de santé. Dans de nombreuses régions frontalières, certains services de soins de santé spécialisés pourraient être plus proches de l’autre côté de la frontière que dans le même État membre. Une infrastructure est nécessaire pour transmettre les données de santé électroniques à caractère personnel entre pays, dans des situations où une personne physique a recours aux services d’un prestataire de soins de santé établi dans un autre État membre. Il convient d’envisager l’expansion progressive d’une telle infrastructure et son financement. L’infrastructure MaSanté@UE (MyHealth@EU) a été établie à cet effet, sur la base du volontariat, dans le cadre des actions visant à atteindre les objectifs fixés dans la directive 2011/24/UE du Parlement européen et du Conseil (14). Grâce à MaSanté@UE (MyHealth@EU), les États membres ont commencé à offrir aux personnes physiques la possibilité de communiquer leurs données de santé électroniques à caractère personnel à des prestataires de soins de santé lorsqu’elles sont en déplacement à l’étranger. Sur la base de cette expérience, la participation des États membres à MaSanté@UE (MyHealth@EU), telle qu’elle est établie par le présent règlement, devrait être obligatoire. Les spécifications techniques de MaSanté@UE (MyHealth@EU) devraient permettre l’échange de catégories prioritaires de données de santé électroniques ainsi que des catégories supplémentaires soutenues par le format européen d’échange des dossiers médicaux électroniques. Ces spécifications devraient être définies par voie d’actes d’exécution et fondées sur les spécifications transfrontières du format européen d’échange des dossiers médicaux électroniques, complétées par d’autres spécifications en matière de cybersécurité, d’interopérabilité technique et sémantique, d’opérations et de gestion des services. Les États membres devraient être tenus d’adhérer à MaSanté@UE (MyHealth@EU), de se conformer à ses spécifications techniques et d’y connecter les prestataires de soins de santé, y compris les pharmacies, car cela est nécessaire pour permettre aux personnes physiques d’exercer leurs droits prévus dans le présent règlement d’accéder à leurs données de santé électroniques à caractère personnel et de les utiliser, quel que soit l’État membre où elles se trouvent.

(34)

MaSanté@UE (MyHealth@EU) fournit une infrastructure commune aux États membres pour assurer la connectivité et l’interopérabilité de manière efficace et sécurisée afin de soutenir les soins de santé transfrontières, sans porter atteinte aux responsabilités des États membres avant et après la transmission des données de santé électroniques à caractère personnel par l’intermédiaire de cette infrastructure. Les États membres sont responsables de l’organisation de leurs points de contact nationaux pour la santé numérique et du traitement des données à caractère personnel aux fins de la fourniture de soins de santé avant et après la transmission de ces données par l’intermédiaire de MaSanté@UE (MyHealth@EU). La Commission devrait surveiller, au moyen de contrôles de conformité, le respect par les points de contact nationaux pour la santé numérique des exigences nécessaires concernant le développement technique de MaSanté@UE (MyHealth@EU), ainsi que des règles détaillées concernant la sécurité, la confidentialité et la protection des données de santé électroniques à caractère personnel. En présence d’un cas grave de non-conformité de la part d’un point de contact national pour la santé numérique, la Commission devrait être en mesure de suspendre les services affectés par la non-conformité fournis par ce point de contact national pour la santé numérique. La Commission devrait agir en tant que sous-traitant au nom des États membres au sein de MaSanté@UE (MyHealth@EU) et fournir des services centraux à cette dernière. Afin de garantir le respect des règles en matière de protection des données et de fournir un cadre de gestion des risques pour la transmission de données de santé électroniques à caractère personnel, les responsabilités spécifiques des États membres en tant que responsables conjoints du traitement et les obligations de la Commission en tant que sous-traitant en leur nom devraient être définies en détail par voie d’actes d’exécution. Chaque État membre est seul responsable des données et des services sur son territoire. Le présent règlement constitue la base juridique du traitement des données de santé électroniques à caractère personnel dans MaSanté@UE (MyHealth@EU) en tant que mission exécutée dans l’intérêt public, assignée par le droit de l’Union, visée à l’article 6, paragraphe 1, point e), du règlement (UE) 2016/679. Ce traitement est nécessaire à la prestation de soins de santé dans les situations transfrontières, comme indiqué à l’article 9, paragraphe 2, point h), dudit règlement.

(35)

Outre les services offerts par MaSanté@UE (MyHealth@EU) pour l’échange de données de santé électroniques à caractère personnel sur la base du format européen d’échange des dossiers médicaux électroniques, d’autres services ou infrastructures supplémentaires pourraient être nécessaires, par exemple en cas d’urgences de santé publique ou lorsque l’architecture de MaSanté@UE (MyHealth@EU) ne convient pas à la mise en œuvre de certains cas d’utilisation. Parmi les exemples de tels cas d’utilisation, on peut citer les fonctionnalités d’assistance en matière de cartes de vaccination, y compris l’échange d’informations sur les plans de vaccination, ou la vérification des certificats de vaccination ou d’autres certificats liés à la santé. Ces cas d’utilisation supplémentaires seraient également importants pour introduire des fonctionnalités supplémentaires permettant de gérer les crises de santé publique, telles que le soutien à la recherche des contacts en vue de contenir les maladies infectieuses. MaSanté@UE (MyHealth@EU) devrait soutenir les échanges de données de santé électroniques à caractère personnel avec les points de contact nationaux pour la santé numérique des pays tiers et les systèmes établis à l’échelon international par des organisations internationales concernés afin de contribuer à la continuité des soins de santé. Cela est particulièrement pertinent pour les personnes qui se déplacent vers et depuis des pays tiers voisins, les pays candidats et les pays et territoires d’outre-mer associés. La connexion de ces points de contact nationaux pour la santé numérique de pays tiers à MaSanté@UE (MyHealth@EU) ainsi que l’interopérabilité avec les systèmes numériques établis au niveau international par des organisations internationales devraient être soumises à un contrôle garantissant la conformité de ces points de contact et systèmes numériques avec les spécifications techniques, les règles en matière de protection des données et les autres exigences de MaSanté@UE (MyHealth@EU). En outre, étant donné que la connexion à MaSanté@UE (MyHealth@EU) impliquera des transferts de données de santé électroniques à caractère personnel vers des pays tiers, par exemple le partage du résumé du dossier d’un patient lorsque ce patient demande à se faire soigner dans ce pays tiers, des instruments de transfert pertinents devraient être mis en place au titre du chapitre V du règlement (UE) 2016/679. La Commission devrait être habilitée à adopter des actes d’exécution pour faciliter la connexion de ces points de contact nationaux pour la santé numérique de pays tiers et de ces systèmes établis à l’échelon international par des organisations internationales à MaSanté@UE (MyHealth@EU). Lors de l’élaboration de ces actes d’exécution, la Commission devrait tenir compte des intérêts des États membres en matière de sécurité nationale.

(36)

Afin de permettre un échange fluide des données de santé électroniques et de garantir le respect des droits des personnes physiques et des professionnels de la santé, les systèmes de DME commercialisés dans le marché intérieur devraient pouvoir conserver et transmettre, de manière sécurisée, des données de santé électroniques de haute qualité. C’est un objectif essentiel de l’EEDS pour garantir la libre circulation en toute sécurité des données de santé électroniques au sein de l’Union. À cette fin, il convient d’établir un système d’autoévaluation de la conformité obligatoire pour les systèmes de DME traitant une ou plusieurs catégories prioritaires de données de santé électroniques afin de remédier à la fragmentation du marché tout en garantissant une approche proportionnée. Grâce à l’autoévaluation, les systèmes de DME prouveront la conformité aux exigences en matière d’interopérabilité, de sécurité et de journalisation pour la communication de données de santé électroniques à caractère personnel établies par les deux composants logiciels obligatoires de DME harmonisés par le présent règlement, à savoir le composant logiciel d’interopérabilité européen pour les systèmes de DME et le composant logiciel de journalisation européen pour les systèmes de DME (ci-après dénommés «composants logiciels harmonisés des systèmes de DME»). Les composants logiciels harmonisés des systèmes de DME concernent principalement la transformation des données, bien qu’ils peuvent impliquer la nécessité d’exigences indirectes d’enregistrement de données et de présentation des données dans les systèmes de DME. Les spécifications techniques applicables aux composants logiciels harmonisés des systèmes de DME devraient être définies par voie d’actes d’exécution et devraient être fondées sur l’utilisation du format européen d’échange des dossiers médicaux électroniques. Les composants logiciels harmonisés des systèmes de DME devraient être conçus de manière à être réutilisables et à s’intégrer sans discontinuité avec d’autres composants au sein d’un système logiciel plus vaste. Les exigences de sécurité des composants logiciels harmonisés des systèmes de DME devraient couvrir les éléments propres aux systèmes de DME, tandis que les propriétés de sécurité plus générales devraient être soutenues par d’autres mécanismes tels que ceux prévus dans le règlement (UE) 2024/2847 du Parlement européen et du Conseil (15). À l’appui de ce processus, il convient de mettre en place des environnements d’essai numériques européens fournissant des procédés automatisés pour vérifier si le fonctionnement des composants logiciels harmonisés d’un système de DME est conforme aux exigences fixées dans le présent règlement. À cette fin, il convient de conférer des compétences d’exécution à la Commission afin qu’elle puisse définir les spécifications communes applicables à ces environnements. La Commission devrait mettre au point le logiciel nécessaire aux environnements d’essai et le mettre à disposition en tant que source ouverte. Les États membres devraient être responsables du fonctionnement des environnements d’essai numériques car ils sont plus proches des fabricants et mieux placés pour les soutenir. Les fabricants devraient utiliser ces environnements d’essai numériques pour tester leurs produits avant de les mettre sur le marché, tout en continuant à assumer l’entière responsabilité de la conformité de leurs produits. Les résultats de l’essai devraient faire partie de la documentation technique du produit. Lorsque tout ou partie du système de DME est conforme à des normes européennes ou à des spécifications communes, la liste des normes européennes et des spécifications communes concernées devrait également figurer dans la documentation technique. Pour faciliter la comparabilité des systèmes de DME, la Commission devrait élaborer un modèle uniforme de documentation technique destinée à accompagner ces systèmes.

(37)

Les systèmes de DME devraient être accompagnés d’une fiche d’information contenant des informations destinées à ses utilisateurs professionnels et d’une notice d’utilisation claire et complète, y compris dans des formats accessibles aux personnes handicapées. Si un système de DME n’est pas accompagné de ces informations, le fabricant du système de DME concerné, son mandataire et tous les autres opérateurs économiques concernés devraient être tenus d’ajouter cette fiche d’information et cette notice d’utilisation au système de DME.

(38)

Alors que les systèmes de DME spécifiquement conçus par le fabricant pour être utilisés à des fins de traitement d’une ou de plusieurs catégories spécifiques de données de santé électroniques devraient être soumis à une autocertification obligatoire, les logiciels à usage général ne devraient pas être considérés comme des systèmes de DME, même lorsqu’ils sont utilisés dans un établissement de soins de santé, et ne devraient donc pas être tenus de se conformer au présent règlement. Il s’agit notamment de logiciels de traitement de texte utilisés pour rédiger des rapports qui sont ensuite intégrés dans les dossiers médicaux électroniques écrits, de logiciels médiateurs à usage général ou de logiciels de gestion de bases de données utilisés dans le cadre de solutions de stockage de données.

(39)

Le présent règlement impose un système d’autoévaluation de la conformité obligatoire en ce qui concerne les composants logiciels harmonisés des systèmes de DME, afin de garantir que les systèmes de DME mis sur le marché de l’Union peuvent échanger des données dans le format européen d’échange des dossiers médicaux électroniques et qu’ils disposent des capacités de journalisation requises. Cette autoévaluation de la conformité obligatoire, qui prendrait la forme d’une déclaration UE de conformité du fabricant, devrait garantir que ces exigences sont remplies de manière proportionnée, tout en évitant de faire peser une charge inutile sur les États membres et les fabricants.

(40)

Les fabricants devraient apposer sur les documents d’accompagnement du système de DME et, le cas échéant, sur son emballage un marquage CE de conformité indiquant que le système de DME est conforme au présent règlement et, en ce qui concerne les aspects non couverts par le présent règlement, à d’autres dispositions applicables du droit de l’Union qui exigent également l’apposition d’un tel marquage. Les États membres devraient s’appuyer sur les mécanismes existants pour assurer la bonne application des dispositions concernant le marquage CE de conformité au titre des dispositions pertinentes du droit de l’Union et devrait prendre les mesures nécessaires en cas d’usage abusif de ce marquage.

(41)

Les États membres devraient rester compétents pour définir les exigences applicables à tout autre composant logiciel des systèmes de DME ainsi que les modalités et conditions de connexion des prestataires de soins de santé à leurs infrastructures nationales respectives, qui pourraient faire l’objet d’une évaluation par un tiers au niveau national. Afin de faciliter le bon fonctionnement du marché intérieur pour les systèmes de DME, des produits de santé numérique et des services associés, il est nécessaire d’assurer le plus possible la transparence en ce qui concerne les dispositions du droit national fixant les exigences applicables aux systèmes de DME et les dispositions relatives à l’évaluation de leur conformité en ce qui concerne les aspects autres que les composants logiciels harmonisés des systèmes de DME. Les États membres devraient dès lors informer la Commission de l’existence de ces exigences nationales afin qu’elle dispose des informations nécessaires pour s’assurer que ces exigences n’aient pas d’effets négatifs sur les composants logiciels harmonisés des systèmes de DME.

