Avis institutionnel — 52023AP0462

(1)

L’objectif du présent règlement est d’établir l’espace européen des données de santé (ci-après l’«EHDS») afin d’améliorer l’accès des personnes physiques à leurs données de santé électroniques à caractère personnel et leur contrôle sur ces données dans le contexte des soins de santé (utilisation primaire des données de santé électroniques), ainsi qu’à d’autres fins dans l’intérêt de la société, telles que la recherche, l’innovation, l’élaboration de politiques, la sécurité des patients, la médecine personnalisée, les statistiques officielles ou les activités réglementaires (utilisation secondaire des données de santé électroniques). En outre, l’objectif du présent règlement est d’améliorer le fonctionnement du marché intérieur en établissant un cadre juridique uniforme, en particulier pour le développement, la commercialisation et l’utilisation des systèmes de dossiers médicaux électroniques («systèmes de DME») dans le respect des valeurs de l’Union.

(1)

L’objectif du présent règlement est d’établir l’espace européen des données de santé (ci-après l’«EHDS») afin d’améliorer l’accès des personnes physiques à leurs données de santé électroniques à caractère personnel et leur contrôle sur ces données dans le contexte des soins de santé (utilisation primaire des données de santé électroniques), ainsi que pour mieux parvenir à d’autres fins dans le secteur de la santé dans l’intérêt de la société, telles que la recherche, l’innovation, l’élaboration de politiques , la préparation et la réaction aux menaces sanitaires , la sécurité des patients, la médecine personnalisée, les statistiques officielles ou les activités réglementaires (utilisation secondaire des données de santé électroniques). En outre, l’objectif du présent règlement est d’améliorer le fonctionnement du marché intérieur en établissant un cadre juridique et technique uniforme, en particulier pour le développement, la commercialisation et l’utilisation des systèmes de dossiers médicaux électroniques («systèmes de DME») dans le respect des valeurs de l’Union.

(1 bis)

L’EHDS est destiné à constituer un élément essentiel de la création d’une union européenne de la santé forte et résiliente en vue de mieux protéger la santé des citoyens de l’Union, de prévenir les futures pandémies et d’y remédier ainsi que d’accroître la résilience des systèmes de soins de santé de l’Union.

(1 ter)

Le présent règlement devrait compléter des programmes de l’Union tels que le programme «L’UE pour la santé», le programme pour une Europe numérique, le mécanisme pour l’interconnexion en Europe et Horizon Europe. La Commission devrait veiller à ce que les programmes de l’Union complètent et facilitent la mise en œuvre de l’espace européen des données de santé.

(2)

La pandémie de COVID-19 a mis en évidence l’impératif de disposer d’un accès rapide aux données de santé électroniques à des fins de préparation et de réaction aux menaces sanitaires, ainsi qu’à des fins de diagnostic et de traitement et d’ utilisation secondaire des données de santé. Cet accès rapide aurait participé , par une surveillance et un suivi efficients de la santé publique, à une gestion plus efficace de la pandémie, et aurait en définitive contribué à sauver des vies. En 2020, la Commission a adapté d’urgence son système de gestion des données cliniques des patients, établi par la décision d’exécution (UE) 2019/1269 de la Commission (41), afin de permettre aux États membres de partager les données de santé électroniques des patients atteints de COVID-19 passant d’un prestataire de soins de santé et d’un État membre à un autre au plus fort de la pandémie, mais il s’agissait d’une solution d’urgence, qui montre la nécessité d’une approche structurelle à l’échelon des États membres et à l’échelon de l’Union.

(2)

La pandémie de COVID-19 a mis en évidence l’impératif de disposer d’un accès rapide à des données de santé électroniques de qualité à des fins de préparation et de réaction aux menaces sanitaires, ainsi qu’à des fins de prévention, de diagnostic et de traitement au moyen de l’ utilisation secondaire des données de santé. Cet accès rapide est susceptible de contribuer , par une surveillance et un suivi efficients de la santé publique, à une gestion plus efficace de la pandémie, à une réduction des coûts et à une amélioration de la réaction aux menaces sanitaires et de contribuer en définitive à sauver plus de vies à l’avenir . En 2020, la Commission a adapté d’urgence son système de gestion des données cliniques des patients, établi par la décision d’exécution (UE) 2019/1269 de la Commission (41), afin de permettre aux États membres de partager les données de santé électroniques des patients atteints de COVID-19 passant d’un prestataire de soins de santé et d’un État membre à un autre au plus fort de la pandémie, mais il s’agissait d’une solution d’urgence, qui montre la nécessité d’une approche structurelle et cohérente à l’échelon des États membres et à l’échelon de l’Union en matière d’accès aux données de santé électroniques pour orienter des réponses stratégiques efficaces et contribuer à atteindre des normes élevées de santé humaine .

(3)

La crise de la COVID-19 a fermement ancré le travail du réseau «Santé en ligne», un réseau volontaire d’autorités de santé numérique, en tant que principal pilier pour le développement d’applications mobiles de recherche des contacts et d’alerte et pour les aspects techniques des certificats COVID numériques de l’UE. Elle a aussi mis en évidence la nécessité de partager des données de santé électroniques faciles à trouver, accessibles, interopérables et réutilisables (c’est-à-dire répondant aux principes «FAIR»), et de garantir que les données de santé électroniques sont aussi ouvertes que possible et aussi fermées que nécessaire . Des synergies entre l’EHDS, le nuage européen pour la science ouverte (42) et les infrastructures de recherche européennes devraient être assurées, et des enseignements devraient être tirés des solutions de partage des données mises au point au titre de la plateforme européenne de données sur la COVID-19.

(3)

La crise de la COVID-19 a fermement ancré le travail du réseau «Santé en ligne», un réseau volontaire d’autorités de santé numérique, en tant que principal pilier pour le développement d’applications mobiles de recherche des contacts et d’alerte et pour les aspects techniques des certificats COVID numériques de l’UE. Elle a aussi mis en évidence la nécessité de partager des données de santé électroniques faciles à trouver, accessibles, interopérables et réutilisables (c’est-à-dire répondant aux principes «FAIR»), et de garantir que les données de santé électroniques nécessaires sont disponibles tout en respectant le principe de minimisation des données . Des synergies entre l’EHDS, le nuage européen pour la science ouverte (42) et les infrastructures de recherche européennes devraient être assurées, et des enseignements devraient être tirés des solutions de partage des données mises au point au titre de la plateforme européenne de données sur la COVID-19.

(3 bis)

Étant donné la sensibilité des données de santé à caractère personnel, le présent règlement vise à fournir des garanties suffisantes, tant au niveau de l’Union qu’au niveau national, afin de garantir un niveau élevé de protection des données, de sécurité, de confidentialité et d’utilisation éthique. Ces garanties sont nécessaires pour renforcer la confiance dans la sécurité de traitement des données de santé des personnes physiques destinées à une utilisation primaire et secondaire. Pour atteindre ces objectifs, les États membres peuvent imposer, conformément à l’article 9, paragraphe 4, du règlement (UE) 2016/679, des conditions supplémentaires, y compris des limitations, au traitement des données génétiques, des données biométriques ou des données concernant la santé.

(4)

Le traitement des données de santé électroniques à caractère personnel est soumis aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil (43) et, pour les institutions et organes de l’Union , du règlement (UE) 2018/1725 du Parlement européen et du Conseil (44). Les références aux dispositions du règlement (UE) 2016/679 doivent être considérées comme des références aux dispositions correspondantes du règlement (UE) 2018/1725 pour les institutions et organes de l’Union, le cas échéant.

(4)

Le traitement des données de santé électroniques à caractère personnel est soumis aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil (43), du règlement (UE) 2018/1725 du Parlement européen et du Conseil (44) en ce qui concerne les institutions, organes et organismes de l’Union et du règlement (UE) 2022/868 du Parlement européen et du Conseil (44 bis). Les références aux dispositions du règlement (UE) 2016/679 doivent être considérées comme des références aux dispositions correspondantes du règlement (UE) 2018/1725 pour les institutions , organes et organismes de l’Union, le cas échéant. En ce qui concerne les ensembles de données mixtes, lorsque des données à caractère personnel et à caractère non personnel sont inextricablement liées et qu’il est difficile de faire une distinction entre ces catégories, ce qui donne la possibilité de déduire des données à caractère personnel à partir de données à caractère non personnel, les dispositions du règlement (UE) 2016/679 et du présent règlement portant sur les données de santé électroniques à caractère personnel devraient être applicables.

(4 bis)

La mise en œuvre de l’EHDS devrait tenir compte des principes européens pour l’éthique du numérique en santé adoptés par le réseau «santé en ligne» (1 bis) le 26 janvier 2022. L’une des tâches du comité de l’EHDS devrait consister à surveiller l’application de ces principes.

(5)

De plus en plus d’Européens franchissent les frontières nationales pour travailler, étudier, rendre visite à des proches ou voyager. Afin de faciliter l’échange de données de santé, et conformément à la nécessité d’autonomiser les citoyens, ceux-ci devraient pouvoir accéder à leurs données de santé dans un format électronique qui puisse être reconnu et accepté partout dans l’Union. Ces données de santé électroniques à caractère personnel pourraient inclure des données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la fourniture de services de soins de santé, qui révèlent des informations sur leur état de santé, des données à caractère personnel relatives aux caractéristiques génétiques innées ou acquises d’une personne physique, qui donnent des informations uniques sur la physiologie ou la santé d’une personne physique et qui résultent, en particulier, d’une analyse d’un échantillon biologique de la personne physique en question, ainsi que des données sur des facteurs déterminants pour la santé, tels que le comportement, les facteurs environnementaux, les influences physiques, les soins médicaux et les facteurs sociaux ou éducatifs. Les données de santé électroniques comprennent également les données qui ont été initialement collectées à des fins de recherche, de statistiques, d’élaboration de politiques ou de réglementation et qui peuvent être mises à disposition conformément aux règles énoncées au chapitre IV. Les données de santé électroniques concernent toutes les catégories de ces données, indépendamment du fait que ces données sont fournies par la personne concernée ou par d’autres personnes physiques ou morales, telles que des professionnels de la santé, ou sont traitées en relation avec la santé ou le bien-être d’une personne physique, et devraient également inclure les données déduites et dérivées, telles que les diagnostics, les analyses et les examens médicaux, ainsi que les données observées et enregistrées par des moyens automatiques.

