Le 12 juillet 2022, le Conseil européen de la protection des données (EDPB) et le Contrôleur européen de la protection des données (CEPD), deux organes de l’Union européenne spécialisés dans les données, ont publié de nouvelles préconisations pour mieux protéger les données de santé.

L’EDPD et le CEPD veulent renforcer la sécurité des données de santé

Dans ce document conjoint, les deux organismes proposent une série de suggestions pour renforcer le projet de règlement sur les données de santé et clarifier l’interaction avec les lois existantes sur la protection des données. Selon eux, les règles en vigueur actuellement ne sont pas à la hauteur. Avec ce texte, le CEPD et l’EDPB tentent de contrer une proposition visant à établir un cadre juridique pour faciliter le partage des dossiers médicaux électroniques et d’autres données médicales, au-delà des frontières et des établissements de soins, ainsi qu’avec les chercheurs et les développeurs de produits de santé innovants, doit être révisée pour garantir que les données de santé des citoyens soient stockées localement.

Dans leur note, les deux organismes précisent qu’en raison « de la grande quantité de données de santé traitées, de leur nature hautement sensible, du risque d’accès illicite et de la nécessité de garantir pleinement une supervision efficace par des autorités indépendantes de protection des données, nous demandons au Parlement européen d’ajouter à la proposition une obligation de stocker les données électroniques sur la santé dans au sein de l’Espace Économique Européen (EEE) ». Même si les données de santé sont déjà plutôt bien réglementées en Europe, les deux contrôleurs européens veulent aller encore plus loin.

Faut-il s’attendre à un abaissement du niveau de protection ?

L’introduction d’un nouveau cadre juridique axé sur le partage et la réutilisation des données pourrait avoir des répercussions négatives sur les droits individuels des citoyens européens. Selon le CEPD et l’EDPB, cette proposition pourrait même saper les réglementations existantes, notamment le Règlement général sur la protection des données (RGPD), ainsi que la directive « vie privée et communications électroniques ». Les deux organismes estiment également qu’il n’est pas normal de restreindre le droit à l’information sur les utilisations dites « secondaires » des données de santé.

Dans leur texte, l’EDPB et le CEPD soulignent que « le droit à l’information et le droit d’opposition sont inextricablement liés ». Pour résumer, les deux organismes pensent que cette proposition pourrait conduire à un abaissement du niveau de protection actuellement accordé aux personnes concernées dans le cadre juridique européen existant en matière de protection des données. Par conséquent, le Conseil européen de la protection des données et le Contrôleur européen de la protection des données considèrent que des spécifications supplémentaires sont nécessaires.

Selon Wojciech Wiewiórowski, le directeur du CEPD, « les données de santé générées par les applications de bien-être et autres applications numériques ne sont pas de la même qualité que celles générées par les dispositifs médicaux. De plus, ces applications génèrent une énorme quantité de données, peuvent être très invasives et peuvent révéler des informations particulièrement sensibles, comme l’orientation religieuse. Ces applications devraient donc être exclues de la proposition de la Commission européenne ».