(42)

Certains composants logiciels des systèmes de DME pourraient être considérés comme des dispositifs médicaux au titre du règlement (UE) 2017/745 ou comme des dispositifs médicaux de diagnostic in vitro au titre du règlement (UE) 2017/746 du Parlement européen et du Conseil (16). Les logiciels ou modules de logiciels qui relèvent de la définition d’un dispositif médical, d’un dispositif de diagnostic in vitro ou d’un système d’intelligence artificielle (IA) considéré à haut risque (ci-après dénommé «système d’IA à haut risque») devraient être certifiés conformément aux règlements (UE) 2017/745, (UE) 2017/746 et (UE) 2024/1689, selon le cas. Bien que ces produits soient tenus de répondre aux exigences des règlements respectifs régissant ces produits, les États membres devraient prendre les mesures appropriées pour garantir que les évaluations de la conformité respectives s’effectuent dans le cadre d’une procédure conjointe ou coordonnée afin de limiter la charge administrative sur les fabricants et les autres opérateurs économiques. Les exigences essentielles en matière d’interopérabilité du présent règlement ne devraient s’appliquer que dans la mesure où le fabricant d’un dispositif médical, d’un dispositif médical de diagnostic in vitro ou d’un système d’IA à haut risque, qui fournit des données de santé électroniques à traiter dans le cadre d’un système de DME, allègue l’interopérabilité du dispositif ou du système avec ce système de DME. Dans ce cas, les dispositions relatives aux spécifications communes des systèmes de DME devraient être applicables à ces dispositifs médicaux, ces dispositifs médicaux de diagnostic in vitro et ces systèmes d’IA à haut risque.

(43)

Pour favoriser davantage l’interopérabilité et la sécurité, les États membres devraient pouvoir maintenir ou définir des règles spécifiques pour l’acquisition, le remboursement ou le financement des systèmes de DME au niveau national dans le contexte de l’organisation, de la fourniture ou du financement de services de santé. Ces règles spécifiques ne devraient pas entraver la libre circulation des systèmes de DME dans l’Union. Certains États membres ont introduit une certification obligatoire des systèmes de DME ou des tests d’interopérabilité obligatoires pour connecter ces systèmes aux services de santé numérique nationaux. Ces exigences sont généralement reflétées dans les procédures de marchés publics organisées par les prestataires de soins de santé et les autorités nationales ou régionales. La certification obligatoire des systèmes de DME à l’échelle de l’Union devrait établir une base de référence qui pourrait être utilisée dans les procédures de marchés publics au niveau national.

(44)

Pour garantir aux patients l’exercice effectif des droits que leur confère le présent règlement, les prestataires de soins de santé devraient également se conformer au présent règlement lorsqu’ils élaborent et utilisent un système de DME «en interne» pour mener à bien des activités internes sans le mettre sur le marché en échange d’un paiement ou d’une rémunération. Dans ce contexte, ces prestataires de soins de santé devraient respecter toutes les exigences applicables aux fabricants en ce qui concerne ces systèmes de DME qui sont élaborés «en interne» et que ces prestataires de soins de santé mettent en service. Toutefois, comme les prestataires de soins de santé peuvent avoir besoin de plus de temps pour préparer leur mise en conformité avec le présent règlement, ces exigences ne devraient s’appliquer à ces systèmes qu’après une période transitoire prolongée.

(45)

Il est nécessaire de prévoir une répartition claire et proportionnée des obligations incombant à chaque opérateur économique selon son rôle dans le processus d’approvisionnement et de distribution des systèmes de DME. Les opérateurs économiques devraient être responsables de la conformité en fonction de leurs rôles respectifs dans ce processus et devraient s’assurer qu’ils ne mettent à disposition sur le marché que des systèmes de DME qui sont conformes aux exigences pertinentes.

(46)

La conformité aux exigences essentielles en matière d’interopérabilité et de sécurité devrait être démontrée par les fabricants de systèmes de DME au moyen de la mise en œuvre de spécifications communes. À cette fin, il convient de conférer des compétences d’exécution à la Commission pour déterminer ces spécifications communes concernant les ensembles de données, les systèmes de codage, les spécifications techniques, les normes, les spécifications et les profils pour l’échange de données, ainsi que les exigences et les principes liés à la sécurité des patients et à la sécurité, à la confidentialité, à l’intégrité et à la protection des données à caractère personnel, ainsi que les spécifications et les exigences liées à la gestion de l’identification et à l’utilisation de l’identification électronique. Les autorités de santé numérique devraient contribuer à l’élaboration de ces spécifications communes. Le cas échéant, ces spécifications communes devraient être fondées sur des normes harmonisées existantes pour les composants logiciels harmonisés des systèmes de DME et être compatibles avec le droit sectoriel. Lorsque les spécifications communes revêtent une importance particulière par rapport aux exigences en matière de protection des données à caractère personnel en ce qui concerne les systèmes de DME, elles devraient faire l’objet, avant leur adoption, d’une consultation du comité européen de la protection des données et du Contrôleur européen de la protection des données (CEPD), en vertu de l’article 42, paragraphe 2, du règlement (UE) 2018/1725.

(47)

Afin de garantir une exécution appropriée et efficace des exigences et obligations fixées dans le présent règlement, le système de surveillance du marché et de conformité des produits établi par le règlement (UE) 2019/1020 du Parlement européen et du Conseil (17) devrait s’appliquer. En fonction de l’organisation définie au niveau national, ces activités de surveillance du marché pourraient être menées par les autorités de santé numérique qui veillent à la mise en œuvre correcte du chapitre II du présent règlement, ou par une autorité de surveillance du marché distincte, responsable des systèmes de DME. Bien que la désignation des autorités de santé numérique en tant qu’autorités de surveillance du marché puisse présenter des avantages pratiques importants en matière de mise en œuvre de la santé et des soins, il convient d’éviter tout conflit d’intérêts, par exemple en séparant les différentes tâches.

(48)

Le personnel des autorités de surveillance du marché ne devrait avoir aucun conflit d’intérêts économiques, financiers ou personnels, direct ou indirect, qui pourrait être considéré comme préjudiciable à son indépendance et, en particulier, ne devrait pas se trouver dans une situation qui pourrait, directement ou indirectement, affecter l’impartialité de sa conduite professionnelle. Les États membres devraient définir et publier la procédure de sélection des autorités de surveillance du marché. Ils devraient veiller à ce que la procédure soit transparente et ne permette pas les conflits d’intérêts.

(49)

Les utilisateurs d’applications de bien-être, y compris les applications pour les appareils mobiles, devraient être informés de la capacité de ces applications à être connectées et à fournir des données aux systèmes de DME ou aux solutions de santé électronique nationales, dans les cas où les données produites par les applications de bien-être sont utiles à des fins de soins de santé. La capacité de ces applications à exporter des données dans un format interopérable est également pertinente à des fins de portabilité des données. Le cas échéant, les utilisateurs devraient être informés de la conformité de ces applications de bien-être aux exigences d’interopérabilité et de sécurité. Toutefois, étant donné le grand nombre d’applications de bien-être et la pertinence limitée, à des fins de soins de santé, des données produites par nombre d’entre elles, un système de certification ne serait pas proportionné pour ces applications. Un système de labellisation obligatoire devrait dès lors être établi pour les applications de bien-être au sujet desquelles l’interopérabilité avec les systèmes de DME est alléguée, en tant que système approprié pour offrir aux utilisateurs d’applications de bien-être la transparence en ce qui concerne la conformité aux exigences prévues dans le présent règlement, les aidant ainsi à choisir des applications de bien-être appropriées qui respectent des normes élevées d’interopérabilité et de sécurité. La Commission devrait déterminer, par voie d’actes d’exécution, les détails concernant le format et le contenu de ce label.

(50)

Les États membres devraient rester libres de réglementer d’autres aspects de l’utilisation des applications de bien-être, pour autant que les règles correspondantes soient conformes au droit de l’Union.

(51)

La diffusion d’informations sur les systèmes de DME certifiés et les applications de bien-être labellisées est nécessaire pour permettre aux acheteurs et aux utilisateurs de ces produits de trouver des solutions interopérables répondant à leurs besoins spécifiques. Une base de données des systèmes de DME et des applications de bien-être interopérables, qui ne relèvent pas du champ d’application des règlements (UE) 2017/745 et (UE) 2024/1689, devrait donc être établie au niveau de l’Union, similaire à la base de données européenne sur les dispositifs médicaux (Eudamed) établie par le règlement (UE) 2017/745. Les objectifs de la base de données de l’Union européenne pour l’enregistrement des systèmes de DME et des applications de bien-être devraient être d’améliorer la transparence globale, d’éviter la pluralité des exigences en matière de rapports ainsi que de rationaliser et de faciliter le flux d’informations. Pour les dispositifs médicaux et les systèmes d’IA, l’enregistrement devrait être maintenu dans les bases de données existantes établies respectivement par les règlements (UE) 2017/745 et (UE) 2024/1689, mais la conformité aux exigences d’interopérabilité devrait être indiquée par les fabricants lorsqu’ils l’allèguent, afin de fournir des informations aux acheteurs.

(52)

Sans entraver ou remplacer les arrangements contractuels ou autres mécanismes existants, le présent règlement vise à établir un mécanisme commun d’accès aux données de santé électroniques à des fins d’utilisation secondaire dans l’ensemble de l’Union. Dans le cadre de ce mécanisme, les détenteurs de données de santé devraient mettre à disposition les données qu’ils détiennent sur la base d’une autorisation de traitement de données ou d’une demande de données de santé. Pour le traitement des données de santé électroniques à des fins d’utilisation secondaire, une des bases juridiques visées à l’article 6, paragraphe 1, point a), c), e) ou f), du règlement (UE) 2016/679, lu en combinaison avec l’article 9, paragraphe 2, dudit règlement, est requise. Le présent règlement fournit, dès lors, une base juridique pour l’utilisation secondaire des données de santé électroniques à caractère personnel, y compris les garanties requises au titre de l’article 9, paragraphe 2, points g), à j), du règlement (UE) 2016/679 pour permettre le traitement de catégories spéciales de données, en matière de fins licites, de gouvernance fiable de l’accès aux données de santé par la participation d’organismes responsables de l’accès aux données de santé, et de traitement dans un environnement de traitement sécurisé, ainsi que de modalités de traitement des données, énoncées dans l’autorisation de traitement de données. Les États membres ne devraient dès lors plus pouvoir maintenir ou introduire, en vertu de l’article 9, paragraphe 4, du règlement (UE) 2016/679, d’autres conditions, y compris des limitations et des dispositions spécifiques exigeant le consentement des personnes physiques en ce qui concerne le traitement à des fins d’utilisation secondaire des données de santé électroniques à caractère personnel au titre du présent règlement, à l’exception de l’introduction de mesures plus strictes et de garanties supplémentaires au niveau national visant à préserver le caractère sensible et la valeur de certaines données comme prévu dans le présent règlement. Les demandeurs de données de santé devraient également démontrer l’existence d’une base juridique, visée à l’article 6 du règlement (UE) 2016/679, qui leur permette de demander l’accès aux données de santé électroniques en vertu du présent règlement et devraient remplir les conditions énoncées au chapitre IV du présent règlement. En outre, l’organisme responsable de l’accès aux données de santé devrait évaluer les informations fournies par le demandeur de données de santé, sur la base desquelles il devrait être en mesure de délivrer une autorisation de traitement de données pour le traitement des données de santé électroniques à caractère personnel en vertu du présent règlement qui devrait satisfaire aux exigences et aux conditions énoncées au chapitre IV du présent règlement. Pour le traitement des données de santé électroniques détenues par les détenteurs de données de santé, le présent règlement crée l’obligation légale, au sens de l’article 6, paragraphe 1, point c), du règlement (UE) 2016/679, conformément à l’article 9, paragraphe 2, points i) et j), dudit règlement, pour le détenteur de données de santé de mettre les données de santé électroniques à caractère personnel à la disposition des organismes responsables de l’accès aux données de santé, tandis que la base juridique de la finalité du traitement initial, par exemple la fourniture de soins de santé, n’est pas affectée. Le présent règlement attribue également des missions d’intérêt public au sens de l’article 6, paragraphe 1, point e), du règlement (UE) 2016/679 aux organismes responsables de l’accès aux données de santé, et répond aux conditions de l’article 9, paragraphe 2, points g) à j), selon le cas, dudit règlement. Si l’utilisateur de données de santé s’appuie sur une base juridique énoncée à l’article 6, paragraphe 1, point e) ou f), du règlement (UE) 2016/679, le présent règlement devrait prévoir les garanties requises en vertu de l’article 9, paragraphe 2, du règlement (UE) 2016/679.

(53)

Les données de santé électroniques utilisées à des fins d’utilisation secondaire peuvent apporter de grands avantages à la société. Il convient d’encourager l’adoption de données réelles et de données probantes réelles, y compris les résultats rapportés par les patients, à des fins réglementaires et politiques fondées sur des données probantes ainsi qu’à des fins de recherche, d’évaluation des technologies de la santé et à des fins d’objectifs cliniques. Les données réelles et les données probantes réelles sont susceptibles de compléter les données de santé actuellement mises à disposition. Pour atteindre cet objectif, il importe que les ensembles de données mis à disposition à des fins d’utilisation secondaire en vertu du présent règlement soient aussi complets que possible. Le présent règlement fournit les garanties nécessaires pour atténuer certains risques liés à la réalisation de ces avantages. L’utilisation secondaire des données de santé électroniques est fondée sur des données pseudonymisées ou anonymisées, afin d’empêcher l’identification des personnes concernées.