(5)

De plus en plus d’Européens franchissent les frontières nationales pour travailler, étudier, rendre visite à des proches ou voyager. Afin de faciliter l’échange de données de santé, et conformément à la nécessité d’autonomiser les citoyens, ceux-ci devraient pouvoir accéder à leurs données de santé dans un format électronique qui puisse être reconnu et accepté partout dans l’Union. Ces données de santé électroniques à caractère personnel pourraient inclure des données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la fourniture de services de soins de santé, qui révèlent des informations sur leur état de santé, des données à caractère personnel relatives aux caractéristiques génétiques innées ou acquises d’une personne physique, qui donnent des informations uniques sur la physiologie ou la santé d’une personne physique et qui résultent, en particulier, d’une analyse d’un échantillon biologique de la personne physique en question, ainsi que des données sur des facteurs déterminants pour la santé, tels que le comportement, les facteurs environnementaux, les influences physiques, les soins médicaux et les facteurs sociaux ou éducatifs. Les données de santé électroniques comprennent également les données qui ont été initialement collectées à des fins de recherche, de statistiques , d’évaluation des menaces sanitaires , d’élaboration de politiques ou de réglementation et qui peuvent être mises à disposition conformément aux règles énoncées au chapitre IV. Les données de santé électroniques concernent toutes les catégories de ces données, indépendamment du fait que ces données sont fournies par la personne concernée ou par d’autres personnes physiques ou morales, telles que des professionnels de la santé, ou sont traitées en relation avec la santé ou le bien-être d’une personne physique, et devraient également inclure les données déduites et dérivées, telles que les diagnostics, les analyses et les examens médicaux, ainsi que les données observées et enregistrées par des moyens automatiques.

(5 bis)

Le champ d’application du présent règlement ne devrait pas couvrir les personnes physiques qui ne sont pas citoyens de l’Union ou les ressortissants de pays tiers qui ne résident pas légalement sur le territoire des États membres. Par conséquent, lorsque les États membres exigent l’enregistrement électronique des données de santé ou lorsque les détenteurs des données de santé enregistrent les données de santé relatives à ces personnes physiques, les sous-traitants peuvent uniquement traiter les données de santé électroniques de ces personnes conformément à l’article 6, paragraphe 1, et à l’article 9, paragraphe 2, du règlement (UE) 2016/679, y compris pour toute utilisation secondaire.

(7)

Dans les systèmes de santé, les données de santé électroniques à caractère personnel sont habituellement rassemblées dans des dossiers médicaux électroniques, qui contiennent généralement les antécédents médicaux, les diagnostics et traitements, les médicaments, les allergies, les immunisations, ainsi que les images de radiologie et les résultats de laboratoire d’une personne physique, partagés entre différentes entités du système de santé (médecins généralistes, hôpitaux, pharmacies, services de soins). Afin d’autoriser la personne physique ou les professionnels de la santé à accéder aux données de santé électroniques, à les partager ou à les modifier, certains États membres ont pris les mesures juridiques et techniques nécessaires et ont mis en place des infrastructures centralisées qui connectent les systèmes de DME utilisés par les prestataires de soins de santé et les personnes physiques. D’autres États membres aident les prestataires de soins de santé publics et privés à mettre en place des espaces de données de santé afin de permettre l’interopérabilité entre les différents prestataires de soins de santé. Plusieurs États membres ont aussi soutenu ou fourni des services d’accès aux données de santé pour les patients et les professionnels de la santé (par exemple, au moyen de portails destinés aux patients ou aux professionnels de la santé). Ils ont aussi pris des mesures pour garantir que les systèmes de DME ou les applications de bien-être peuvent transmettre les données de santé électroniques au système de DME central (certains États membres le font en garantissant, par exemple, un système de certification). Tous les États membres n’ont cependant pas mis en place de tels systèmes, et les États membres qui l’ont fait les ont mis en place de manière fragmentée. Afin de faciliter la libre circulation des données de santé à caractère personnel dans toute l’Union et d’éviter des conséquences négatives pour les patients lorsqu’ils reçoivent des soins de santé dans un contexte transfrontière, une action de l’Union est nécessaire afin de garantir que les personnes ont un accès amélioré à leurs propres données de santé électroniques à caractère personnel et sont habilitées à les partager.

(7)

Dans les systèmes de santé, les données de santé électroniques à caractère personnel sont habituellement rassemblées dans des dossiers médicaux électroniques, qui contiennent généralement les antécédents médicaux, les diagnostics et traitements, les médicaments, les allergies, les immunisations, ainsi que les images de radiologie et les résultats de laboratoire et les autres diagnostics et résultats thérapeutiques complémentaires d’une personne physique, partagés entre différentes entités du système de santé (médecins généralistes, hôpitaux, pharmacies, services de soins). Afin d’autoriser la personne physique ou les professionnels de la santé à accéder aux données de santé électroniques, à les partager ou à les modifier, certains États membres ont pris les mesures juridiques et techniques nécessaires et ont mis en place des infrastructures centralisées qui connectent les systèmes de DME utilisés par les prestataires de soins de santé et les personnes physiques. D’autres États membres aident les prestataires de soins de santé publics et privés à mettre en place des espaces de données de santé afin de permettre l’interopérabilité entre les différents prestataires de soins de santé. Plusieurs États membres ont aussi soutenu ou fourni des services d’accès aux données de santé pour les patients et les professionnels de la santé (par exemple, au moyen de portails destinés aux patients ou aux professionnels de la santé). Ils ont aussi pris des mesures pour garantir que les systèmes de DME ou les applications de bien-être peuvent transmettre les données de santé électroniques au système de DME central (certains États membres le font en garantissant, par exemple, un système de certification). Tous les États membres n’ont cependant pas mis en place de tels systèmes, et les États membres qui l’ont fait les ont mis en place de manière fragmentée. Afin de faciliter la libre circulation des données de santé à caractère personnel dans toute l’Union et d’éviter des conséquences négatives pour les patients lorsqu’ils reçoivent des soins de santé dans un contexte transfrontière, une action de l’Union est nécessaire afin de garantir que les personnes ont un accès amélioré à leurs propres données de santé électroniques à caractère personnel et sont habilitées à les partager. À cet effet, les États membres devraient garantir l’existence d’une norme commune pour l’échange des données de santé électroniques afin d’assurer et de faciliter leur transfert et leur traduction dans les langues officielles de l’Union. À cet égard, il convient qu’un financement et un soutien appropriés au niveau de l’Union et au niveau national soient équitablement répartis et qu’ils servent à réduire la fragmentation, l’hétérogénéité et les divisions et à mettre en place un système convivial et intuitif dans tous les États membres.

(9)

Dans le même temps, il y a lieu de tenir compte du fait qu’un accès immédiat à certains types de données de santé électroniques à caractère personnel peut nuire à la sécurité des personnes physiques, être contraire à l’éthique ou inapproprié. Il pourrait par exemple être contraire à l’éthique d’informer un patient par voie électronique du diagnostic d’une maladie incurable susceptible de lui être rapidement fatale au lieu de lui fournir cette information lors d’une consultation avec celui-ci. Il y a donc lieu de garantir une possibilité d’exceptions limitées dans la mise en œuvre de ce droit. Une telle exception peut être imposée par les États membres lorsqu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique, conformément aux exigences de l’article 23 du règlement (UE) 2016/679. Ces restrictions devraient être mises en œuvre en suspendant la présentation des données de santé électroniques à caractère personnel concernées à la personne physique pendant une période limitée. Lorsque les données relatives à la santé ne sont disponibles que sur support papier, si les efforts déployés pour mettre les données à disposition par voie électronique sont disproportionnés, les États membres ne devraient pas être tenus de les convertir en format électronique. Toute transformation numérique dans le secteur des soins de santé devrait viser à être inclusive et bénéficier également aux personnes physiques ayant une capacité limitée à accéder aux services numériques et à les utiliser. Les personnes physiques devraient pouvoir donner l’autorisation aux personnes physiques de leur choix, telles que leurs parents ou leurs proches, d’accéder ou de contrôler l’accès à leurs données de santé électroniques à caractère personnel ou d’utiliser des services de santé numérique en leur nom. Cette autorisation pourrait aussi être utile pour des raisons pratiques dans d’autres situations. Des services de procuration devraient être établis par les États membres afin de mettre ces autorisations en œuvre, et ils devraient être mis en relation avec les services d’accès aux données à caractère personnel relatives à la santé, tels que les portails destinés aux patients ou les applications mobiles d’interaction avec les patients. Les services de procuration devraient aussi permettre aux tuteurs d’agir pour le compte des enfants qui sont à leur charge; dans ce genre de situations, les autorisations pourraient être automatiques. Afin de tenir compte des cas dans lesquels la présentation de certaines données de santé électroniques à caractère personnel de mineurs à leurs tuteurs pourrait être contraire aux intérêts ou à la volonté du mineur, les États membres devraient pouvoir prévoir de telles limitations et garanties dans le droit national, ainsi que la mise en œuvre technique nécessaire. Les services d’accès aux données à caractère personnel relatives à la santé, tels que les portails ou les applications mobiles destinés aux patients, devraient utiliser ces autorisations et ainsi permettre aux personnes physiques autorisées d’accéder aux données de santé électroniques à caractère personnel relevant du champ d’application de l’autorisation, afin de pouvoir produire l’effet désiré.

(9)

Dans le même temps, il y a lieu de tenir compte du fait que l’accès immédiat des personnes physiques à certains types de leurs données de santé électroniques à caractère personnel peut nuire à la sécurité des personnes physiques, être contraire à l’éthique ou inapproprié. Il pourrait par exemple être contraire à l’éthique d’informer un patient par voie électronique du diagnostic d’une maladie incurable susceptible de lui être rapidement fatale au lieu de lui fournir cette information lors d’une consultation avec celui-ci. Il y a donc lieu de garantir une possibilité d’exceptions limitées dans la mise en œuvre de ce droit. Une telle exception peut être imposée par les États membres lorsqu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique, conformément aux exigences de l’article 23 du règlement (UE) 2016/679. Ces restrictions devraient être mises en œuvre en suspendant la présentation des données de santé électroniques à caractère personnel concernées à la personne physique pendant une période limitée , par exemple jusqu’au contact entre le patient et le professionnel de la santé . Les États membres devraient être encouragés à demander que les données de santé disponibles avant la mise en œuvre du présent règlement soient converties en format électronique par un processus facilité par les États membres . Toute transformation numérique dans le secteur des soins de santé devrait viser à être inclusive et bénéficier également aux personnes physiques ayant une capacité limitée à accéder aux services numériques et à les utiliser. Les personnes physiques devraient pouvoir donner l’autorisation aux personnes physiques de leur choix, telles que leurs parents ou leurs proches, d’accéder ou de contrôler l’accès à leurs données de santé électroniques à caractère personnel ou d’utiliser des services de santé numérique en leur nom. Cette autorisation pourrait aussi être utile pour des raisons pratiques dans d’autres situations. Des services de procuration devraient être établis par les États membres afin de mettre ces autorisations en œuvre, et ils devraient être mis en relation avec les services d’accès aux données à caractère personnel relatives à la santé, tels que les portails destinés aux patients ou les applications mobiles d’interaction avec les patients. Les services de procuration devraient aussi permettre aux tuteurs d’agir pour le compte des enfants qui sont à leur charge; dans ce genre de situations, les autorisations pourraient être automatiques. Afin de tenir compte des cas dans lesquels la présentation de certaines données de santé électroniques à caractère personnel de mineurs à leurs tuteurs pourrait être contraire aux intérêts ou à la volonté du mineur, les États membres devraient pouvoir prévoir de telles limitations et garanties dans le droit national, ainsi que la mise en œuvre technique nécessaire. Les services d’accès aux données à caractère personnel relatives à la santé, tels que les portails ou les applications mobiles destinés aux patients, devraient utiliser ces autorisations et ainsi permettre aux personnes physiques autorisées d’accéder aux données de santé électroniques à caractère personnel relevant du champ d’application de l’autorisation, afin de pouvoir produire l’effet désiré.

(10)

Certains États membres permettent aux personnes physiques d’ajouter des données de santé électroniques à leur DME ou de stocker des informations supplémentaires dans leur dossier médical personnel séparé auquel les professionnels de la santé peuvent accéder. Il ne s’agit toutefois pas d’une pratique courante dans tous les États membres, et elle devrait donc être instaurée par l’EHDS dans toute l’Union. Les informations introduites par les personnes physiques peuvent ne pas être aussi fiables que les données de santé électroniques introduites et vérifiées par des professionnels de la santé, elles devraient donc être clairement signalées afin d’indiquer la source de ces données supplémentaires. En accédant plus facilement et plus rapidement à leurs données de santé électroniques, les personnes physiques peuvent aussi relever les éventuelles erreurs, telles que les informations incorrectes ou les dossiers médicaux incorrectement attribués, et les faire rectifier en exerçant leurs droits au titre du règlement (UE) 2016/679. Dans ces cas, les personnes physiques devraient être autorisées à demander la rectification des données de santé électroniques incorrectes en ligne, immédiatement et gratuitement, par exemple par l’intermédiaire du service d’accès aux données à caractère personnel relatives à la santé. Les demandes de rectification des données devraient être évaluées et, le cas échéant, mises en œuvre par les responsables du traitement au cas par cas, si nécessaire en faisant intervenir des professionnels de la santé.

(10)

Certains États membres permettent aux personnes physiques d’ajouter des données de santé électroniques à leur DME ou de stocker des informations supplémentaires dans leur dossier médical personnel séparé auquel les professionnels de la santé peuvent accéder. Il ne s’agit toutefois pas d’une pratique courante dans tous les États membres, et elle devrait donc être instaurée par l’EHDS dans toute l’Union. Les informations introduites par les personnes physiques peuvent ne pas être aussi fiables que les données de santé électroniques introduites et vérifiées par des professionnels de la santé et n’ont pas la même valeur clinique ou juridique que les informations fournies par un professionnel de la santé , elles devraient donc être clairement signalées afin d’indiquer la source de ces données supplémentaires et elles ne devraient être validées que par un professionnel de la santé . Il convient tout particulièrement que les champs pertinents du DME soient clairement indiqués. En accédant plus facilement et plus rapidement à leurs données de santé électroniques, les personnes physiques peuvent aussi relever les éventuelles erreurs, telles que les informations incorrectes ou les dossiers médicaux incorrectement attribués, et les faire rectifier en exerçant leurs droits au titre du règlement (UE) 2016/679. Dans ces cas, les personnes physiques devraient être autorisées à demander la rectification des données de santé électroniques incorrectes en ligne, immédiatement et gratuitement, par exemple par l’intermédiaire du service d’accès aux données à caractère personnel relatives à la santé. Les demandes de rectification des données devraient être évaluées et, le cas échéant, mises en œuvre par les responsables du traitement au cas par cas, si nécessaire en faisant intervenir des professionnels de la santé disposant d’une spécialisation pertinente et responsables du traitement de la personne physique .

(11)

Les personnes physiques devraient en outre avoir la possibilité d’échanger des données de santé électroniques à caractère personnel avec les professionnels de la santé de leur choix et de leur donner accès à celles-ci, allant ainsi au-delà du droit à la portabilité des données établi à l’article 20 du règlement (UE) 2016/679. C’est nécessaire afin de venir à bout des difficultés et des obstacles objectifs dans la configuration actuelle. En vertu du règlement (UE) 2016/679, la portabilité est limitée aux données traitées sur la base du consentement ou d’un contrat, ce qui exclut les données traitées en vertu d’autres bases juridiques, comme lorsque le traitement est fondé sur le droit, par exemple lorsque leur traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Cela ne s’applique qu’aux données fournies par la personne concernée à un responsable du traitement, ce qui exclut de nombreuses données déduites ou indirectes, telles que les diagnostics ou les examens médicaux. Enfin, en vertu du règlement (UE) 2016/679, la personne physique a le droit d’obtenir que les données à caractère personnel soient transmises directement d’un responsable du traitement à un autre uniquement lorsque c’est techniquement possible. Ce règlement n’impose toutefois pas d’obligation de faire en sorte que cette transmission directe soit techniquement possible. Tous ces éléments limitent la portabilité des données et pourraient limiter ses avantages pour la fourniture de services de soins de santé de qualité, sûrs et efficients à la personne physique.

(11)

Les personnes physiques devraient en outre avoir la possibilité d’échanger des données de santé électroniques à caractère personnel avec les professionnels de la santé de leur choix et de leur donner accès à celles-ci, allant ainsi au-delà du droit à la portabilité des données établi à l’article 20 du règlement (UE) 2016/679 , ainsi que de télécharger leurs données de santé . C’est nécessaire afin de venir à bout des difficultés et des obstacles objectifs dans la configuration actuelle. En vertu du règlement (UE) 2016/679, la portabilité est limitée aux données traitées sur la base du consentement ou d’un contrat, ce qui exclut les données traitées en vertu d’autres bases juridiques, comme lorsque le traitement est fondé sur le droit, par exemple lorsque leur traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Cela ne s’applique qu’aux données fournies par la personne concernée à un responsable du traitement, ce qui exclut de nombreuses données déduites ou indirectes, telles que les diagnostics ou les examens médicaux. Enfin, en vertu du règlement (UE) 2016/679, la personne physique a le droit d’obtenir que les données à caractère personnel soient transmises directement d’un responsable du traitement à un autre uniquement lorsque c’est techniquement possible. Ce règlement n’impose toutefois pas d’obligation de faire en sorte que cette transmission directe soit techniquement possible. Tous ces éléments limitent la portabilité des données et pourraient limiter ses avantages pour la fourniture de services de soins de santé de qualité, sûrs et efficients à la personne physique.

(12)

Les personnes physiques devraient être en mesure d’exercer un contrôle sur la transmission des données de santé électroniques à caractère personnel à d’autres prestataires de soins de santé. Les prestataires de soins de santé et les autres organisations fournissant des DME devraient faciliter l’exercice de ce droit. Les parties intéressées telles que les prestataires de soins de santé, les prestataires de services de santé numérique, les fabricants de systèmes de DME ou de dispositifs médicaux ne devraient pas limiter ou empêcher l’exercice du droit de portabilité en raison de l’utilisation de normes propriétaires ou d’autres mesures prises pour limiter la portabilité. C’est la raison pour laquelle le cadre défini par le présent règlement s’appuie sur le droit à la portabilité des données établi dans le règlement (UE) 2016/679, en veillant à ce que les personnes physiques, en tant que personnes concernées, puissent transmettre leurs données de santé électroniques, y compris les données déduites, quelle que soit la base juridique du traitement des données de santé électroniques. Ce droit devrait s’appliquer aux données de santé électroniques traitées par les responsables du traitement publics ou privés, quelle que soit la base juridique du traitement des données conformément au règlement (UE) 2016/679. Ce droit devrait s’appliquer à toutes les données de santé électroniques.