(54)

Afin de concilier le besoin des utilisateurs de données de santé de disposer d’ensembles de données exhaustifs et représentatifs et le besoin d’autonomie des personnes physiques par rapport à leurs données de santé électroniques à caractère personnel qui sont considérées comme particulièrement sensibles, les personnes physiques devraient pouvoir prendre une décision quant à savoir si leurs données de santé électroniques à caractère personnel peuvent être traitées à des fins d’utilisation secondaire au titre du présent règlement, sous la forme d’un droit de refuser la mise à disposition de ces données à des fins d’utilisation secondaire. Il convient de prévoir un mécanisme pour exercer ce droit de refus facilement compréhensible et accessible. En outre, il est impératif de fournir aux personnes physiques des informations suffisantes et complètes sur leur droit de refus, y compris sur les avantages et les inconvénients liés à l’exercice de ce droit. Les personnes physiques ne devraient pas être tenues de donner des motifs de refus et devraient avoir la possibilité de reconsidérer leur choix à tout moment. Toutefois, pour certaines finalités étroitement liées à l’intérêt public, telles que les activités de protection contre les menaces transfrontières graves pour la santé ou la recherche scientifique pour des motifs importants d’intérêt public, il convient de prévoir la possibilité pour les États membres d’établir, en tenant compte de leur contexte national, des mécanismes permettant d’accéder aux données de santé électroniques à caractère personnel des personnes physiques qui ont exercé leur droit de refus, afin de garantir que des ensembles complets de données puissent être mis à disposition dans ces situations. De tels mécanismes devraient être conformes aux exigences établies pour l’utilisation secondaire en vertu du présent règlement. La recherche scientifique pour des motifs importants d’intérêt public pourrait, par exemple, inclure la recherche visant à répondre à des besoins médicaux non satisfaits, y compris concernant des maladies rares, ou à des menaces émergentes pour la santé. Les règles relatives à ces dérogations devraient respecter l’essence des droits et libertés fondamentaux et constituer une mesure nécessaire et proportionnée dans une société démocratique pour répondre à l’intérêt public par rapport à des objectifs scientifiques et sociétaux légitimes. Ces dérogations ne devraient être accessibles qu’aux utilisateurs de données de santé qui sont des organismes du secteur public, ou des institutions, organes ou organismes de l’Union compétents, chargés d’exécuter des tâches dans le domaine de la santé publique, ou à d’autres entités chargées d’exécuter des tâches de nature publique dans le domaine de la santé publique, ou agissant au nom ou à la demande d’une autorité publique, et uniquement si les données ne peuvent être obtenues par d’autres moyens en temps utile et de manière efficace. Ces utilisateurs de données de santé devraient justifier que le recours à une dérogation est nécessaire pour une demande individuelle d’accès à des données de santé ou une demande individuelle de données de santé. Lorsqu’une telle dérogation est appliquée, les utilisateurs de données de santé devraient continuer d’appliquer les garanties prévues au chapitre IV, notamment l’interdiction de réidentifier ou de tenter de réidentifier les personnes physiques concernées.

(55)

Dans le contexte de l’EEDS, les données de santé électroniques existent déjà et sont collectées par, entre autres, des prestataires de soins de santé, des organisations professionnelles, des institutions publiques, des organismes de réglementation, des chercheurs et des assureurs dans le cadre de leurs activités. Ces données devraient également être mises à disposition à des fins d’utilisation secondaire, c’est-à-dire pour traiter des données à des fins autres que celles pour lesquelles elles ont été collectées ou produites; toutefois, beaucoup de ces données ne sont pas mises à disposition pour un traitement à ces fins. Cela limite la capacité des chercheurs, des innovateurs, des décideurs politiques, des organismes de réglementation et des médecins à utiliser ces données à des fins différentes, notamment la recherche, l’innovation, l’élaboration de politiques, la réglementation, la sécurité des patients ou la médecine personnalisée. Afin d’exploiter pleinement les avantages de l’utilisation secondaire, tous les détenteurs de données de santé devraient contribuer à cet effort en mettant à disposition à des fins d’utilisation secondaire les différentes catégories de données de santé électroniques qu’ils détiennent, sous réserve que cet effort soit toujours mis en œuvre au moyen de processus efficaces et sécurisés, et dans le respect des obligations professionnelles, telles que les obligations de confidentialité.

(56)

Les catégories de données de santé électroniques pouvant être traitées à des fins d’utilisation secondaire devraient être suffisamment larges et flexibles pour s’adapter à l’évolution des besoins des utilisateurs de données de santé, tout en restant limitées à des données liées à la santé ou connues pour avoir une influence sur la santé. Il peut également s’agir de données pertinentes provenant du système de santé, par exemple, des dossiers médicaux électroniques, des données relatives aux demandes de remboursement, des données relatives aux dispensations, des données des registres de maladies ou des données génomiques, ainsi que de données ayant une incidence sur la santé, par exemple, des données sur la consommation de différentes substances, le statut ou le comportement socioéconomique, et des données sur les facteurs environnementaux tels que la pollution, le rayonnement ionisant ou l’utilisation de certaines substances chimiques. Les catégories de données de santé électroniques à des fins d’utilisation secondaire comprennent certaines catégories de données initialement collectées à d’autres fins, telles que la recherche, les statistiques, la sécurité des patients, les activités réglementaires ou l’élaboration des politiques, par exemple, les registres d’élaboration des politiques ou les registres concernant les effets secondaires des médicaments ou des dispositifs médicaux. Des bases de données européennes qui facilitent l’utilisation ou la réutilisation des données sont disponibles dans certains domaines, tels que le cancer (le système européen d’information sur le cancer) ou les maladies rares (par exemple, la plateforme européenne d’enregistrement des maladies rares et les registres des réseaux européens de référence). Les catégories de données de santé électroniques qui peuvent être traitées à des fins d’utilisation secondaire devraient également inclure les données provenant de dispositifs médicaux générées automatiquement et les données générées par des personnes, telles que des données provenant d’applications de bien-être. Les données relatives aux essais et investigations cliniques devraient aussi être incluses dans les catégories de données de santé électroniques à des fins d’utilisation secondaire une fois que l’essai ou l’investigation cliniques a pris fin, sans que cela n’affecte le partage volontaire des données par les promoteurs des essais et investigations en cours. Les données de santé électroniques à des fins d’utilisation secondaire devraient être mises à disposition de préférence dans un format électronique structuré facilitant leur traitement par des systèmes informatiques. Parmi les exemples de formats électroniques structurés figurent des enregistrements dans une base de données relationnelle, des documents XML ou des fichiers CSV et des textes libres, des fichiers audio, des vidéos et des images fournis sous forme de fichiers lisibles par ordinateur.

(57)

Les utilisateurs de données de santé qui bénéficient de l’accès aux ensembles de données prévus dans le présent règlement pourraient enrichir les données dans ces ensembles de données par diverses corrections, annotations et autres améliorations, par exemple en complétant les données manquantes ou incomplètes, améliorant ainsi l’exactitude, l’exhaustivité ou la qualité des données dans les ensembles de données. Les utilisateurs de données de santé devraient être encouragés à signaler aux organismes responsables de l’accès aux données de santé les erreurs critiques figurant dans les ensembles de données. Afin de renforcer l’amélioration de la base de données initiale et l’utilisation ultérieure de l’ensemble de données enrichi, les États membres devraient pouvoir établir des règles relatives au traitement et à l’utilisation des données de santé électroniques contenant des améliorations liées au traitement de ces données. L’ensemble de données amélioré devrait être mis gratuitement à la disposition du détenteur de données de santé d’origine, avec une description des améliorations. Le détenteur de données de santé devrait mettre à disposition le nouvel ensemble de données, à moins qu’il n’adresse une notification justifiée à l’organisme responsable de l’accès aux données de santé, par exemple dans les cas où l’enrichissement par l’utilisateur de données de santé est de mauvaise qualité. Il convient de veiller à ce que les données de santé électroniques à caractère non personnel soient disponibles à des fins d’utilisation secondaire. En particulier, les données génomiques sur les agents pathogènes ont une valeur importante pour la santé humaine, comme cela a été montré durant la pandémie de COVID-19, pendant laquelle l’accès rapide à ces données et leur partage se sont avérés essentiels pour l’élaboration rapide d’outils de détection, de contre-mesures médicales et de réactions aux menaces pour la santé publique. Le plus grand bénéfice des efforts en matière de données génomiques sur les agents pathogènes sera atteint lorsque la santé publique et les processus de recherche partageront les ensembles de données et collaboreront pour s’informer et s’améliorer mutuellement.

(58)

Afin d’accroître l’efficacité de l’utilisation secondaire des données de santé électroniques à caractère personnel et d’exploiter pleinement le potentiel offert par le présent règlement, la disponibilité, dans l’EEDS, des données de santé électroniques décrites au chapitre IV devrait être telle que les données soient aussi accessibles, de qualité, prêtes et appropriées que possible aux fins de la création d’une valeur et d’une qualité scientifiques, innovantes et sociétales. Les travaux relatifs à la mise en œuvre de l’EEDS et à d’autres améliorations des ensembles de données devraient être menés en accordant la priorité aux ensembles de données qui sont les plus appropriés pour créer une telle valeur et une telle qualité.

(59)

Les entités publiques ou privées reçoivent souvent un financement public, provenant de fonds nationaux ou de l’Union, pour collecter et traiter des données de santé électroniques à des fins de recherche, de statistiques officielles ou non, ou à d’autres fins similaires, y compris dans des domaines où la collecte de ces données est fragmentée ou difficile, comme en ce qui concerne les maladies rares ou le cancer. Ces données, collectées et traitées par les détenteurs de données de santé avec le soutien de fonds publics nationaux ou de l’Union, devraient être mises à la disposition des organismes responsables de l’accès aux données de santé, afin de maximiser les effets de l’investissement public et de soutenir la recherche, l’innovation, la sécurité des patients ou l’élaboration de politiques au bénéfice de la société. Dans certains États membres, les entités privées, notamment les prestataires de soins de santé privés et les organisations professionnelles, jouent un rôle central dans le secteur de la santé. Les données de santé détenues par ces prestataires devraient également être mises à disposition à des fins d’utilisation secondaire. Dans le cadre de l’utilisation secondaire, les détenteurs de données de santé devraient dès lors être des entités qui sont des prestataires de soins de santé ou des prestataires de soins ou qui mènent des recherches dans les secteurs des soins de santé ou des soins, ou qui développent des produits ou des services destinés aux secteurs des soins de santé ou des soins. Ces entités peuvent être publiques, à but non lucratif ou privées. Conformément à cette définition, les maisons de repos, les centres de jour, les entités fournissant des services aux personnes handicapées, les entités ayant des activités commerciales et technologiques liées aux soins, telles que l’orthopédie, et les entreprises fournissant des services de soins devraient être considérées comme des détenteurs de données de santé. Les personnes morales qui développent des applications de bien-être devraient également être considérées comme des détenteurs de données de santé. Les institutions, organes et organismes de l’Union qui traitent ces catégories de données de santé et de soins de santé, ainsi que les registres de mortalité, devraient également être considérés comme des détenteurs de données de santé. Afin d’éviter une charge disproportionnée pour les personnes physiques et les microentreprises, celles-ci devraient, en règle générale, être exemptées des obligations qui incombent aux détenteurs de données de santé. Les États membres devraient toutefois pouvoir étendre les obligations des détenteurs de données de santé aux personnes physiques et aux microentreprises dans leur droit national. Afin de réduire la charge administrative, et à la lumière des principes d’efficacité et d’efficience, les États membres devraient pouvoir exiger, dans leur droit national, que des entités d’intermédiation de données de santé exécutent les obligations de certaines catégories de détenteurs de données de santé. Ces entités d’intermédiation de données de santé devraient être des personnes morales capables de traiter, de mettre à disposition, d’enregistrer et d’échanger des données de santé électroniques, fournies par les détenteurs de données, à des fins d’utilisation secondaire, et de fournir ou limiter l’accès à ces données. Ces entités d’intermédiation de données de santé effectuent des tâches qui diffèrent de celles effectuées par les services d’intermédiation de données prévus dans le règlement (UE) 2022/868.

(60)

Les données de santé électroniques protégées par des droits de propriété intellectuelle ou des secrets d’affaires, y compris les données relatives aux essais, investigations et études cliniques, peuvent être très utiles pour une utilisation secondaire et favoriser l’innovation au sein de l’Union au profit des patients de l’Union. Afin d’encourager l’Union à continuer à jouer un rôle moteur dans ce domaine, il importe d’encourager le partage des données relatives aux essais et investigations cliniques par l’intermédiaire de l’EEDS à des fins d’utilisation secondaire. Les données relatives aux essais et investigations cliniques devraient être mises à disposition dans la mesure du possible, tout en prenant toutes les précautions nécessaires pour protéger les droits de propriété intellectuelle et les secrets d’affaires. Le présent règlement ne devrait pas être utilisé pour réduire ou contourner cette protection et devrait être cohérent avec les dispositions pertinentes en matière de transparence prévues par le droit de l’Union, y compris celles prévues pour les données relatives aux essais et investigations cliniques. Les organismes responsables de l’accès aux données de santé devraient évaluer comment préserver cette protection tout en permettant aux utilisateurs de données de santé d’accéder à ces données dans la mesure du possible. Si un organisme responsable de l’accès aux données de santé n’est pas en mesure de donner accès à ces données, il devrait en informer l’utilisateur des données de santé et lui expliquer pourquoi il n’est pas possible de lui donner accès à ces données. Les mesures juridiques, organisationnelles et techniques visant à protéger les droits de propriété intellectuelle ou les secrets d’affaires pourraient inclure des dispositions contractuelles communes sur l’accès aux données de santé électroniques, des obligations spécifiques dans le cadre de l’autorisation de traitement de données concernant ces droits, le prétraitement des données pour générer des données dérivées à même de protéger un secret d’affaires tout en ayant une utilité pour l’utilisateur de données, ou la configuration de l’environnement de traitement sécurisé de sorte que ces données ne soient pas accessibles à l’utilisateur des données de santé.