(12)

Les personnes physiques devraient être en mesure d’exercer un contrôle sur la transmission des données de santé électroniques à caractère personnel à d’autres prestataires de soins de santé. Les prestataires de soins de santé et les autres organisations fournissant des DME devraient faciliter l’exercice de ce droit. Les parties intéressées telles que les prestataires de soins de santé, les prestataires de services de santé numérique, les fabricants de systèmes de DME ou de dispositifs médicaux ne devraient pas limiter ou empêcher l’exercice du droit de portabilité en raison de l’utilisation de normes propriétaires ou d’autres mesures prises pour limiter la portabilité. Conformément au règlement (UE) 2016/679, les prestataires de soins de santé devraient suivre le principe de minimisation des données lors de l’accès aux données de santé à caractère personnel et limiter les données consultées à celles qui sont strictement nécessaires et justifiées par un service donné. C’est la raison pour laquelle le cadre défini par le présent règlement s’appuie sur le droit à la portabilité des données établi dans le règlement (UE) 2016/679, en veillant à ce que les personnes physiques, en tant que personnes concernées, puissent transmettre leurs données de santé électroniques, y compris les données déduites, quelle que soit la base juridique du traitement des données de santé électroniques. Ce droit devrait s’appliquer aux données de santé électroniques traitées par les responsables du traitement publics ou privés, quelle que soit la base juridique du traitement des données conformément au règlement (UE) 2016/679. Ce droit devrait s’appliquer à toutes les données de santé électroniques.

(13)

Les personnes physiques sont susceptibles de ne pas vouloir autoriser l’accès à certaines de leurs données de santé électroniques à caractère personnel, mais d’accepter pour d’autres. Ce partage sélectif des données de santé électroniques à caractère personnel devrait être possible. Cependant, ces restrictions pourraient avoir des conséquences mortelles et l’accès aux données de santé électroniques à caractère personnel devrait donc être possible pour protéger les intérêts vitaux, à titre dérogatoire en cas d’urgence. Selon le règlement (UE) 2016/679, les intérêts vitaux concernent des situations dans lesquelles il est nécessaire de protéger un intérêt essentiel à la vie de la personne concernée ou à celle d’une autre personne physique. Le traitement de données de santé électroniques à caractère personnel fondé sur l’intérêt vital d’une autre personne physique ne devrait en principe avoir lieu que lorsqu’il ne peut manifestement pas être fondé sur une autre base juridique. Des dispositions juridiques plus spécifiques sur les mécanismes des restrictions appliquées par la personne physique sur certaines de ses données de santé électroniques à caractère personnel devraient être prévues par les États membres dans leur droit national. L’indisponibilité des données de santé électroniques à caractère personnel restreintes pouvant avoir une incidence sur la fourniture ou sur la qualité des services de santé délivrés à la personne physique, cette dernière devrait assumer la responsabilité de l’impossibilité pour le prestataire de soins de santé de prendre les données en considération au moment de fournir les services de santé.

(13)

Les personnes physiques sont susceptibles de ne pas vouloir autoriser l’accès à certaines de leurs données de santé électroniques à caractère personnel, mais d’accepter pour d’autres. Ce partage sélectif des données de santé électroniques à caractère personnel devrait être possible. Les personnes physiques devraient toutefois être informées des risques pour la sécurité des patients liés à la limitation de l’accès aux données de santé. Cependant, ces restrictions pourraient avoir des conséquences mortelles et l’accès aux données de santé électroniques à caractère personnel devrait donc être possible pour protéger les intérêts vitaux, à titre dérogatoire en cas d’urgence. Selon le règlement (UE) 2016/679, les intérêts vitaux concernent des situations dans lesquelles il est nécessaire de protéger un intérêt essentiel à la vie de la personne concernée ou à celle d’une autre personne physique. Le traitement de données de santé électroniques à caractère personnel fondé sur l’intérêt vital d’une autre personne physique ne devrait en principe avoir lieu que lorsqu’il ne peut manifestement pas être fondé sur une autre base juridique. Des dispositions juridiques plus spécifiques sur les mécanismes des restrictions appliquées par la personne physique sur certaines de ses données de santé électroniques à caractère personnel devraient être prévues par les États membres dans leur droit national , notamment en ce qui concerne la responsabilité civile du médecin lorsque des restrictions ont été appliquées par la personne physique . L’indisponibilité des données de santé électroniques à caractère personnel restreintes pouvant avoir une incidence sur la fourniture ou sur la qualité des services de santé délivrés à la personne physique, cette dernière devrait assumer la responsabilité de l’impossibilité pour le prestataire de soins de santé de prendre les données en considération au moment de fournir les services de santé.

(14)

Dans le contexte de l’EHDS, les personnes physiques devraient pouvoir exercer leurs droits tels qu’ils sont prévus dans le règlement (UE) 2016/679. L’autorité de contrôle établie en application de l’article 51 du règlement (UE) 2016/679 devrait rester compétente, en particulier pour surveiller le traitement des données de santé électroniques à caractère personnel et pour traiter les plaintes déposées par les personnes physiques. Afin d’exécuter leurs missions dans le secteur de la santé et de faire respecter les droits des personnes physiques, les autorités de santé numérique devraient coopérer avec l’autorité de contrôle au titre du règlement (UE) 2016/679.

(14)

Dans le contexte de l’EHDS, les personnes physiques devraient pouvoir exercer leurs droits au titre du présent règlement sans préjudice du règlement (UE) 2016/679. L’autorité de contrôle établie en application de l’article 51 du règlement (UE) 2016/679 devrait rester compétente, en particulier pour surveiller le traitement des données de santé électroniques à caractère personnel et pour traiter les plaintes déposées par les personnes physiques. Afin d’exécuter leurs missions dans le secteur de la santé et de faire respecter les droits des personnes physiques, les autorités de santé numérique devraient coopérer avec l’autorité de contrôle au titre du règlement (UE) 2016/679.

(15)

L’article 9, paragraphe 2, point h), du règlement (UE) 2016/679 prévoit des exceptions lorsque le traitement des données sensibles est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire, ou de la gestion des systèmes et des services de soins de santé sur la base du droit de l’Union ou du droit d’un État membre. Le présent règlement devrait prévoir des conditions et des garanties pour le traitement des données de santé électroniques par les prestataires de soins de santé et les professionnels de la santé conformément à l’article 9, paragraphe 2, point h), du règlement (UE) 2016/679 aux fins d’accéder aux données de santé électroniques à caractère personnel fournies par la personne physique ou transmises par d’autres prestataires de soins de santé. Le présent règlement devrait cependant être sans préjudice des législations nationales relatives au traitement des données de santé, notamment de la législation établissant les catégories de professionnels de la santé qui peuvent traiter différentes catégories de données de santé électroniques.

(15)

L’article 9, paragraphe 2, point h), du règlement (UE) 2016/679 prévoit des exceptions lorsque le traitement des données sensibles est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire, ou de la gestion des systèmes et des services de soins de santé sur la base du droit de l’Union ou du droit d’un État membre. Le présent règlement devrait prévoir des conditions et des garanties pour le traitement des données de santé électroniques par les prestataires de soins de santé et les professionnels de la santé conformément à l’article 9, paragraphe 2, point h), du règlement (UE) 2016/679 aux fins d’accéder aux données de santé électroniques à caractère personnel fournies par la personne physique ou transmises par d’autres prestataires de soins de santé. Le présent règlement devrait cependant être sans préjudice des législations nationales relatives au traitement des données de santé qui ne relèvent pas du champ d’application du présent règlement, y compris aux fins d’autres utilisations secondaires fixées par le présent règlement , notamment de la législation établissant les catégories de professionnels de la santé qui peuvent traiter différentes catégories de données de santé électroniques.

(16)

L’accès rapide et total des professionnels de la santé aux dossiers médicaux des patients est fondamental pour garantir la continuité des soins et éviter les duplications et les erreurs. Cependant, par manque d’interopérabilité, dans de nombreux cas, les professionnels de la santé ne peuvent pas accéder aux dossiers médicaux complets de leurs patients et ne peuvent pas prendre des décisions médicales optimales pour leur diagnostic et leur traitement, ce qui se traduit par des coûts supplémentaires considérables pour les systèmes de santé et pour les personnes physiques et peut aboutir à une issue plus défavorable pour la santé des personnes physiques. Les données de santé électroniques mises à disposition dans un format interopérable, qui peuvent être transmises entre prestataires de soins de santé, peuvent aussi réduire la charge administrative qui consiste pour les professionnels de la santé à introduire manuellement ou à copier les données de santé d’un système électronique à l’autre. Il y a donc lieu de doter les professionnels de la santé de moyens électroniques appropriés, comme des portails destinés aux professionnels de la santé, pour utiliser les données de santé électroniques à caractère personnel dans l’exercice de leurs fonctions. De plus, l’accès aux dossiers médicaux personnels devrait être transparent vis-à-vis des personnes physiques et ces dernières devraient pouvoir exercer un contrôle total sur cet accès, notamment en limitant l’accès à l’ensemble ou à une partie des données de santé électroniques à caractère personnel qui figurent dans leurs dossiers. Les professionnels de la santé ne devraient pas entraver la mise en œuvre des droits des personnes physiques, en refusant, par exemple, de prendre en considération les données de santé électroniques provenant d’un autre État membre fournies dans le format européen d’échange des dossiers de santé informatisés interopérable et fiable.

(16)

L’accès rapide et total des professionnels de la santé aux dossiers médicaux des patients est fondamental pour garantir la continuité des soins , éviter les duplications et les erreurs et réduire les coûts . Cependant, par manque d’interopérabilité, dans de nombreux cas, les professionnels de la santé ne peuvent pas accéder aux dossiers médicaux complets de leurs patients et ne peuvent pas prendre des décisions médicales optimales pour leur diagnostic et leur traitement, ce qui se traduit par des coûts supplémentaires considérables pour les systèmes de santé et pour les personnes physiques et peut aboutir à une issue plus défavorable pour la santé des personnes physiques. Les données de santé électroniques mises à disposition dans un format interopérable, qui peuvent être transmises entre prestataires de soins de santé, peuvent aussi réduire la charge administrative qui consiste pour les professionnels de la santé à introduire manuellement ou à copier les données de santé d’un système électronique à l’autre. Il y a donc lieu de doter les professionnels de la santé de moyens électroniques appropriés, comme des appareils électroniques et numériques adaptés et des portails destinés aux professionnels de la santé, pour utiliser les données de santé électroniques à caractère personnel dans l’exercice de leurs fonctions selon le principe du besoin d’en connaître . De plus, l’accès aux dossiers médicaux personnels devrait être transparent vis-à-vis des personnes physiques et ces dernières devraient pouvoir exercer un contrôle total sur cet accès, notamment en limitant l’accès à l’ensemble ou à une partie des données de santé électroniques à caractère personnel qui figurent dans leurs dossiers. Les professionnels de la santé ne devraient pas entraver la mise en œuvre des droits des personnes physiques, en refusant, par exemple, de prendre en considération les données de santé électroniques provenant d’un autre État membre fournies dans le format européen d’échange des dossiers de santé informatisés interopérable et fiable. Le présent règlement ne devrait pas être interprété comme limitant l’obligation des professionnels de la santé de respecter le droit applicable, les codes de conduite, les lignes directrices déontologiques ou d’autres dispositions régissant la conduite éthique en ce qui concerne l’échange ou la consultation d’informations, en particulier dans des situations extrêmes ou de danger mortel immédiat. À cette fin, les fournisseurs de dossiers médicaux électroniques devraient tenir un registre recensant l’identité des personnes qui ont consulté les données au cours des 36 mois précédents ainsi que les données qu’elles ont consultées.

(16 bis)

Les professionnels de la santé sont confrontés à une évolution fondamentale dans le cadre de la numérisation et de la mise en œuvre de l’EHDS. Les professionnels de la santé doivent développer leur maîtrise des outils numériques de santé et leurs compétences numériques. Par conséquent, il y a lieu que les professionnels de la santé qui ont le statut de microentreprises au sens de l’article 2 de l’annexe de la recommandation 2003/361/CE de la Commission (1 bis) soient temporairement exemptés des obligations définies dans le présent règlement afin d’éviter des charges administratives disproportionnées pour les microentreprises. Au cours de la période d’exemption, les États membres devraient permettre aux professionnels de la santé ayant le statut de microentreprises de suivre des cours d’utilisation des outils numériques afin de pouvoir se préparer à travailler avec des systèmes de DME.

(17)

La pertinence des différentes catégories de données de santé électroniques pour les différents scénarios de soins de santé varie. Différentes catégories ont aussi atteint différents niveaux de maturité en matière de normalisation, et la mise en œuvre de mécanismes en vue de leur échange peut donc être plus ou moins complexe selon la catégorie. L’amélioration de l’interopérabilité et du partage de données devrait donc être progressive et il est nécessaire de hiérarchiser les catégories de données de santé électroniques. Les catégories de données de santé électroniques telles que les dossiers des patients, les résultats et les comptes rendus de laboratoire, les rapports de sortie de l’hôpital, l’imagerie médicale et les rapports y afférents ont été sélectionnées par le réseau «Santé en ligne» comme étant les plus pertinentes pour la majorité des situations de soins de santé et devraient être considérées comme des catégories prioritaires pour que les États membres mettent en œuvre l’accès à celles-ci et leur transmission. Si de nouveaux besoins en matière d’échange d’autres catégories de données de santé électroniques sont mis en évidence à des fins de soins de santé, la liste des catégories prioritaires devrait être allongée. La Commission devrait être habilitée à allonger la liste des catégories prioritaires , après analyse des aspects pertinents liés à la nécessité et à la possibilité d’échanger de nouveaux ensembles de données, tels que leur prise en charge par les systèmes établis au niveau national ou régional par les États membres. Il y a lieu d’accorder une attention particulière à l’échange de données dans les régions frontalières des États membres voisins où la fourniture de services de santé transfrontières est plus fréquente et nécessite des procédures encore plus rapides que dans le reste de l’Union.

(17)

La pertinence des différentes catégories de données de santé électroniques pour les différents scénarios de soins de santé varie. Différentes catégories ont aussi atteint différents niveaux de maturité en matière de normalisation, et la mise en œuvre de mécanismes en vue de leur échange peut donc être plus ou moins complexe selon la catégorie. L’amélioration de l’interopérabilité et du partage de données devrait donc être progressive et il est nécessaire de hiérarchiser les catégories de données de santé électroniques. Les catégories de données de santé électroniques telles que les dossiers des patients, les résultats et les comptes rendus de laboratoire, les rapports de sortie de l’hôpital, l’imagerie médicale et les rapports y afférents ont été sélectionnées par le réseau «Santé en ligne» comme étant les plus pertinentes pour la majorité des situations de soins de santé et devraient être considérées comme des catégories prioritaires pour que les États membres mettent en œuvre l’accès à celles-ci et leur transmission. Si de nouveaux besoins en matière d’échange d’autres catégories de données de santé électroniques sont mis en évidence à des fins de soins de santé, la liste des catégories prioritaires devrait être allongée, après analyse des aspects pertinents liés à la nécessité et à la possibilité d’échanger de nouveaux ensembles de données, tels que leur prise en charge par les systèmes établis au niveau national ou régional par les États membres. Il y a lieu d’accorder une attention particulière à l’échange de données dans les régions frontalières des États membres voisins où la fourniture de services de santé transfrontières est plus fréquente et nécessite des procédures encore plus rapides que dans le reste de l’Union.

(19)

Le niveau de disponibilité des données à caractère personnel sur la santé et la génétique au format électronique varie selon les États membres. L’EHDS devrait permettre aux personnes physiques de disposer plus facilement de ces données au format électronique. De plus, il contribuerait à la réalisation de l’objectif consistant à ce que 100 % des citoyens de l’UE aient accès à leur dossier médical électronique d’ici 2030, comme le prévoit le programme politique «La voie à suivre pour la décennie numérique». Afin de rendre les données de santé électroniques accessibles et transmissibles, il convient que ces données soient consultables et soient transmises dans un format européen commun interopérable d’échange de dossiers de santé électroniques, au moins pour certaines catégories de données de santé électroniques, telles que les dossiers des patients, les prescriptions et dispensations électroniques, l’imagerie médicale et les rapports y afférents, les résultats de laboratoire et les rapports de sortie, sous réserve de périodes de transition. Lorsque des données de santé électroniques à caractère personnel sont mises à la disposition d’un prestataire de soins de santé ou d’une pharmacie par une personne physique, ou sont transmises par un autre responsable du traitement des données dans le format européen d’échange des dossiers médicaux électroniques, les données de santé électroniques doivent être lues et acceptées pour la prestation de soins de santé ou la délivrance d’un médicament, favorisant ainsi la prestation des services de soins de santé ou la délivrance d’une prescription électronique. La recommandation de la Commission (UE) 2019/243 (45) jette les bases d’un tel format européen commun d’échange des dossiers de santé informatisés. L’utilisation du format européen d’échange des dossiers médicaux électroniques devrait se généraliser à l’échelon de l’UE et à l’échelon des États membres. Alors que le réseau «Santé en ligne», créé en application de l’article 14 de la directive 2011/24/UE du Parlement européen et du Conseil (46), recommandait aux États membres d’utiliser le format européen d’échange des dossiers médicaux électroniques dans les marchés publics afin d’améliorer l’interopérabilité, son adoption a été limitée dans la pratique, ce qui a entraîné un paysage fragmenté ainsi qu’un accès et une portabilité inégaux des données de santé électroniques.

(19)

Le niveau de disponibilité des données à caractère personnel sur la santé et la génétique au format électronique varie selon les États membres. L’EHDS devrait permettre aux personnes physiques de disposer plus facilement de ces données au format électronique ainsi que de mieux contrôler l’accès à leurs données de santé électroniques à caractère personnel et leur partage . De plus, il contribuerait à la réalisation de l’objectif consistant à ce que 100 % des citoyens de l’UE aient accès à leur dossier médical électronique d’ici 2030, comme le prévoit le programme politique «La voie à suivre pour la décennie numérique». Afin de rendre les données de santé électroniques accessibles et transmissibles, il convient que ces données soient consultables et soient transmises dans un format européen commun interopérable d’échange de dossiers de santé électroniques, au moins pour certaines catégories de données de santé électroniques, telles que les dossiers des patients, les prescriptions et dispensations électroniques, l’imagerie médicale et les rapports y afférents, les résultats de laboratoire et les rapports de sortie, sous réserve de périodes de transition. Lorsque des données de santé électroniques à caractère personnel sont mises à la disposition d’un prestataire de soins de santé ou d’une pharmacie par une personne physique, ou sont transmises par un autre responsable du traitement des données dans le format européen d’échange des dossiers médicaux électroniques, les données de santé électroniques doivent être lues et acceptées pour la prestation de soins de santé ou la délivrance d’un médicament, favorisant ainsi la prestation des services de soins de santé ou la délivrance d’une prescription électronique. La recommandation de la Commission (UE) 2019/243 (45) jette les bases d’un tel format européen commun d’échange des dossiers de santé informatisés. L’interopérabilité de l’EHDS devrait contribuer à l’existence d’ensembles européens de données de santé de bonne qualité. L’utilisation du format européen d’échange des dossiers médicaux électroniques devrait se généraliser à l’échelon de l’UE et à l’échelon des États membres. Alors que le réseau «Santé en ligne», créé en application de l’article 14 de la directive 2011/24/UE du Parlement européen et du Conseil (46), recommandait aux États membres d’utiliser le format européen d’échange des dossiers médicaux électroniques dans les marchés publics afin d’améliorer l’interopérabilité, son adoption a été limitée dans la pratique, ce qui a entraîné un paysage fragmenté ainsi qu’un accès et une portabilité inégaux des données de santé électroniques.