(61)

L’utilisation secondaire des données de santé au titre de l’EEDS devrait permettre aux entités publiques, privées et à but non lucratif, ainsi qu’aux chercheurs à titre individuel, d’avoir accès aux données de santé à des fins de recherche, d’innovation, d’élaboration de politiques, d’activités éducatives, de sécurité des patients, d’activités réglementaires ou de médecine personnalisée, conformément aux finalités prévues par le présent règlement. L’accès aux données à des fins d’utilisation secondaire devrait contribuer à l’intérêt général de la société. En particulier, l’utilisation secondaire des données de santé à des fins de recherche et de développement devrait contribuer à bénéficier à la société sous la forme de nouveaux médicaments, de dispositifs médicaux, de produits et services de soins de santé à des prix abordables et équitables pour les citoyens de l’Union ainsi qu’à améliorer l’accès à ces produits et services et leur disponibilité dans tous les États membres. Les activités pour lesquelles l’accès est licite dans le cadre du présent règlement pourraient inclure l’utilisation des données de santé électroniques en vue de tâches accomplies par des organismes du secteur public, tel que l’exercice d’une fonction publique, y compris la surveillance de la santé publique, la planification et l’établissement de rapports, l’élaboration de la politique de santé et la garantie de la sécurité des patients, la qualité des soins et la durabilité des systèmes de soins de santé. Les organismes du secteur public ainsi que les institutions, organes et organismes de l’Union pourraient avoir besoin d’accéder régulièrement aux données de santé électroniques pendant une période étendue, notamment pour mener à bien leur mandat, comme prévu par le présent règlement. Les organismes du secteur public pourraient mener des activités de recherche en faisant appel à des tiers, y compris des sous-traitants, pour autant que l’organisme du secteur public reste à tout moment le superviseur de ces activités. La fourniture des données devrait également soutenir les activités liées à la recherche scientifique. La notion couverte par l’expression «à des fins de recherche scientifique» devrait être interprétée de manière large, et comprendre le développement et la démonstration technologiques, la recherche fondamentale, la recherche appliquée et la recherche financée par des fonds privés. Les activités liées à la recherche scientifique comprennent des activités d’innovation, telles que l’entraînement des algorithmes d’IA qui pourraient être utilisés dans les soins de santé ou les soins aux personnes physiques, ainsi que l’évaluation et la poursuite du développement d’algorithmes et de produits existants à de telles fins. Il est nécessaire que l’EEDS contribue aussi à la recherche fondamentale, et bien que ses avantages pour les utilisateurs finals et les patients pourraient être moins directs, cette recherche fondamentale est essentielle pour atteindre des avantages sociétaux à plus long terme. Dans certains cas, les informations de certaines personnes physiques, telles que les informations génomiques de personnes physiques atteintes d’une certaine maladie, pourraient jouer un rôle s’agissant du diagnostic ou du traitement d’autres personnes physiques. Il est nécessaire que les organismes du secteur public aillent au-delà du champ d’application du «besoin exceptionnel» du chapitre V du règlement (UE) 2023/2854. Toutefois, les organismes responsables de l’accès aux données de santé devraient être autorisés à soutenir les organismes du secteur public quand il s’agit de traiter ou de relier des données. Le présent règlement offre aux organismes du secteur public un moyen d’accéder aux informations dont ils ont besoin pour remplir les missions qui leur incombent en vertu de la loi, mais n’étend pas leur mandat.

(62)

Toute tentative d’utiliser les données de santé électroniques pour mettre en place des mesures préjudiciables aux personnes physiques, telles qu’augmenter les primes d’assurance, exercer des activités potentiellement préjudiciables aux personnes physiques dans les domaines de l’emploi, des pensions ou de la banque, y compris l’hypothèque de biens immobiliers, faire de la publicité pour des produits ou des traitements, automatiser la prise de décision individuelle, réidentifier des personnes physiques ou développer des produits nocifs, devrait être interdite. Cette interdiction devrait aussi s’appliquer aux activités contraires aux dispositions éthiques prévues par le droit national, à l’exception des dispositions éthiques relatives au consentement au traitement des données à caractère personnel et des dispositions éthiques relatives au droit de refus, dès lors que le présent règlement prime sur le droit national conformément au principe général de primauté du droit de l’Union. Il devrait également être interdit de donner accès aux données de santé électroniques à des tiers non mentionnés dans l’autorisation de traitement de données ou de les mettre à la disposition de ces tiers. L’identité des personnes autorisées, notamment celle de l’investigateur principal, qui auront le droit en vertu du présent règlement d’accéder aux données de santé électroniques dans l’environnement de traitement sécurisé, devrait être indiquée dans l’autorisation de traitement de données. Les investigateurs principaux sont les personnes responsables au premier chef pour demander l’accès aux données de santé électroniques et pour traiter les données demandées dans l’environnement de traitement sécurisé pour le compte de l’utilisateur de données de santé.

(63)

Le présent règlement ne devrait pas créer une habilitation en vue de l’utilisation secondaire de données de santé à des fins répressives. La prévention, la détection ou la poursuite d’infractions pénales et les enquêtes en la matière, ou l’exécution de sanctions pénales par les autorités compétentes ne devraient pas figurer parmi les finalités d’utilisation secondaire couvertes par le présent règlement. Les juridictions et autres entités du système judiciaire ne devraient par conséquent pas être considérées comme des utilisateurs de données de santé pour ce qui concerne l’utilisation secondaire des données de santé au titre du présent règlement. Les juridictions et autres entités du système judiciaire ne devraient, par ailleurs, pas entrer dans la définition des détenteurs de données de santé et ne devraient donc pas être les destinataires des obligations qui incombent aux détenteurs de données de santé en vertu du présent règlement. En outre, les pouvoirs des autorités compétentes en matière de prévention, de détection et de poursuite des infractions pénales et d’enquêtes en la matière, établis par la loi pour obtenir des données de santé électroniques ne sont pas affectés par le présent règlement. De même, les données de santé électroniques détenues par les juridictions aux fins de procédures judiciaires n’entrent pas dans le champ d’application du présent règlement.

(64)

La création d’un ou de plusieurs organismes responsables de l’accès aux données de santé, favorisant l’accès aux données de santé électroniques dans les États membres, est essentielle pour promouvoir l’utilisation secondaire des données liées à la santé. Les États membres devraient donc créer un ou plusieurs organismes responsables de l’accès aux données de santé, pour refléter, entre autres, leur structure constitutionnelle, organisationnelle et administrative. Toutefois, s’il existe plus d’un organisme responsable de l’accès aux données de santé, l’un d’entre eux devrait être désigné comme coordonnateur. Si un État membre crée plusieurs organismes responsables de l’accès aux données de santé, il devrait établir des règles au niveau national pour garantir la coordination de la participation de ces organismes au comité de l’espace européen des données de santé (ci-après dénommé «comité de l’EEDS»). Ledit État membre devrait en particulier désigner un organisme responsable de l’accès aux données de santé pour servir de point de contact unique, permettant une participation efficace de ces organismes, et pour assurer une coopération rapide et aisée avec les autres organismes responsables de l’accès aux données de santé, le comité de l’EEDS et la Commission. L’organisation et la taille des organismes responsables de l’accès aux données de santé pourraient varier, allant d’une organisation consacrée à part entière à une unité ou un service d’une organisation existante. Les organismes responsables de l’accès aux données de santé ne devraient pas être influencés dans leurs décisions concernant l’accès à des données électroniques à des fins d’utilisation secondaire et devraient éviter tout conflit d’intérêts. Les membres des organes de gouvernance et de décision de chaque organisme responsable de l’accès aux données de santé et leur personnel devraient donc s’abstenir de tout acte incompatible avec leurs fonctions et n’exercer aucune activité professionnelle incompatible. Toutefois, l’indépendance des organismes responsables de l’accès aux données de santé ne devrait pas signifier qu’ils ne peuvent pas être soumis à des mécanismes de contrôle ou de surveillance concernant leurs dépenses financières ou à un contrôle judiciaire. Il convient que chaque organisme responsable de l’accès aux données de santé soit doté des moyens financiers, techniques et humains, ainsi que des locaux et des infrastructures nécessaires à la bonne exécution de ses missions, y compris celles qui sont liées à la coopération avec d’autres organismes responsables de l’accès aux données de santé dans l’ensemble de l’Union. Les membres des organes de gouvernance et de décision des organismes responsables de l’accès aux données de santé et leur personnel devraient avoir les qualifications, l’expérience et les compétences nécessaires. Chaque organisme responsable de l’accès aux données de santé devrait disposer d’un budget annuel public propre, qui pourrait faire partie du budget global national ou d’une entité fédérée. Afin d’améliorer l’accès aux données de santé, et en complément de l’article 7, paragraphe 2, du règlement (UE) 2022/868, les États membres devraient conférer aux organismes responsables de l’accès aux données de santé des pouvoirs leur permettant de prendre des décisions concernant l’accès aux données de santé et leur utilisation secondaire. Il pourrait s’agir d’attribuer de nouvelles tâches aux organismes compétents désignés par les États membres en vertu de l’article 7, paragraphe 1, du règlement (UE) 2022/868 ou de désigner des organismes sectoriels, existants ou nouveaux, chargés de ces tâches en matière d’accès aux données de santé.

(65)

Les organismes responsables de l’accès aux données de santé devraient surveiller l’application du chapitre IV du présent règlement et contribuer à son application cohérente dans l’ensemble de l’Union. À cet effet, les organismes responsables de l’accès aux données de santé devraient coopérer entre elles et avec la Commission. Les organismes responsables de l’accès aux données de santé devraient également coopérer avec les parties prenantes, notamment les organisations de patients. Les organismes responsables de l’accès aux données de santé devraient soutenir les détenteurs de données de santé qui sont des petites entreprises conformément à la recommandation 2003/361/CE de la Commission (18), en particulier les médecins et les pharmacies. Étant donné que l’utilisation secondaire des données de santé suppose le traitement de données à caractère personnel concernant la santé, les dispositions pertinentes des règlements (UE) 2016/679 et (UE) 2018/1725 s’appliquent et les autorités de contrôle prévues par ces règlements devraient rester les seules autorités compétentes pour faire respecter ces dispositions. Les organismes responsables de l’accès aux données de santé devraient informer les autorités chargées de la protection des données de toute sanction imposée et de tout problème potentiel lié au traitement des données à des fins d’utilisation secondaire et échanger toute information pertinente dont ils disposent pour garantir l’exécution des règles pertinentes. Outre les tâches nécessaires pour garantir une utilisation secondaire des données de santé efficace, les organismes responsables de l’accès aux données de santé devraient s’efforcer d’augmenter la disponibilité d’ensembles de données de santé supplémentaires et de promouvoir l’élaboration de normes communes. Ils devraient appliquer des techniques de pointe éprouvées garantissant que les données de santé électroniques sont traitées de manière à préserver la confidentialité des informations contenues dans les données dont l’utilisation secondaire est autorisée, notamment les techniques de pseudonymisation, d’anonymisation, de généralisation, de suppression et de randomisation des données à caractère personnel. Les organismes responsables de l’accès aux données de santé peuvent préparer des ensembles de données pour l’utilisateur des données de santé conformément à l’autorisation de traitement de données délivrée. À cet égard, les organismes responsables de l’accès aux données de santé devraient coopérer par-delà les frontières pour développer et échanger des bonnes pratiques et des techniques. Cela inclut des règles de pseudonymisation et d’anonymisation des ensembles de microdonnées. Le cas échéant, la Commission devrait fixer les procédures et les exigences, et prévoir les outils techniques en vue d’une procédure unifiée de pseudonymisation et d’anonymisation des données de santé électroniques.

(66)

Les organismes responsables de l’accès aux données de santé devraient garantir que l’utilisation secondaire est transparente en fournissant des informations publiques sur les autorisations de traitement de données délivrées et leurs justifications, les mesures prises pour protéger les droits des personnes physiques, les moyens dont disposent les personnes physiques pour exercer leurs droits en ce qui concerne l’utilisation secondaire, et les résultats de l’utilisation secondaire, notamment via des liens vers des publications scientifiques. Ces informations sur les résultats de l’utilisation secondaire devraient également inclure, le cas échéant, un résumé à l’intention des profanes, à fournir par l’utilisateur de données de santé. Ces obligations de transparence complètent les obligations prévues à l’article 14 du règlement (UE) 2016/679. Les exceptions prévues à l’article 14, paragraphe 5, dudit règlement pourraient s’appliquer. Lorsque de telles exceptions s’appliquent, les obligations de transparence établies par le présent règlement devraient contribuer à garantir un traitement équitable et transparent, tel qu’il est visé à l’article 14, paragraphe 2, du règlement (UE) 2016/679, par exemple par la fourniture d’informations sur la finalité du traitement et les catégories de données traitées, de sorte que les personnes physiques puissent comprendre si leurs données sont mises à disposition à des fins d’utilisation secondaire en vertu d’autorisations de traitement de données.