(20)

Si les systèmes de DME sont largement répandus, le niveau de numérisation des données de santé varie dans les États membres en fonction des catégories de données et de la couverture des prestataires de soins de santé qui enregistrent les données de santé au format électronique. Afin de soutenir la mise en œuvre des droits des personnes concernées en matière d’accès et d’échange de données de santé électroniques, une action de l’UE est nécessaire pour éviter d’amplifier la fragmentation. Pour contribuer à la qualité et à la continuité des soins de santé, certaines catégories de données de santé devraient être enregistrées au format électronique de manière systématique et conformément aux exigences spécifiques en matière de qualité des données. Le format européen d’échange des dossiers médicaux électroniques devrait servir de base aux spécifications relatives à l’enregistrement et à l’échange de données de santé électroniques. La Commission devrait être habilitée à adopter des actes d’exécution pour déterminer des aspects supplémentaires relatifs à l’enregistrement des données de santé électroniques, tels que les catégories de prestataires de soins de santé qui doivent enregistrer les données de santé par voie électronique, les catégories de données à enregistrer par voie électronique ou les exigences en matière de qualité des données.

(20)

Si les systèmes de DME sont largement répandus, le niveau de numérisation des données de santé varie dans les États membres en fonction des catégories de données et de la couverture des prestataires de soins de santé qui enregistrent les données de santé au format électronique. Afin de soutenir la mise en œuvre des droits des personnes concernées en matière d’accès et d’échange de données de santé électroniques, une action de l’UE est nécessaire pour éviter d’amplifier la fragmentation. Pour contribuer à la qualité et à la continuité des soins de santé, certaines catégories de données de santé devraient être enregistrées au format électronique de manière systématique et conformément aux exigences spécifiques en matière de qualité des données. Le format européen d’échange des dossiers médicaux électroniques devrait servir de base aux spécifications relatives à l’enregistrement et à l’échange de données de santé électroniques. La Commission devrait être habilitée à adopter des actes délégués pour déterminer les exigences en matière de qualité des données.

(20 bis)

Afin de contribuer à la bonne mise en œuvre de l’EHDS et à la mise en place de bonnes conditions de coopération européenne en matière de données de santé, la Commission et les États membres devraient convenir d’objectifs temporels de mise en œuvre des conditions d’une meilleure interopérabilité des données de santé dans toute l’Union, assortis d’une série d’objectifs et d’étapes, notamment en ce qui concerne l’interopérabilité des registres de maladies, qui devraient être examinés et évalués dans un rapport annuel.

(21)

En vertu de l’article 168 du traité, les États membres sont responsables de leur politique de santé, en particulier des décisions relatives aux services (y compris la télémédecine) qu’ils fournissent et remboursent. Toutefois, les différentes politiques de remboursement ne doivent pas constituer d’obstacles à la libre circulation des services de santé numérique tels que la télémédecine, y compris des services pharmaceutiques en ligne. Lorsque des services numériques accompagnent la prestation d’un service de santé physique, ils devraient être inclus dans la prestation globale de soins.

(21)

En vertu de l’article 168 du traité sur le fonctionnement de l’Union européenne (traité FUE) , les États membres sont responsables de leur politique de santé, en particulier des décisions relatives aux services qu’ils fournissent et remboursent. Toutefois, les différentes politiques de remboursement ne doivent pas constituer d’obstacles à la libre circulation des services de santé numérique tels que la télémédecine, y compris des services pharmaceutiques en ligne. Lorsque des services numériques accompagnent la prestation d’un service de santé physique, ils devraient être inclus dans la prestation globale de soins. La télémédecine est un outil de plus en plus important qui permet aux patients d’avoir accès aux soins et de lutter contre les inégalités et qui est susceptible de réduire les inégalités en matière de santé et de renforcer la libre circulation transfrontière des citoyens de l’Union. Les outils numériques et les autres outils technologiques peuvent faciliter la prestation de soins dans les régions éloignées. Néanmoins, la télémédecine ne devrait pas être considérée comme un substitut de la médecine en présentiel, car certaines maladies et procédures nécessitent des examens et des interventions physiques en présentiel.

(22)

Le règlement (UE) no 910/2014 du Parlement européen et du Conseil (47) fixe les conditions dans lesquelles les États membres procèdent à l’identification des personnes physiques dans des situations transfrontières en utilisant des moyens d’identification électronique délivrés par un autre État membre, et il établit des règles pour la reconnaissance mutuelle de ces moyens d’identification électronique. L’EHDS exige un accès sécurisé aux données de santé électroniques, y compris dans les scénarios transfrontières où le professionnel de santé et la personne physique sont originaires d’États membres différents, afin d’éviter les cas d’accès non autorisés. Dans le même temps, l’existence de différents moyens d’identification électronique ne devrait pas constituer un obstacle à l’exercice des droits des personnes physiques et des professionnels de la santé. Le déploiement de mécanismes d’identification et d’authentification interopérables et transfrontières pour les personnes physiques et les professionnels de la santé dans l’ensemble de l’EHDS nécessite un renforcement de la coopération à l’échelle de l’UE au sein du comité de l’espace européen des données de santé («comité de l’EHDS»).Étant donné que les droits des personnes physiques en matière d’accès et de transmission des données de santé électroniques à caractère personnel doivent être mis en œuvre de manière uniforme dans toute l’UE, une gouvernance et une coordination solides sont nécessaires tant à l’échelon de l’UE qu’à l’échelon des États membres. Les États membres devraient établir des autorités compétentes en matière de santé numérique pour la planification et la mise en œuvre de normes relatives à l’accès aux données de santé électroniques, à leur transmission et à l’application des droits des personnes physiques et des professionnels de la santé. En outre, des éléments de gouvernance sont nécessaires dans les États membres pour faciliter la participation des acteurs nationaux à la coopération à l’échelle de l’UE, à travers la canalisation de l’expertise et l’orientation de la conception des solutions nécessaires pour atteindre les objectifs de l’EHDS. Des autorités de santé numérique existent dans la plupart des États membres et s’occupent des DME, de l’interopérabilité, de la sécurité ou de la normalisation. Des autorités de santé numérique devraient être établies dans tous les États membres, en tant qu’organisations séparées ou rattachées aux autorités existantes.

(22)

Le règlement (UE) no 910/2014 du Parlement européen et du Conseil (47) fixe les conditions dans lesquelles les États membres procèdent à l’identification des personnes physiques dans des situations transfrontières en utilisant des moyens d’identification électronique délivrés par un autre État membre, et il établit des règles pour la reconnaissance mutuelle de ces moyens d’identification électronique. L’EHDS exige un accès sécurisé aux données de santé électroniques, y compris dans les scénarios transfrontières où le professionnel de santé et la personne physique sont originaires d’États membres différents, afin d’éviter les cas d’accès non autorisés. Dans le même temps, l’existence de différents moyens d’identification électronique ne devrait pas constituer un obstacle à l’exercice des droits des personnes physiques et des professionnels de la santé. Par conséquent, les personnes physiques et les professionnels de la santé devraient avoir le droit de s’identifier de manière électronique au moyen de toute identification électronique reconnue, dont les schémas d’identification électronique lorsqu’ils sont proposés. Le déploiement de mécanismes d’identification et d’authentification interopérables et transfrontières pour les personnes physiques et les professionnels de la santé dans l’ensemble de l’EHDS nécessite un renforcement de la coopération à l’échelle de l’UE au sein du comité de l’espace européen des données de santé («comité de l’EHDS»). Étant donné que les droits des personnes physiques en matière d’accès et de transmission des données de santé électroniques à caractère personnel doivent être mis en œuvre de manière uniforme dans toute l’UE, une gouvernance et une coordination solides sont nécessaires tant à l’échelon de l’UE qu’à l’échelon des États membres.

(22 bis)

Les États membres devraient établir des autorités compétentes en matière de santé numérique pour la planification et la mise en œuvre de normes relatives à l’accès aux données de santé électroniques, à leur transmission et à l’application des droits des personnes physiques et des professionnels de la santé. En outre, des éléments de gouvernance sont nécessaires dans les États membres pour faciliter la participation des acteurs nationaux à la coopération à l’échelle de l’Union, à travers la canalisation de l’expertise et l’orientation de la conception des solutions nécessaires pour atteindre les objectifs de l’EHDS. Des autorités de santé numérique existent dans la plupart des États membres et s’occupent des DME, de l’interopérabilité, de la sécurité ou de la normalisation. Des autorités de santé numérique devraient être établies dans tous les États membres, en tant qu’organisations séparées ou rattachées aux autorités existantes.

(23)

Les autorités de santé numérique devraient disposer des compétences techniques suffisantes, en rassemblant éventuellement des experts de différentes organisations. Les activités des autorités de santé numérique devraient être bien organisées et contrôlées afin de garantir leur efficacité. Les autorités de santé numérique devraient prendre les mesures nécessaires pour garantir les droits des personnes physiques en mettant en place des solutions techniques nationales, régionales et locales telles que des systèmes de DME, des systèmes d’intermédiation de données et des portails patients nationaux. Ce faisant, elles devraient appliquer à ces solutions des normes et des spécifications communes, promouvoir l’application de ces normes et spécifications dans les marchés publics et utiliser d’autres moyens innovants, y compris le remboursement des solutions qui sont conformes aux exigences d’interopérabilité et de sécurité de l’EHDS. Pour mener à bien leurs missions, les autorités de santé numérique devraient coopérer, au niveau national et de l’UE, avec d’autres entités, notamment les organismes d’assurance, les prestataires de soins de santé, les fabricants de systèmes de DME et d’applications de bien-être, ainsi qu’avec les parties prenantes du secteur de la santé ou des technologies de l’information, les entités chargées des régimes de remboursement, les organismes d’évaluation des technologies de la santé, les autorités et agences de réglementation des médicaments, les autorités chargées des dispositifs médicaux, les acheteurs et les autorités chargées de la cybersécurité ou de l’identification électronique.

(23)

Les autorités de santé numérique devraient disposer des compétences techniques suffisantes, en rassemblant éventuellement des experts de différentes organisations. Les activités des autorités de santé numérique devraient être bien organisées et contrôlées afin de garantir leur efficacité. Les autorités de santé numérique devraient prendre les mesures nécessaires pour garantir les droits des personnes physiques en mettant en place des solutions techniques nationales, régionales et locales telles que des systèmes de DME, des systèmes d’intermédiation de données et des portails patients nationaux. Ce faisant, elles devraient appliquer à ces solutions des normes et des spécifications communes, promouvoir l’application de ces normes et spécifications dans les marchés publics et utiliser d’autres moyens innovants, y compris le remboursement des solutions qui sont conformes aux exigences d’interopérabilité et de sécurité de l’EHDS. Les États membres devraient veiller à ce que des initiatives de formation appropriées soient engagées. Il convient notamment d’informer les professionnels de la santé de leurs droits et de leurs obligations en vertu du présent règlement ainsi que de les y former. Pour mener à bien leurs missions, les autorités de santé numérique devraient coopérer, au niveau national et de l’UE, avec d’autres entités, notamment les organismes d’assurance, les prestataires de soins de santé , les professionnels de la santé , les fabricants de systèmes de DME et d’applications de bien-être, ainsi qu’avec les autres parties prenantes du secteur de la santé ou des technologies de l’information, les entités chargées des régimes de remboursement, les organismes d’évaluation des technologies de la santé, les autorités et agences de réglementation des médicaments, les autorités chargées des dispositifs médicaux, les acheteurs et les autorités chargées de la cybersécurité ou de l’identification électronique.

(24)

L’accès aux données de santé électroniques et leur transmission sont importants dans les situations de soins de santé transfrontières, car ils peuvent favoriser la continuité des soins lorsque des personnes physiques se rendent dans d’autres États membres ou changent de lieu de résidence. La continuité des soins et l’accès rapide aux données de santé électroniques à caractère personnel sont encore plus importants pour les résidents de régions frontalières, qui franchissent fréquemment une frontière pour recevoir des soins de santé. Dans de nombreuses régions frontalières, certains services de soins de santé spécialisés sont plus proches de l’autre côté de la frontière que dans le même État membre. Une infrastructure est nécessaire pour transmettre les données de santé électroniques à caractère personnel entre pays, par exemple lorsqu’une personne physique a recours aux services d’un prestataire de soins de santé établi dans un autre État membre. L’infrastructure MaSanté@UE (MyHealth@EU) a été établie à cet effet, sur la base du volontariat, dans le cadre des actions prévues à l’article 14 de la directive 2011/24/UE. Grâce à MaSanté@UE (MyHealth@EU), les États membres ont commencé à offrir aux personnes physiques la possibilité de communiquer leurs données de santé électroniques à caractère personnel à des prestataires de soins de santé lorsqu’elles sont en déplacement à l’étranger. Pour renforcer ces possibilités, la participation des États membres à l’infrastructure numérique MaSanté@UE (MyHealth@EU) devrait devenir obligatoire. Tous les États membres devraient adhérer à l’infrastructure et y connecter les prestataires de soins de santé et les pharmacies, car c’est une étape nécessaire à la mise en œuvre des droits des personnes physiques d’accéder à leurs données de santé électroniques à caractère personnel et de les utiliser, quel que soit l’État membre où elles se trouvent. L’infrastructure devrait être progressivement étendue pour prendre en charge d’autres catégories de données de santé électroniques.

(24)

L’accès aux données de santé électroniques et leur transmission sont importants dans les situations de soins de santé transfrontières, car ils peuvent favoriser la continuité des soins lorsque des personnes physiques se rendent dans d’autres États membres ou changent de lieu de résidence. La continuité des soins et l’accès rapide aux données de santé électroniques à caractère personnel sont encore plus importants pour les résidents de régions frontalières, qui franchissent fréquemment une frontière pour recevoir des soins de santé. Dans de nombreuses régions frontalières, certains services de soins de santé spécialisés sont plus proches de l’autre côté de la frontière que dans le même État membre. Une infrastructure est nécessaire pour transmettre les données de santé électroniques à caractère personnel entre pays, par exemple lorsqu’une personne physique a recours aux services d’un prestataire de soins de santé établi dans un autre État membre. L’infrastructure MaSanté@UE (MyHealth@EU) a été établie à cet effet, sur la base du volontariat, dans le cadre des actions prévues à l’article 14 de la directive 2011/24/UE. Grâce à MaSanté@UE (MyHealth@EU), les États membres ont commencé à offrir aux personnes physiques la possibilité de communiquer leurs données de santé électroniques à caractère personnel à des prestataires de soins de santé lorsqu’elles sont en déplacement à l’étranger. Pour renforcer ces possibilités, la participation des États membres à l’infrastructure numérique MaSanté@UE (MyHealth@EU) devrait devenir obligatoire. Tous les États membres devraient adhérer à l’infrastructure et y connecter les prestataires de soins de santé et les pharmacies, car c’est une étape nécessaire à la mise en œuvre des droits des personnes physiques d’accéder à leurs données de santé électroniques à caractère personnel et de les utiliser, quel que soit l’État membre où elles se trouvent. L’infrastructure devrait être progressivement étendue pour prendre en charge d’autres catégories de données de santé électroniques , et un financement ainsi que d’autres formes de soutien au niveau de l’Union devraient être envisagés .

(25)

Dans le contexte de MaSanté@UE (MyHealth@EU), une plateforme centrale devrait fournir une infrastructure commune aux États membres pour assurer la connectivité et l’interopérabilité de manière efficace et sécurisée. Afin de garantir le respect des règles de protection des données et de fournir un cadre de gestion des risques pour la transmission des données de santé électroniques à caractère personnel, la Commission devrait, au moyen d’actes d’exécution, répartir les responsabilités spécifiques entre les États membres, en tant que responsables conjoints du traitement, et prescrire ses propres obligations, en tant que sous-traitant.

(25)

Dans le contexte de MaSanté@UE (MyHealth@EU), une plateforme centrale devrait fournir une infrastructure commune aux États membres pour assurer la connectivité et l’interopérabilité de manière efficace et sécurisée. Afin de garantir le respect des règles de protection des données et de fournir un cadre de gestion des risques pour la transmission des données de santé électroniques à caractère personnel, la Commission devrait, au moyen d’actes d’exécution, répartir les responsabilités spécifiques , assorties d’objectifs temporels, entre les États membres, en tant que responsables conjoints du traitement, et prescrire ses propres obligations, en tant que sous-traitant.

(26)

Outre les services offerts par MaSanté@UE (MyHealth@EU) pour l’échange de données de santé électroniques à caractère personnel sur la base du format européen d’échange des dossiers médicaux électroniques, d’autres services ou infrastructures supplémentaires peuvent être nécessaires, par exemple en cas d’urgence de santé publique ou lorsque l’architecture de MaSanté@UE (MyHealth@EU) ne convient pas à la mise en œuvre de certains cas d’utilisation. Voici des exemples de cas d’utilisation: les fonctionnalités d’assistance en matière de cartes de vaccination, y compris l’échange d’informations sur les plans de vaccination, ou la vérification des certificats de vaccination ou d’autres certificats liés à la santé. Cela serait également essentiel pour l’ajout de fonctionnalités permettant de gérer les crises de santé publique, telles que le soutien à la recherche des contacts en vue de contenir les maladies infectieuses. La connexion des points de contact nationaux pour la santé numérique de pays tiers ainsi que l’interopérabilité avec les systèmes numériques établis au niveau international devraient être soumises à un contrôle garantissant la conformité du point de contact national avec les spécifications techniques, les règles de protection des données et les autres exigences de MaSanté@UE (MyHealth@EU). La décision de connecter un point de contact national d’un pays tiers devrait être prise par les responsables du traitement des données au sein du groupe de responsabilité conjointe du traitement pour MaSanté@UE (MyHealth@EU).

(26)

Outre les services offerts par MaSanté@UE (MyHealth@EU) pour l’échange de données de santé électroniques à caractère personnel sur la base du format européen d’échange des dossiers médicaux électroniques, d’autres services ou infrastructures supplémentaires peuvent être nécessaires, par exemple en cas d’urgence de santé publique ou lorsque l’architecture de MaSanté@UE (MyHealth@EU) ne convient pas à la mise en œuvre de certains cas d’utilisation. Voici des exemples de cas d’utilisation: les fonctionnalités d’assistance en matière de cartes de vaccination, y compris l’échange d’informations sur les plans de vaccination, ou la vérification des certificats de vaccination ou d’autres certificats liés à la santé. Cela serait également essentiel pour l’ajout de fonctionnalités permettant de gérer les crises de santé publique, telles que le soutien à la recherche des contacts en vue de contenir les maladies infectieuses.

(34 bis)

Les systèmes de DME pourraient être considérés comme des dispositifs médicaux au titre du règlement (UE) 2017/745 ou des dispositifs de diagnostic in vitro au titre du règlement (UE) 2017/746 du Parlement européen et du Conseil (1 bis). Bien que ces systèmes de DME doivent répondre aux exigences de chacun des règlements applicables, les États membres devraient prendre les mesures appropriées pour que l’évaluation de conformité respective soit réalisée dans le cadre d’une procédure conjointe ou coordonnée, selon le cas, notamment en encourageant les mêmes organismes notifiés à se charger de l’évaluation de conformité au titre de chacun des règlements applicables.