(67)

Les personnes physiques devraient être informées, par les détenteurs de données de santé, des constatations importantes liées à leur santé faites par les utilisateurs de données de santé. Les personnes physiques devraient avoir le droit de demander à ne pas être informées de ces constatations. Les États membres pourraient fixer des conditions sur les modalités de fourniture de telles informations par les détenteurs de données de santé aux personnes physiques concernées et sur l’exercice du droit de ne pas être informé. Conformément à l’article 23, paragraphe 1, point i), du règlement (UE) 2016/679, les États membres devraient pouvoir limiter la portée de l’obligation d’informer les personnes physiques chaque fois que cela est nécessaire pour assurer leur protection sur la base de la sécurité des patients et de l’éthique, en retardant la communication de leurs informations jusqu’à ce qu’un professionnel de la santé puisse communiquer et expliquer aux personnes physiques concernées les informations qui peuvent potentiellement avoir une incidence sur leur santé.

(68)

Afin de promouvoir la transparence, les organismes responsables de l’accès aux données de santé devraient également publier des rapports d’activité, tous les deux ans, donnant une vue d’ensemble de leurs activités. Lorsqu’un État membre a désigné plus d’un organisme responsable de l’accès aux données de santé, l’organisme de coordination devrait élaborer et publier un rapport commun tous les deux ans. Les rapports d’activité devraient adopter une structure convenue au sein du comité de l’EEDS et donner une vue d’ensemble des activités, y compris des informations sur les décisions relatives aux demandes, aux audits et au dialogue avec les parties prenantes concernées. Ces parties prenantes peuvent comprendre des représentants de personnes physiques, des organisations de patients, des professionnels de la santé, des chercheurs et des comités d’éthique.

(69)

Afin de favoriser l’utilisation secondaire, les détenteurs de données de santé devraient s’abstenir de retenir les données, de demander des redevances injustifiées qui ne sont ni transparentes ni proportionnées aux coûts de mise à disposition des données ou, le cas échéant, aux coûts marginaux de collecte des données, de demander aux utilisateurs de données de santé de copublier la recherche ou d’autres pratiques qui pourraient dissuader les utilisateurs de données de santé de demander les données. Lorsqu’un détenteur de données de santé est un organisme du secteur public, la partie des redevances associée à ses coûts ne devrait pas couvrir les coûts de la collecte initiale des données. Lorsqu’une approbation éthique est nécessaire pour fournir une autorisation de traitement de données, l’évaluation liée à l’approbation éthique devrait être basée sur ses propres mérites.

(70)

Les organismes responsables de l’accès aux données de santé devraient être autorisés à percevoir des redevances, en tenant compte des règles horizontales établies par le règlement (UE) 2022/868, en lien avec leurs tâches. Ces redevances pourraient tenir compte de la situation et des intérêts des petites et moyennes entreprises (PME), des chercheurs individuels ou des organismes du secteur public. En particulier, les États membres devraient pouvoir adopter des mesures à l’intention des organismes responsables de l’accès aux données de santé relevant de leur juridiction, permettant d’imposer des redevances réduites à certaines catégories d’utilisateurs de données de santé. Les organismes responsables de l’accès aux données de santé devraient être en mesure de couvrir les coûts de leur fonctionnement au moyen de redevances fixées de manière proportionnée, justifiée et transparente. Cela pourrait entraîner des redevances plus élevées pour certains utilisateurs de données de santé, si la gestion de leurs demandes d’accès aux données de santé et de leurs demandes de données de santé nécessite davantage de travail. Les détenteurs de données de santé devraient être autorisés à demander des redevances pour la mise à disposition des données qui tiennent compte de leurs coûts. Les organismes responsables de l’accès aux données de santé devraient décider du montant de ces redevances, qui pourrait inclure également les redevances demandées par les détenteurs de données de santé. Ces redevances devraient être facturées par l’organisme responsable de l’accès aux données de santé à l’utilisateur de données de santé au moyen d’une facture unique. L’organisme responsable de l’accès aux données de santé devrait ensuite transférer la partie concernée des redevances payées au détenteur de données de santé. Afin de garantir une approche harmonisée concernant les politiques et les structures liées aux redevances, il convient de conférer des compétences d’exécution à la Commission. L’article 10 du règlement (UE) 2023/2854 devrait s’appliquer aux redevances perçues en vertu du présent règlement.

(71)

Afin de renforcer l’exécution des règles relatives à l’utilisation secondaire, il convient d’envisager des mesures appropriées pouvant conduire à des amendes administratives ou à des mesures d’exécution de la part des organismes responsables de l’accès aux données de santé ou à des exclusions temporaires ou définitives du cadre de l’EEDS des utilisateurs de données de santé ou des détenteurs de données de santé qui ne respectent pas leurs obligations. Les organismes responsables de l’accès aux données de santé devraient être habilités à vérifier la conformité des utilisateurs de données de santé et des détenteurs de données de santé et devraient leur donner la possibilité de répondre à toute constatation et de remédier à toute violation. Lorsqu’ils statuent sur le montant de l’amende administrative ou sur la mesure d’exécution dans chaque cas individuel, les organismes responsables de l’accès aux données de santé devraient tenir compte des marges de coût et des critères définis dans le présent règlement, pour veiller à ce que ces amendes ou mesures soient proportionnées.

(72)

Compte tenu du caractère sensible des données de santé électroniques, il est nécessaire de réduire les risques pour la vie privée des personnes physiques en appliquant le principe de minimisation des données. Par conséquent, les données de santé électroniques à caractère non personnel devraient être mises à disposition dans tous les cas où la fourniture de telles données est suffisante. Si l’utilisateur de données de santé a besoin d’utiliser des données de santé électroniques à caractère personnel, il devrait clairement indiquer dans sa demande la justification de l’utilisation de ce type de données et l’organisme responsable de l’accès aux données de santé devrait évaluer si cette justification est valable. Les données de santé électroniques à caractère personnel ne devraient être mises à disposition que sous un format pseudonymisé. Compte tenu des finalités spécifiques du traitement, les données de santé électroniques à caractère personnel devraient être pseudonymisées ou anonymisées le plus tôt possible dans le processus de mise à disposition des données à des fins d’utilisation secondaire. La pseudonymisation et l’anonymisation devraient pouvoir être effectuées par les organismes responsables de l’accès aux données de santé ou par les détenteurs de données de santé. En tant que responsables du traitement, les organismes responsables de l’accès aux données de santé et les détenteurs de données de santé devraient être autorisés à déléguer ces tâches à des sous-traitants. Lorsqu’il donne accès à un ensemble de données pseudonymisées ou anonymisées, un organisme responsable de l’accès aux données de santé devrait recourir à une technologie et à des normes de pseudonymisation ou d’anonymisation de pointe qui garantissent le plus possible que les personnes physiques ne peuvent pas être réidentifiées par les utilisateurs de données de santé. Il convient de développer davantage cette technologie et ces normes de pseudonymisation ou d’anonymisation des données. Les utilisateurs de données de santé ne devraient pas tenter de réidentifier des personnes physiques à partir de l’ensemble de données fourni au titre du présent règlement, et si c’est le cas, ils devraient se voir imposer les amendes administratives et les mesures d’exécution prévues par le présent règlement, ou des sanctions pénales éventuelles, lorsque le droit national le prévoit. En outre, un demandeur de données de santé devrait pouvoir demander une réponse à une demande de données de santé dans un format statistique anonymisé. Dans ce cas, l’utilisateur de données de santé traitera uniquement des données de santé à caractère non personnel, et l’organisme responsable de l’accès aux données de santé restera le seul responsable du traitement des données à caractère personnel nécessaires pour fournir une réponse à la demande de données de santé.

(73)

Afin de garantir que tous les organismes responsables de l’accès aux données de santé délivrent les autorisations de traitement de données de manière similaire, il est nécessaire d’établir une procédure commune standard pour la délivrance des autorisations de traitement de données, avec des demandes similaires dans les différents États membres. Le demandeur de données de santé devrait fournir aux organismes responsables de l’accès aux données de santé plusieurs éléments d’information qui devraient aider l’organisme à évaluer la demande d’accès aux données de santé et à décider si le demandeur de données de santé peut recevoir une autorisation de traitement de données, et la cohérence entre les différents organismes responsables de l’accès aux données de santé devrait être assurée. Les informations fournies dans le cadre de la demande d’accès aux données de santé devraient respecter les exigences établies par le présent règlement afin de permettre son évaluation approfondie, étant donné qu’une autorisation de traitement de données ne devrait être délivrée que si toutes les conditions nécessaires énoncées dans le présent règlement sont remplies. En outre, le cas échéant, ces informations devraient comprendre une déclaration du demandeur de données de santé selon laquelle l’utilisation prévue des données de santé demandées ne présente pas de risque de stigmatisation ou d’atteinte à la dignité des personnes physiques ou des groupes auxquels se rapporte l’ensemble de données demandé. Une évaluation éthique pourrait être demandée sur la base du droit national. Si tel est le cas, les organismes chargés des questions d’éthique existants devraient pouvoir effectuer ces évaluations pour l’organisme responsable de l’accès aux données de santé. Les organismes chargés des questions d’éthique existants dans les États membres devraient mettre leur expertise à la disposition de l’organisme responsable de l’accès aux données de santé à cette fin. À titre d’alternative, les États membres devraient pouvoir prévoir que les organismes chargés des questions d’éthique font partie de l’organisme responsable de l’accès aux données de santé. L’organisme responsable de l’accès aux données de santé et, le cas échéant, les détenteurs de données de santé, devraient aider les utilisateurs de données de santé à choisir les ensembles de données ou les sources de données qui conviennent à la finalité prévue de l’utilisation secondaire. Lorsque le demandeur de données de santé a besoin de données dans un format statistique anonymisé, il devrait présenter une demande de données de santé, en demandant à l’organisme responsable de l’accès aux données de santé de fournir directement le résultat. Le refus d’une autorisation de traitement de données par l’organisme responsable de l’accès aux données de santé ne devrait pas empêcher le demandeur de données de santé de présenter une nouvelle demande d’accès aux données de santé. Afin de garantir une approche harmonisée entre les organismes responsables de l’accès aux données de santé et de limiter la charge administrative pour les demandeurs de données de santé, la Commission devrait favoriser l’harmonisation des demandes d’accès aux données de santé et des demandes de données de santé, y compris en établissant les modèles pertinents. Dans des cas justifiés, tels qu’une demande complexe et lourde, l’organisme responsable de l’accès aux données de santé devrait être autorisé à prolonger le délai accordé aux détenteurs de données de santé pour mettre les données de santé électroniques demandées à sa disposition.

(74)

Étant donné que les ressources des organismes responsables de l’accès aux données de santé sont limitées, ces organismes devraient être autorisés à appliquer des règles de hiérarchisation des priorités, en donnant par exemple la priorité aux institutions publiques par rapport aux entités privées, mais ils ne devraient faire aucune discrimination entre les organismes nationaux et les organismes d’autres États membres au sein de la même catégorie de priorités. L’utilisateur de données de santé devrait pouvoir prolonger la durée de l’autorisation de traitement de données afin, par exemple, de permettre aux réviseurs de publications scientifiques d’accéder aux ensembles de données ou de rendre possible une analyse supplémentaire de l’ensemble de données sur la base des constatations initiales. Cela devrait nécessiter une modification de l’autorisation de traitement de données et pourrait faire l’objet d’une redevance supplémentaire. Cependant, dans tous les cas, l’autorisation de traitement de données devrait refléter ces utilisations supplémentaires de l’ensemble de données. De préférence, l’utilisateur de données de santé devrait les mentionner dans sa demande initiale d’accès aux données de santé. Afin de garantir une approche harmonisée entre les organismes responsables de l’accès aux données de santé, la Commission devrait favoriser l’harmonisation des autorisations de traitement de données.

(75)

Comme l’a montré la crise liée à la pandémie de COVID-19, les institutions, organes et organismes de l’Union ayant un mandat légal dans le domaine de la santé publique, en particulier la Commission, ont besoin d’accéder aux données de santé pendant une période plus longue et de manière récurrente. Ce peut être le cas non seulement dans des circonstances spécifiques prévues par le droit de l’Union ou le droit national en temps de crise, mais aussi pour fournir régulièrement des preuves scientifiques et un soutien technique aux politiques de l’Union. L’accès à ces données pourrait être requis dans des États membres spécifiques ou dans l’ensemble du territoire de l’Union. Ces institutions, organes et organismes de l’Union devraient pouvoir bénéficier d’une procédure accélérée pour que les données soient en principe mises à disposition en moins de deux mois, avec la possibilité de prolonger le délai d’un mois dans les cas plus complexes.

(76)

Les États membres devraient pouvoir désigner des détenteurs de données de santé de confiance pour lesquels la procédure de délivrance d’une autorisation de traitement de données peut être mise en œuvre de manière simplifiée, afin d’alléger la charge administrative que représente pour les organismes responsables de l’accès aux données de santé la gestion des demandes relatives aux données qu’ils traitent. Les détenteurs de données de santé de confiance devraient être autorisés à évaluer les demandes d’accès aux données de santé présentées dans le cadre de cette procédure simplifiée, sur la base de leur expertise dans le traitement du type de données de santé qu’ils traitent, et de délivrer une recommandation concernant une autorisation de traitement de données. L’organisme responsable de l’accès aux données de santé devrait rester responsable de la délivrance de l’autorisation de traitement de données finale et ne devrait pas être lié par la recommandation fournie par le détenteur de données de santé de confiance. Les entités d’intermédiation de données de santé ne devraient pas être désignées comme détenteurs de données de santé de confiance.

(77)

Compte tenu du caractère sensible des données de santé électroniques, les utilisateurs de données de santé ne devraient pas avoir un accès illimité à ces données. Tout accès aux données de santé électroniques demandées à des fins d’utilisation secondaire devrait se faire au moyen d’un environnement de traitement sécurisé. Afin de garantir que des garanties techniques et de sécurité solides sont en place pour les données de santé électroniques, l’organisme responsable de l’accès aux données de santé ou, le cas échéant, le détenteur de données de santé de confiance devrait fournir l’accès à ces données dans un environnement de traitement sécurisé conforme aux normes techniques et de sécurité élevées définies en vertu du présent règlement. Le traitement des données à caractère personnel dans un tel environnement sécurisé devrait être conforme au règlement (UE) 2016/679, y compris, lorsque l’environnement de traitement sécurisé est géré par un tiers, aux exigences de l’article 28 dudit règlement et, le cas échéant, du chapitre V dudit règlement. Cet environnement de traitement sécurisé devrait réduire les risques pour la vie privée liés à ces activités de traitement et empêcher que les données de santé électroniques soient transmises directement aux utilisateurs de données de santé. L’organisme responsable de l’accès aux données de santé ou le détenteur de données de santé qui fournit ce service devrait garder à tout moment le contrôle sur l’accès aux données de santé électroniques, et l’accès octroyé aux utilisateurs de données de santé devrait être déterminé par les conditions de l’autorisation de traitement de données délivrée. Seules les données de santé électroniques à caractère non personnel qui ne contiennent aucune donnée de santé électronique à caractère personnel devraient être téléchargées par les utilisateurs de données de santé depuis l’environnement de traitement sécurisé. Un tel environnement de traitement sécurisé est donc une garantie essentielle pour préserver les droits et libertés des personnes physiques en ce qui concerne le traitement de leurs données de santé électroniques à des fins d’utilisation secondaire. La Commission devrait aider les États membres à élaborer des normes de sécurité communes afin de promouvoir la sécurité et l’interopérabilité des différents environnements de traitement sécurisés.

(78)

Le règlement (UE) 2022/868 fixe les règles générales de gestion de l’altruisme en matière de données. Étant donné que le secteur de la santé gère des données sensibles, des critères supplémentaires devraient être établis au moyen du recueil de règles visé dans ledit règlement. Lorsque ces règles prévoient l’utilisation d’un environnement de traitement sécurisé pour ce secteur, cet environnement de traitement sécurisé devrait respecter les critères établis dans le présent règlement. Les organismes responsables de l’accès aux données de santé devraient coopérer avec les autorités compétentes désignées en vertu du règlement (UE) 2022/868 pour surveiller l’activité des organisations altruistes en matière de données dans le secteur de la santé ou des soins.

(79)

Pour le traitement des données de santé électroniques dans le cadre d’une autorisation de traitement de données ou d’une demande de données de santé, les détenteurs de données de santé, y compris les détenteurs de données de santé de confiance, les organismes responsables de l’accès aux données de santé et les utilisateurs de données de santé devraient, chacun à leur tour, être considérés comme les responsables du traitement pour une partie spécifique du processus et en fonction de leurs rôles respectifs dans ce processus. Les détenteurs de données de santé devraient être considérés comme les responsables du traitement pour la divulgation, aux organismes responsables de l’accès aux données de santé, des données de santé électroniques à caractère personnel demandées, tandis que les organismes responsables de l’accès aux données de santé devraient, pour leur part, être considérés comme les responsables du traitement pour le traitement des données de santé électroniques à caractère personnel lors de la préparation des données et de leur mise à la disposition des utilisateurs de données de santé. Les utilisateurs de données de santé devraient être considérés comme les responsables du traitement pour le traitement des données de santé électroniques à caractère personnel dans un format pseudonymisé dans l’environnement de traitement sécurisé en vertu de leurs autorisations de traitement de données. Les organismes responsables de l’accès aux données de santé devraient être considérés comme des sous-traitants pour le compte de l’utilisateur de données de santé pour le traitement effectué par l’utilisateur de données de santé en vertu d’une autorisation de traitement de données dans l’environnement de traitement sécurisé, ainsi que pour le traitement visant à générer une réponse à une demande de données de santé. De la même manière, les détenteurs de données de santé de confiance devraient être considérés comme les responsables du traitement lorsqu’ils traitent des données de santé électroniques à caractère personnel liées à la fourniture de données de santé électroniques à l’utilisateur de données de santé en vertu d’une autorisation de traitement de données ou d’une demande de données de santé. Les détenteurs de données de santé de confiance devraient être considérés comme des sous-traitants pour l’utilisateur de données de santé lorsqu’ils fournissent des données au moyen d’un environnement de traitement sécurisé.

(80)

Afin de mettre en place un cadre inclusif et durable pour l’utilisation secondaire plurinationale, une infrastructure transfrontière devrait être établie [DonnéesDeSanté@UE (HealthData@EU)]. DonnéesDeSanté@UE (HealthData@EU) devrait accélérer l’utilisation secondaire tout en renforçant la sécurité juridique, en respectant la vie privée des personnes physiques et en étant interopérable. En raison du caractère sensible des données de santé, des principes tels que le «respect de la vie privée dès la conception» et le «respect de la vie privée par défaut», et le concept de «poser des questions aux données au lieu de déplacer ces données» devraient être respectés chaque fois que cela est possible. Les États membres devraient désigner des points de contact nationaux pour l’utilisation secondaire, en tant que portails organisationnels et techniques pour les organismes responsables de l’accès aux données de santé, et connecter ces points de contact à DonnéesDeSanté@UE (HealthData@EU). Le service d’accès aux données de santé de l’Union devrait également être connecté à DonnéesDeSanté@UE (HealthData@EU). En outre, les participants autorisés à DonnéesDeSanté@UE (HealthData@EU) pourraient être des infrastructures de recherche établies en tant que Consortium pour une infrastructure européenne de recherche (ERIC) en vertu du règlement (CE) no 723/2009 du Conseil (19), en tant que consortium pour une infrastructure numérique européenne (EDIC) au titre de la décision (UE) 2022/2481, ou des infrastructures similaires établies au titre d’autres actes juridiques de l’Union, ainsi que d’autres types d’entités, y compris des infrastructures relevant du forum stratégique européen pour les infrastructures de recherche (ESFRI) ou des infrastructures fédérées dans le cadre du nuage européen pour la science ouverte (EOSC). Les pays tiers et les organisations internationales pourraient également devenir des participants autorisés à DonnéesDeSanté@UE (HealthData@EU), pour autant qu’ils respectent les exigences du présent règlement. La communication du 19 février 2020 de la Commission intitulée «Une stratégie européenne pour les données» a favorisé la mise en relation des différents espaces européens communs des données. DonnéesDeSanté@UE (HealthData@EU) devrait dès lors permettre l’utilisation secondaire de différentes catégories de données de santé électroniques, y compris la mise en relation des données de santé avec des données provenant d’autres espaces de données tels que ceux relatifs à l’environnement, à l’agriculture et au secteur social. Cette interopérabilité entre le secteur de la santé et d’autres secteurs tels que les secteurs de l’environnement et de l’agriculture et le secteur social pourrait être utile pour obtenir des informations supplémentaires sur les déterminants de la santé. La Commission pourrait fournir un certain nombre de services dans le cadre de DonnéesDeSanté@UE (HealthData@EU), notamment soutenir l’échange d’informations entre les organismes responsables de l’accès aux données de santé et les participants autorisés à DonnéesDeSanté@UE (HealthData@EU) pour la gestion des demandes d’accès transfrontière, tenir à jour des catalogues de données de santé électroniques accessibles par l’intermédiaire de l’infrastructure, et fournir des services de découvrabilité du réseau et d’interrogation des métadonnées, de connectivité et de conformité. La Commission pourrait également mettre en place un environnement de traitement sécurisé, permettant la transmission et l’analyse de données provenant de différentes infrastructures nationales, à la demande des responsables du traitement. Dans un souci d’efficacité informatique, de rationalisation et d’interopérabilité des échanges de données, les systèmes existants de partage de données devraient être réutilisés autant que possible, comme ceux en cours de construction pour l’échange de justificatifs dans le cadre du système technique «une fois pour toutes» du règlement (UE) 2018/1724 du Parlement européen et du Conseil (20).

(81)

En outre, étant donné que la connexion à DonnéesDeSanté@UE (HealthData@EU) pourrait entraîner des transferts de données à caractère personnel liées au demandeur ou à l’utilisateur de données de santé vers des pays tiers, des instruments de transfert pertinents au titre du chapitre V du règlement (UE) 2016/679 doivent être en place pour ces transferts.

(82)

Dans le cas de registres ou de bases de données transfrontières, tels que les registres des réseaux européens de référence pour les maladies rares, qui reçoivent des données provenant de différents prestataires de soins de santé dans plusieurs États membres, l’organisme responsable de l’accès aux données de santé de l’État membre où est situé le coordonnateur du registre devrait être chargé de fournir l’accès aux données.

(83)

La procédure d’autorisation pour accéder aux données de santé électroniques à caractère personnel dans différents États membres peut être répétitive et lourde pour les utilisateurs de données de santé. Chaque fois que cela est possible, il convient d’établir des synergies afin de réduire la charge et les obstacles pour les utilisateurs de données de santé. L’un des moyens d’atteindre cet objectif consiste à adopter le principe de la «demande unique», selon lequel, avec une seule demande, l’utilisateur de données de santé peut obtenir l’autorisation de plusieurs organismes responsables de l’accès aux données de santé dans différents États membres ou de participants autorisés à DonnéesDeSanté@UE (HealthData@EU).

(84)

Les organismes responsables de l’accès aux données de santé devraient fournir des informations sur les ensembles de données disponibles et leurs caractéristiques afin que les utilisateurs de données de santé puissent être informés des faits élémentaires concernant ces ensembles de données et évaluer leur pertinence éventuelle pour eux. C’est pourquoi chaque ensemble de données devrait inclure, au minimum, des informations concernant la source et la nature des données ainsi que les conditions de leur mise à disposition. Le détenteur de données de santé devrait, au moins une fois par an, vérifier que sa description de l’ensemble de données figurant dans le catalogue des ensembles de données national est exacte et à jour. Par conséquent, il convient d’établir un catalogue des ensembles de données de l’UE pour faciliter la découvrabilité des ensembles de données disponibles dans l’EEDS; pour aider les détenteurs de données de santé à publier leurs ensembles de données; pour fournir à toutes les parties prenantes, y compris au grand public, en tenant compte des besoins spécifiques des personnes handicapées, des informations sur les ensembles de données placés dans l’EEDS, telles que les labels de qualité et d’utilité des données et les fiches d’informations relatives aux ensembles de données; et pour fournir aux utilisateurs de données de santé des informations actualisées sur la qualité et l’utilité des données concernant les ensembles de données.

(85)

Les informations sur la qualité et l’utilité des ensembles de données augmentent considérablement la valeur des résultats de recherches et d’innovations faisant un usage intensif de données, tout en favorisant, dans le même temps, la prise de décisions réglementaires et politiques fondées sur des données probantes. L’amélioration de la qualité et de l’utilité des ensembles de données grâce au choix éclairé des clients et l’harmonisation des exigences connexes au niveau de l’Union, en tenant compte des normes, des lignes directrices et des recommandations existantes au niveau de l’Union et au niveau international en matière de collecte et d’échange de données, telles que les principes FAIR, profitent également aux détenteurs de données de santé, aux professionnels de la santé, aux personnes physiques et à l’économie de l’Union en général. Un label de qualité et d’utilité des données pour les ensembles de données informerait les utilisateurs de données de santé sur les caractéristiques de qualité et d’utilité d’un ensemble de données et leur permettrait de choisir les ensembles de données qui répondent le mieux à leurs besoins. Le label de qualité et d’utilité des données ne devrait pas empêcher les ensembles de données d’être mis à disposition via l’EEDS, mais devrait offrir un mécanisme de transparence entre les détenteurs de données de santé et les utilisateurs de données de santé. Par exemple, un ensemble de données qui ne répond à aucune exigence en matière de qualité et d’utilité des données devrait porter le label de la catégorie de qualité et d’utilité la plus faible, mais devrait malgré tout être mis à disposition. Les attentes établies par les cadres créés en vertu de l’article 10 du règlement (UE) 2024/1689 et la documentation technique pertinente spécifiée à l’annexe IV dudit règlement devraient être prises en considération lors de l’élaboration du cadre de qualité et d’utilité des données. Les États membres devraient faire connaître le label de qualité et d’utilité des données au moyen d’activités de communication. La Commission pourrait soutenir ces activités. L’utilisation des ensembles de données pourrait être hiérarchisée par leurs utilisateurs en fonction de leur utilité et de leur qualité.

(86)

Le catalogue des ensembles de données de l’UE devrait réduire au minimum la charge administrative pour les détenteurs de données de santé et les utilisateurs d’autres bases de données, être convivial, accessible et rentable, relier les catalogues des ensembles de données nationaux et éviter l’enregistrement redondant d’ensembles de données. Sans préjudice des exigences énoncées dans le règlement (UE) 2022/868, le catalogue des ensembles de données de l’UE pourrait s’aligner sur l’initiative data.europa.eu. Il convient d’assurer l’interopérabilité entre le catalogue des ensembles de données de l’UE, les catalogues des ensembles de données nationaux et les catalogues des ensembles de données dans les infrastructures de recherche européennes et d’autres infrastructures de partage de données pertinentes.

(87)

Des efforts de coopération et des travaux sont en cours entre différentes organisations professionnelles, la Commission et d’autres institutions en vue de définir des champs minimaux de données et d’autres caractéristiques de différents ensembles de données, par exemple, les registres. Ces travaux sont plus avancés dans des domaines tels que le cancer, les maladies rares, les maladies cardiovasculaires et métaboliques, l’évaluation des facteurs de risque et les statistiques, et devraient être pris en considération lors de la définition de nouvelles normes et de modèles harmonisés spécifiques aux maladies pour des éléments de données structurés. Cependant, de nombreux ensembles de données ne sont pas harmonisés, ce qui pose des problèmes de comparabilité et complique la recherche transfrontière. Par conséquent, des règles plus détaillées devraient être définies dans des actes d’exécution afin de garantir l’harmonisation du codage et de l’enregistrement des données de santé électroniques de façon à assurer la cohérence de la fourniture de ces données à des fins d’utilisation secondaire. Ces ensembles de données pourraient comprendre des données provenant des registres des maladies rares, des bases de données sur les médicaments orphelins, des registres des cancers et des registres de maladies infectieuses hautement pertinentes. Les États membres devraient œuvrer en vue d’assurer que les services et les systèmes de santé électroniques européens et les applications interopérables offrent des avantages économiques et sociaux durables, de manière à atteindre un niveau élevé de confiance et de sécurité, à renforcer la continuité des soins de santé et à garantir l’accès à des soins de santé de haute qualité et sûrs. Les infrastructures de données de santé et les registres existants peuvent fournir des modèles utiles pour définir et mettre en œuvre des normes de données et l’interopérabilité, et il convient de les exploiter pour assurer la continuité et tirer parti de l’expertise engrangée.

(88)

La Commission devrait aider les États membres à renforcer leurs capacités et leur efficacité dans le domaine des systèmes de santé numérique pour l’utilisation primaire et l’utilisation secondaire. Les États membres devraient être soutenus en vue de renforcer leurs capacités. Les activités menées au niveau de l’Union, telles que les analyses comparatives et l’échange de bonnes pratiques, constituent des mesures pertinentes à cet égard. Ces activités devraient tenir compte des circonstances spécifiques des différentes catégories de parties prenantes, telles que les représentants de la société civile, des chercheurs, des sociétés médicales et des PME.

(89)

L’amélioration de la maîtrise des outils de santé numérique, tant pour les personnes physiques que pour les professionnels de la santé, est essentielle pour instaurer la confiance et la sécurité et pour utiliser correctement les données de santé, et est donc essentielle pour parvenir à mettre pleinement en œuvre le présent règlement. Les professionnels de la santé font face à de profonds changements dans le contexte de la numérisation et se verront encore proposer d’autres outils numériques dans le cadre de la mise en œuvre de l’EEDS. En conséquence, les professionnels de la santé doivent développer leur maîtrise des outils de santé numérique et leurs compétences numériques et les États membres devraient fournir aux professionnels de la santé l’accès à des cours d’utilisation des outils numériques afin de pouvoir se préparer à travailler avec des systèmes de DME. Ces cours devraient permettre aux professionnels de la santé et aux techniciens informatiques d’être suffisamment formés pour travailler avec de nouvelles infrastructures numériques pour garantir la cybersécurité et la gestion éthique des données de santé. Les cours de formation devraient être élaborés, révisés et tenus à jour régulièrement, en concertation et en coopération avec les experts concernés. L’amélioration de la maîtrise des outils de santé numérique est cruciale pour permettre aux personnes physiques d’exercer un véritable contrôle sur leurs données de santé, de gérer de manière active leur santé et les soins en ce qui les concerne, et de comprendre les implications de la gestion de ces données tant à des fins d’utilisation primaire que d’utilisation secondaire. Les divers groupes démographiques présentent des niveaux variables de maîtrise des outils numériques, ce qui peut entraver la capacité des personnes physiques à exercer leurs droits de contrôler leurs données de santé électroniques. Il convient donc que les États membres, collectivités régionales et locales comprises, soutiennent la maîtrise des outils de santé numérique et la sensibilisation du public, tout en s’assurant que la mise en œuvre du présent règlement contribue à la réduction des inégalités et n’entraîne pas de discrimination à l’encontre des populations présentant des lacunes en matière de compétences numériques. Une attention particulière devrait être portée aux personnes handicapées et aux groupes vulnérables, dont les migrants et les personnes âgées. Les États membres devraient créer des programmes nationaux ciblés de maîtrise des outils numériques, y compris des programmes visant à maximiser l’inclusion sociale et à garantir que toutes les personnes physiques peuvent effectivement exercer les droits que leur confère le présent règlement. Les États membres devraient également fournir aux personnes physiques des orientations centrées sur le patient en ce qui concerne l’utilisation des dossiers médicaux électroniques et l’utilisation primaire de leurs données de santé électroniques à caractère personnel. Les orientations devraient être adaptées au niveau de maîtrise des outils de santé numérique du patient, en accordant une attention particulière aux besoins des groupes vulnérables.

(90)

L’utilisation de fonds devrait également contribuer à atteindre les objectifs de l’EEDS. Les acheteurs publics, les autorités nationales compétentes des États membres, y compris les autorités de santé numérique et les organismes responsables de l’accès aux données de santé, ainsi que la Commission devraient faire référence aux spécifications techniques, normes et profils applicables en matière d’interopérabilité, de sécurité et de qualité des données, ainsi qu’aux autres exigences élaborées au titre du présent règlement, lorsqu’ils définissent les conditions des marchés publics, des appels à propositions et de l’attribution des fonds de l’Union, y compris les Fonds structurels et de cohésion. Les fonds de l’Union doivent être répartis de manière transparente entre les États membres, en tenant compte des différents niveaux de numérisation des systèmes de santé. La mise à disposition de données à des fins d’utilisation secondaire nécessite des ressources supplémentaires pour les systèmes de soins de santé, en particulier les systèmes de soins de santé publics. Il convient d’aborder cette question et de réduire au minimum cette charge supplémentaire pendant la phase de mise en œuvre de l’EEDS.

(91)

La mise en œuvre de l’EEDS nécessite des investissements appropriés dans le renforcement des capacités et la formation, ainsi qu’un bon engagement financier en faveur de la consultation et de la participation du public au niveau de l’Union et au niveau national. Les coûts économiques de la mise en œuvre du présent règlement devront être supportés tant au niveau de l’Union qu’au niveau national, et il faudra parvenir à un partage équitable de cette charge entre les fonds de l’Union et les fonds nationaux.

(92)

Certaines catégories de données de santé électroniques peuvent rester particulièrement sensibles même lorsqu’elles sont anonymisées et donc à caractère non personnel, comme le prévoit déjà spécifiquement le règlement (UE) 2022/868. Même en cas d’utilisation de techniques d’anonymisation de pointe, il subsiste un risque résiduel que la capacité de réidentification soit ou devienne disponible, au-delà des moyens raisonnablement susceptibles d’être utilisés. Ce risque résiduel est présent en ce qui concerne les maladies rares, c’est-à-dire des affections entraînant une menace pour la vie ou une invalidité chronique ne touchant pas plus de cinq personnes sur dix mille dans l’Union, pour lesquelles le nombre limité de cas réduit la possibilité d’agréger intégralement les données publiées afin de préserver la vie privée des personnes physiques tout en maintenant un niveau de granularité approprié afin de rester significatif. Ce risque résiduel peut avoir une incidence sur différentes catégories de données de santé et peut conduire à la réidentification des personnes concernées à l’aide de moyens qui vont au-delà de ceux qui sont raisonnablement susceptibles d’être utilisés. Ce risque dépend du niveau de granularité, de la description des caractéristiques des personnes concernées, du nombre de personnes touchées, par exemple, dans le cas de données figurant dans les dossiers médicaux électroniques, les registres de maladies, les biobanques et les données générées par les personnes, lorsque l’éventail des caractéristiques d’identification est plus large, et de la combinaison possible avec d’autres informations, par exemple dans des zones géographiques très limitées, ou en raison de l’évolution technologique de méthodes qui n’étaient pas disponibles au moment de l’anonymisation. Une telle réidentification de personnes physiques susciterait une préoccupation majeure et risquerait de compromettre l’acceptation des règles relatives à l’utilisation secondaire prévues par le présent règlement. En outre, les techniques d’agrégation sont moins éprouvées pour les données à caractère non personnel contenant par exemple des secrets d’affaires, comme dans le cadre de la notification d’essais cliniques et d’investigations cliniques, et, en l’absence d’une norme internationale de protection suffisante, il est plus difficile de réprimer les violations des secrets d’affaires en dehors de l’Union. Par conséquent, pour ces catégories de données de santé, il subsiste un risque de réidentification après l’anonymisation ou l’agrégation, qui ne peut pas être raisonnablement atténué au départ. Cela relève des critères énoncés à l’article 5, paragraphe 13, du règlement (UE) 2022/868. Ces types de données de santé relèveraient donc de l’habilitation prévue à l’article 5, paragraphe 13, dudit règlement pour le transfert vers des pays tiers. Les conditions particulières prévues dans le cadre de l’habilitation énoncée à l’article 5, paragraphe 13, du règlement (UE) 2022/868 seront détaillées dans le cadre de l’acte délégué adopté au titre de cette habilitation, et doivent être proportionnées au risque de réidentification et tenir compte des spécificités des différentes catégories de données ou des différentes techniques d’anonymisation ou d’agrégation.

(93)

Le traitement de grandes quantités de données de santé électroniques à caractère personnel aux fins de l’EEDS, lors d’activités de traitement de données dans le cadre de la gestion des demandes d’accès aux données de santé, des autorisations de traitement de données et des demandes de données de santé, comporte des risques plus élevés d’accès non autorisé à ces données à caractère personnel, ainsi que la possibilité d’incidents de cybersécurité. Les données de santé électroniques à caractère personnel sont particulièrement sensibles, car elles contiennent souvent des informations couvertes par le secret médical, dont la divulgation à des tiers non autorisés peut causer des difficultés importantes. En tenant pleinement compte des principes énoncés dans la jurisprudence de la Cour de justice de l’Union européenne, le présent règlement garantit le plein respect des droits fondamentaux, du droit au respect de la vie privée et du principe de proportionnalité. Afin d’assurer la pleine intégrité et la confidentialité des données de santé électroniques à caractère personnel au titre du présent règlement, de garantir un niveau particulièrement élevé de protection et de sécurité et de réduire le risque d’accès illicite à ces données de santé électroniques à caractère personnel, le présent règlement permet aux États membres d’exiger que les données de santé électroniques à caractère personnel soient conservées et traitées uniquement au sein de l’Union aux fins de l’exécution des tâches prévues par le présent règlement, à moins qu’une décision d’adéquation adoptée en vertu de l’article 45 du règlement (UE) 2016/679 ne s’applique.

(94)

L’accès aux données de santé électroniques pour les utilisateurs de données de santé établis dans des pays tiers ou pour des organisations internationales ne devrait avoir lieu que sur la base du principe de réciprocité. La mise à la disposition d’un pays tiers de données de santé électroniques ne devrait pouvoir avoir lieu que lorsque la Commission a établi, par voie d’un acte d’exécution, que le pays tiers concerné permet aux entités de l’Union d’accéder aux données de santé électroniques en provenance de ce pays tiers dans les mêmes conditions et avec les mêmes garanties que s’ils accédaient à des données de santé électroniques au sein de l’Union. La Commission devrait suivre et réexaminer à intervalles réguliers la situation dans ces pays tiers et à l’égard des organisations internationales, et dresser une liste de ces actes d’exécution. Lorsque la Commission constate qu’un pays tiers n’assure plus l’accès aux mêmes conditions, elle devrait abroger l’acte d’exécution correspondant.

(95)

Afin de promouvoir l’application cohérente du présent règlement, y compris en ce qui concerne l’interopérabilité transfrontière des données de santé électroniques, un comité de l’espace européen des données de santé devrait être institué. La Commission devrait participer à ses activités et le coprésider. Le comité de l’EEDS devrait pouvoir fournir des contributions écrites liées à l’application cohérente du présent règlement dans l’ensemble de l’Union, notamment en aidant les États membres à coordonner l’utilisation des données de santé électroniques pour les soins de santé et la certification, mais aussi concernant l’utilisation secondaire et le financement de ces activités. Cela pourrait également inclure le partage d’informations sur les risques et les incidents dans les environnements de traitement sécurisés. Le partage de ce type d’informations n’affecte pas les obligations prévues dans d’autres actes juridiques, telles que les notifications de violations de données au titre du règlement (UE) 2016/679. Plus généralement, les activités du comité de l’EEDS sont sans préjudice des pouvoirs des autorités de contrôle en vertu du règlement (UE) 2016/679. Étant donné que, au niveau national, les autorités de santé numérique qui s’occupent de l’utilisation primaire peuvent être différentes des organismes responsables de l’accès aux données de santé qui s’occupent de l’utilisation secondaire, que ces fonctions sont différentes et qu’il est nécessaire de coopérer de manière distincte dans chacun de ces domaines, le comité de l’EEDS devrait pouvoir créer des sous-groupes chargés de ces deux fonctions, ainsi que d’autres sous-groupes, selon les besoins. Pour travailler de manière efficace, les autorités de santé numérique et les organismes responsables de l’accès aux données de santé devraient créer des réseaux et des liens au niveau national avec d’autres organismes et autorités, mais aussi au niveau de l’Union. Ces organismes pourraient comprendre les autorités chargées de la protection des données, les organismes de cybersécurité, d’identification électronique et de normalisation, ainsi que les organismes et groupes d’experts relevant des règlements (UE) 2022/868, (UE) 2023/2854 et (UE) 2024/1689 et du règlement (UE) 2019/881 du Parlement européen et du Conseil (21). Le comité de l’EEDS devrait fonctionner de manière indépendante, dans l’intérêt public et conformément à son code de conduite.

(96)

Lorsque des questions considérées par le comité de l’EEDS comme présentant un intérêt particulier sont examinées, le comité de l’EEDS devrait pouvoir inviter des observateurs, par exemple le CEPD, des représentants des institutions de l’Union, y compris du Parlement européen, et d’autres parties prenantes.

(97)

Un forum des parties prenantes devrait être mis en place pour conseiller le comité de l’EEDS dans l’accomplissement de ses tâches en apportant la contribution des parties prenantes sur les questions relatives au présent règlement. Le forum des parties prenantes devrait être composé, entre autres, de représentants des organisations de patients et de consommateurs, des professionnels de la santé, des entreprises, des chercheurs scientifiques et du monde universitaire. Sa composition devrait être équilibrée et il devrait représenter les points de vue des différentes parties prenantes concernées. Les intérêts tant commerciaux que non commerciaux devraient être représentés.

(98)

Afin d’assurer la bonne gestion courante des infrastructures transfrontières pour l’utilisation primaire et l’utilisation secondaire, il est nécessaire de créer des groupes de pilotage composés de représentants des États membres. Ces groupes de pilotage devraient prendre les décisions opérationnelles concernant la gestion technique courante des infrastructures transfrontières et leur développement technique, y compris en ce qui concerne les modifications techniques apportées aux infrastructures, l’amélioration des fonctionnalités ou des services, ou la garantie de l’interopérabilité avec d’autres infrastructures, systèmes numériques ou espaces de données. Leurs activités ne devraient pas comprendre la contribution à l’élaboration d’actes d’exécution concernant ces infrastructures. Ces groupes de pilotage devraient pouvoir également inviter des représentants d’autres participants autorisés à DonnéesDeSanté@UE (HealthData@EU) en tant qu’observateurs à leurs réunions et devraient consulter les experts compétents dans l’accomplissement de leurs tâches.

(99)

Sans préjudice de tout autre recours administratif, judiciaire ou extrajudiciaire, toute personne physique ou morale qui estime que ses droits ou intérêts au titre du présent règlement ont été lésés devrait avoir le droit d’introduire une réclamation auprès d’une autorité de santé numérique ou d’un organisme responsable de l’accès aux données de santé. L’enquête faisant suite à une réclamation devrait être menée, sous réserve d’un contrôle juridictionnel, dans la mesure appropriée au cas d’espèce. L’autorité de santé numérique ou l’organisme responsable de l’accès aux données de santé devrait informer la personne physique ou morale de l’état d’avancement et de l’issue de la réclamation dans un délai raisonnable. Si l’affaire nécessite un complément d’enquête ou une coordination avec une autre autorité de santé numérique ou un autre organisme responsable de l’accès aux données de santé, des informations sur les progrès réalisés dans le traitement de la réclamation devraient être fournies à la personne physique ou morale. Afin de faciliter l’introduction des réclamations, chaque autorité de santé numérique et chaque organisme responsable de l’accès aux données de santé devraient prendre des mesures telles que la fourniture d’un formulaire d’introduction de réclamation pouvant également être rempli par voie électronique, sans exclure la possibilité d’utiliser d’autres moyens de communication. Lorsque la réclamation concerne les droits de personnes physiques liés à la protection de leurs données à caractère personnel, l’autorité de santé numérique ou l’organisme responsable de l’accès aux données devrait transmettre la réclamation aux autorités de contrôle au titre du règlement (UE) 2016/679. Les autorités de santé numérique ou les organismes responsables de l’accès aux données de santé devraient coopérer pour traiter les réclamations et y apporter une réponse, y compris en échangeant toutes les informations pertinentes par voie électronique, dans les meilleurs délais.

(100)

Lorsqu’une personne physique estime que les droits que lui confère le présent règlement ont été violés, elle devrait avoir le droit de mandater un organisme, une organisation ou une association à but non lucratif, constitués conformément au droit national, dont les objectifs statutaires sont d’intérêt public et qui sont actifs dans le domaine de la protection des données à caractère personnel, pour qu’ils introduisent une réclamation en son nom.

(101)

L’autorité de santé numérique, l’organisme responsable de l’accès aux données de santé, le détenteur de données de santé ou l’utilisateur de données de santé devraient indemniser tout dommage qu’une personne physique ou morale subit du fait d’une violation du présent règlement. La notion de dommage devrait être interprétée au sens large, à la lumière de la jurisprudence de la Cour de justice de l’Union européenne, d’une manière qui tienne pleinement compte des objectifs du présent règlement. Cela est sans préjudice de toute demande d’indemnisation pour un dommage découlant de la violation d’autres dispositions du droit de l’Union ou du droit national. Les personnes physiques devraient obtenir une réparation complète et effective pour le dommage subi.

(102)

Afin de renforcer l’exécution des règles du présent règlement, des sanctions, y compris des amendes administratives, devraient être imposées pour toute violation du présent règlement, en complément ou à la place des mesures appropriées imposées par les organismes responsables de l’accès aux données de santé en vertu du présent règlement. L’imposition de sanctions, y compris d’amendes administratives, devrait faire l’objet de garanties procédurales appropriées conformément aux principes généraux du droit de l’Union et de la Charte des droits fondamentaux de l’Union européenne, y compris le droit à une protection juridictionnelle effective et à une procédure régulière.

(103)

Il convient de prévoir des dispositions permettant aux organismes responsables de l’accès aux données de santé d’appliquer des amendes administratives pour certaines violations du présent règlement qui devraient être considérées comme des violations graves, telles que la réidentification de personnes physiques, le téléchargement de données de santé électroniques à caractère personnel en dehors de l’environnement de traitement sécurisé ou le traitement de données à des fins d’utilisations interdites ou d’utilisations non couvertes par une autorisation de traitement de données. Le présent règlement devrait définir ces violations ainsi que le montant maximal et les critères de fixation des amendes administratives y afférentes, qui devraient être fixés par l’organisme responsable de l’accès aux données de santé compétent dans chaque cas d’espèce, en prenant en considération toutes les circonstances pertinentes propres à chaque cas et compte dûment tenu, notamment, de la nature, de la gravité et de la durée de la violation et de ses conséquences, ainsi que des mesures prises pour garantir le respect des obligations prévues au présent règlement et pour prévenir ou atténuer les conséquences de la violation. Aux fins de l’imposition d’amendes administratives au titre du présent règlement, le concept d’«entreprise» devrait être compris conformément aux articles 101 et 102 du traité sur le fonctionnement de l’Union européenne. Il devrait appartenir aux États membres de déterminer si et dans quelle mesure les autorités publiques devraient faire l’objet d’amendes administratives. Le fait d’imposer une amende administrative ou le fait de donner un avertissement ne devrait pas porter atteinte à l’exercice d’autres pouvoirs des organismes responsables de l’accès aux données de santé ou à l’application d’autres sanctions au titre du présent règlement.

(104)

Pour garantir que l’EEDS atteigne ses objectifs, il convient de déléguer à la Commission le pouvoir d’adopter des actes conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne en ce qui concerne la modification ou l’ajout dans l’annexe I ou le retrait de ladite annexe des principales caractéristiques des catégories prioritaires des données de santé électroniques à caractère personnel, la liste des données requises à introduire par les fabricants de systèmes de DME et d’applications de bien-être dans la base de données de l’Union européenne pour l’enregistrement des systèmes de DME et des applications de bien-être ainsi que la modification, l’ajout ou le retrait d’éléments destinés à être couverts par le label de qualité et d’utilité des données. Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016«Mieux légiférer» (22). En particulier, pour assurer leur égale participation à la préparation des actes délégués, le Parlement européen et le Conseil reçoivent tous les documents au même moment que les experts des États membres, et leurs experts ont systématiquement accès aux réunions des groupes d’experts de la Commission traitant de la préparation des actes délégués.

(105)

Afin d’assurer des conditions uniformes d’exécution du présent règlement, il convient de conférer des compétences d’exécution à la Commission en ce qui concerne:

Ces compétences devraient être exercées conformément au règlement (UE) no 182/2011 du Parlement européen et du Conseil (23).

(106)

Les États membres devraient prendre toutes les mesures nécessaires pour garantir que les dispositions du présent règlement sont mises en œuvre, notamment en prévoyant des sanctions effectives, proportionnées et dissuasives en cas de violation de ces dispositions. Pour décider du montant de la sanction dans chaque cas d’espèce, les États membres devraient tenir compte des limites et des critères définis dans le présent règlement. La réidentification de personnes physiques devrait être considérée comme une violation grave du présent règlement.

(107)

La mise en œuvre de l’EEDS nécessitera d’importants travaux de développement dans les États membres et les services centraux. Pour suivre les progrès accomplis à cet égard, la Commission devrait élaborer des rapports annuels sur ces progrès, jusqu’à la pleine application du présent règlement, en tenant compte des informations fournies par les États membres. Ces rapports pourraient comprendre des recommandations de mesures correctives, ainsi qu’une évaluation des progrès accomplis.

(108)

Afin de déterminer si le présent règlement atteint ses objectifs de manière effective et efficace, s’il est cohérent et toujours pertinent et s’il apporte une valeur ajoutée au niveau de l’Union, la Commission devrait procéder à une évaluation du présent règlement. La Commission devrait procéder à une évaluation ciblée du présent règlement au plus tard huit ans à compter de son entrée en vigueur, et à une évaluation globale du présent règlement au plus tard dix ans à compter de son entrée en vigueur. La Commission devrait présenter des rapports sur ses principales constatations à la suite de chaque évaluation au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions.

(109)

Pour une mise en œuvre transfrontière réussie de l’EEDS, le cadre d’interopérabilité européen, dont le champ d’application a été mis à jour et étendu par la communication de la Commission du 23 mars 2017 intitulée «Cadre d’interopérabilité européen — Stratégie de mise en œuvre» en vue d’intégrer de nouvelles exigences ou des exigences revues en matières d’interopérabilité, devrait être considéré comme une référence commune pour garantir l’interopérabilité juridique, organisationnelle, sémantique et technique.

(110)

Étant donné que les objectifs du présent règlement, à savoir autonomiser les personnes physiques en leur permettant d’exercer un contrôle accru sur leurs données de santé électroniques à caractère personnel et en favorisant la libre circulation des personnes physiques en garantissant que leurs données de santé les suivent; favoriser un véritable marché intérieur des services et produits de santé numérique et garantir un cadre cohérent et efficace pour la réutilisation des données de santé des personnes physiques à des fins de recherche, d’innovation, d’élaboration de politiques et d’activités réglementaires, ne peuvent pas être atteints de manière suffisante par les États membres uniquement au moyen de mesures de coordination, comme l’a montré l’évaluation des aspects numériques de la directive 2011/24/UE, mais peuvent, en raison de mesures d’harmonisation relatives aux droits des personnes physiques en ce qui concerne leurs données de santé électroniques, à l’interopérabilité des données de santé électroniques et à un cadre et des garanties communs pour l’utilisation primaire et l’utilisation secondaire, être mieux atteints au niveau de l’Union, l’Union peut prendre des mesures conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité énoncé audit article, le présent règlement n’excède pas ce qui est nécessaire pour atteindre ces objectifs.

(111)

Il ressort de l’évaluation des aspects numériques de la directive 2011/24/UE que l’efficacité du réseau «Santé en ligne» est limitée, mais aussi qu’il existe un fort potentiel de travail à l’échelon de l’Union dans le domaine de la santé numérique, comme l’a montré le travail effectué pendant la pandémie de COVID-19. La directive 2011/24/UE devrait dès lors être modifiée en conséquence.

(112)

Le présent règlement complète les exigences essentielles en matière de cybersécurité énoncées dans le règlement (UE) 2024/2847. Les systèmes de DME qui sont des produits comportant des éléments numériques au sens du règlement (UE) 2024/2847 devraient dès lors respecter les exigences essentielles en matière de cybersécurité énoncées dans ledit règlement. Les fabricants de ces systèmes de DME devraient apporter la preuve de leur conformité comme l’exige le présent règlement. Pour faciliter cette conformité, les fabricants devraient pouvoir établir une seule documentation technique contenant les éléments requis par les deux actes juridiques. Il devrait être possible de démontrer la conformité des systèmes de DME aux exigences essentielles en matière de cybersécurité énoncées dans le règlement (UE) 2024/2847 au moyen du cadre d’évaluation prévu par le présent règlement. Cependant, les parties de la procédure d’évaluation de la conformité prévue par le présent règlement qui se rapportent à l’utilisation d’environnements d’essai ne devraient pas s’appliquer, puisque ces environnements d’essai ne permettent pas une évaluation de la conformité aux exigences essentielles en matière de cybersécurité. Comme le règlement (UE) 2024/2847 ne couvre pas directement les logiciels service (SaaS) en tant que tels, les systèmes de DME offerts via le modèle de licence et de distribution SaaS ne relèvent pas du champ d’application dudit règlement. De la même manière, les systèmes de DME qui sont développés en interne ne relèvent pas du champ d’application dudit règlement, puisqu’ils ne sont pas placés sur le marché.

(113)

Le CEPD et le comité européen de la protection des données ont été consultés conformément à l’article 42, paragraphes 1 et 2, du règlement (UE) 2018/1725 et ont rendu leur avis conjoint le 12 juillet 2022.

(114)

Le présent règlement ne devrait pas avoir d’incidence sur l’application des règles de concurrence, en particulier les articles 101 et 102 du traité sur le fonctionnement de l’Union européenne. Les mesures prévues par le présent règlement ne devraient pas être utilisées pour restreindre la concurrence d’une manière qui soit contraire au traité sur le fonctionnement de l’Union européenne.

(115)

Compte tenu de la nécessité d’une préparation technique, le présent règlement devrait être applicable à compter du 26 mars 2027. Afin de favoriser la mise en œuvre réussie de l’EEDS et la création de conditions efficaces pour la coopération européenne en matière de données de santé, la mise en œuvre devrait avoir lieu par étapes,