(35)

Les utilisateurs d’applications de bien-être, telles que les applications mobiles, devraient être informés de la capacité de ces applications à être connectées et à fournir des données aux systèmes de DME ou aux solutions nationales de santé électronique, dans les cas où les données produites par les applications de bien-être sont utiles à des fins de soins de santé. La capacité de ces applications à exporter des données dans un format interopérable est également pertinente à des fins de portabilité des données. Le cas échéant, les utilisateurs devraient être informés de la conformité de ces applications aux exigences d’interopérabilité et de sécurité. Toutefois, étant donné le grand nombre d’applications de bien-être et la pertinence limitée, à des fins de soins de santé, des données produites par nombre d’entre elles, un système de certification ne serait pas proportionné pour ces applications C’est donc un système d’étiquetage facultatif qui devrait être établi pour garantir la transparence en matière de conformité aux exigences aux utilisateurs d’applications de bien-être, leur permettant ainsi de choisir des applications de bien-être appropriées qui respectent des normes élevées d’interopérabilité et de sécurité. La Commission peut , dans des actes d’exécution, définir les détails concernant le format et le contenu de ce système d’étiquetage.

(35)

Les utilisateurs d’applications de bien-être, telles que les applications mobiles, devraient être informés de la capacité de ces applications à être connectées et à fournir des données aux systèmes de DME ou aux solutions nationales de santé électronique, dans les cas où les données produites par les applications de bien-être sont utiles à des fins de soins de santé. La capacité de ces applications à exporter des données dans un format interopérable est également pertinente à des fins de portabilité des données. Le cas échéant, les utilisateurs devraient être informés de la conformité de ces applications aux exigences d’interopérabilité et de sécurité. Toutefois, étant donné le grand nombre d’applications de bien-être et la pertinence limitée, à des fins de soins de santé, des données produites par nombre d’entre elles, un système de certification ne serait pas proportionné pour ces applications C’est donc un système d’étiquetage obligatoire qui devrait être établi pour les applications de bien-être qui revendiquent l’interopérabilité avec les systèmes de DME afin de garantir la transparence en matière de conformité aux exigences aux utilisateurs d’applications de bien-être, leur permettant ainsi de choisir des applications de bien-être appropriées qui respectent des normes élevées d’interopérabilité et de sécurité. La Commission devrait , dans des actes d’exécution, définir les détails concernant le format et le contenu de ce système d’étiquetage.

(36 bis)

Il convient d’encourager l’adoption de données réelles et de données probantes réelles, y compris les résultats rapportés par les patients, à des fins réglementaires et politiques fondées sur des données probantes ainsi qu’à des fins de recherche, d’évaluation des technologies de la santé et à des fins cliniques. Les données réelles et les données probantes réelles sont susceptibles de compléter les données de sante actuellement mises à disposition.

(37)

Pour l’utilisation secondaire des données cliniques à des fins de recherche, d’innovation, d’élaboration de politiques, de réglementation, de sécurité des patients ou de traitement d’autres personnes physiques, il convient de se fonder sur les possibilités offertes par le règlement (UE) 2016/679 pour un droit de l’UE , dont les règles et les mécanismes prévoient des mesures appropriées et spécifiques pour garantir les droits et les libertés des personnes physiques. Le présent règlement fournit la base juridique conformément à l’article 9, paragraphe 2, points g), h), i) et j), du règlement (UE) 2016/679 pour l’utilisation secondaire des données de santé, en établissant les garanties pour le traitement des données à des fins licites, pour la gouvernance fiable de l’accès aux données de santé (par l’intermédiaire d’organismes d’accès aux données de santé) et pour le traitement dans un environnement sécurisé, ainsi que les modalités de traitement des données, énoncées dans l’autorisation de traitement de données. Dans le même temps, toute personne qui demande à accéder à des données devrait démontrer l’existence d’une base juridique, conformément à l’article 6 du règlement (UE) 2016/679, qui lui permettrait de demander l’accès aux données en vertu du présent règlement et devrait remplir les conditions énoncées au chapitre IV. Plus précisément, pour le traitement des données de santé électroniques détenues par la personne concernée en vertu du présent règlement, ce dernier crée, pour le détenteur de données, l’obligation juridique au sens de l’article 6, paragraphe 1, point c), du règlement (UE) 2016/679 de divulguer les données aux organismes d’accès aux données de santé, tandis que la base juridique aux fins du traitement initial (par exemple, la prestation de soins) n’est pas affectée. Le présent règlement répond également aux conditions dudit traitement conformément à l’article 9, paragraphe 2, points h), i), j), du règlement (UE) 2016/679. Le présent règlement attribue des tâches d’intérêt public aux organismes d’accès aux données de santé (gestion de l’environnement de traitement sécurisé, traitement des données avant leur utilisation, etc.) au sens de l’article 6, paragraphe 1, point e), du règlement (UE) 2016/679, et répond aux conditions de l’article 9, paragraphe 2, points h), i), j), du règlement (UE) 2016/679. Par conséquent, en l’espèce, le présent règlement fournit la base juridique conformément à l’article 6 et répond aux exigences de l’article 9 dudit règlement relatif aux conditions dans lesquelles les données de santé électroniques peuvent être traitées. Dans le cas où l’utilisateur de données a accès à des données de santé électroniques (pour une utilisation secondaire des données en vue de l’une des finalités définies dans le présent règlement), l’utilisateur de données devrait démontrer l’existence d’une base juridique conformément à l’article 6, paragraphe 1, points e) ou f), du règlement (UE) 2016/679 et expliquer la base juridique spécifique sur laquelle il se fonde dans le cadre de la demande d’accès aux données de santé électroniques en vertu du présent règlement, sur la base de la législation applicable, lorsque la base juridique en vertu du règlement (UE) 2016/679 est l’article 6, paragraphe 1, point e), ou l’article 6, paragraphe 1, point f), du règlement (UE) 2016/679. Si l’utilisateur se fonde sur une base juridique fixée à l’article 6, paragraphe 1, point e), il devrait également faire référence à une loi nationale ou un acte législatif du droit européen autres que le présent règlement qui lui confient le droit de traiter des données de santé à caractère personnel à des fins de conformité dans l’exercice de ses missions. Si le motif légal du traitement par l’utilisateur est l’article 6, paragraphe 1, point f), du règlement (UE) 2016/679, c’est le présent règlement qui fournit les garanties. Dans ce contexte, les autorisations de traitement de données délivrées par les organismes d’accès aux données de santé constituent une décision administrative définissant les conditions d’accès aux données.

(37)

Pour l’utilisation secondaire des données de santé électroniques à caractère personnel à des fins de recherche, d’innovation, d’élaboration de politiques, de réglementation, de sécurité des patients ou de traitement d’autres personnes physiques, il convient de se fonder sur les possibilités offertes par le règlement (UE) 2016/679 pour un droit de l’UE afin d’établir des règles et des mécanismes qui prévoient des mesures appropriées et spécifiques pour garantir les droits et les libertés des personnes physiques. Pour le traitement des données de santé électroniques à des fins d’utilisation secondaire, une des bases juridiques définies à l’article 6, paragraphe 1, points a), c), e) ou f), du règlement (UE) 2016/679, lu en combinaison avec l’article 9, paragraphe 2, de ce règlement, devrait être requise. Les motifs de traitement les plus pertinents énumérés à l’article 9, paragraphe 2, du règlement (UE) 2016/679 dans ce contexte sont l’intérêt public important, la prise en charge sanitaire ou sociale, l’intérêt public dans le domaine de la santé publique et la recherche. En conséquence, le présent règlement fournit la base juridique conformément à l’article 6 et à l’article 9, paragraphe 2, points g), h), i) et j), du règlement (UE) 2016/679 pour l’utilisation secondaire des données de santé, en établissant les garanties pour le traitement des données à des fins licites, pour la gouvernance fiable de l’accès aux données de santé (par l’intermédiaire d’organismes d’accès aux données de santé) et pour le traitement dans un environnement sécurisé, ainsi que les modalités de traitement des données, énoncées dans l’autorisation de traitement de données. Plus précisément, pour le traitement des données de santé électroniques détenues par le détenteur de données de santé en vertu du présent règlement, ce dernier crée, pour le détenteur de données de santé , l’obligation juridique au sens de l’article 6, paragraphe 1, point c), du règlement (UE) 2016/679 de divulguer les données aux organismes d’accès aux données de santé, tandis que la base juridique aux fins du traitement initial (par exemple, la prestation de soins) n’est pas affectée. Le présent règlement attribue des tâches d’intérêt public aux organismes d’accès aux données de santé (gestion de l’environnement de traitement sécurisé, traitement des données avant leur utilisation, etc.) au sens de l’article 6, paragraphe 1, point e), du règlement (UE) 2016/679, et répond aux conditions de l’article 9, paragraphe 2, points g), h), i), j), du règlement (UE) 2016/679. Dans le même temps, l’organisme responsable de l’accès aux données de santé devrait vérifier le respect des conditions de l’article 6 du règlement (UE) 2016/679, lu en combinaison avec l’article 9, paragraphe 2, de ce règlement, sur la base de quoi il devrait être en mesure de délivrer une autorisation de traitement des données de santé électroniques à caractère personnel conformément au présent règlement qui devrait répondre aux exigences et aux conditions énoncées au chapitre IV du présent règlement.

(37 bis)

Dans le cas où l’utilisateur de données de santé a accès à des données de santé électroniques pour une utilisation secondaire des données en vue de l’une des finalités définies dans le présent règlement, l’utilisateur de données de santé devrait apporter la preuve du motif juridique spécifique sur lequel il se fonde dans le cadre de la demande d’accès aux données de santé électroniques en vertu du présent règlement, à savoir sur la base de la législation applicable, lorsque la base juridique en vertu du règlement (UE) 2016/679 est l’article 6, paragraphe 1, point e), ou l’article 6, paragraphe 1, point f), de ce règlement. Si l’utilisateur de données de santé se fonde sur un motif prévu à l’article 6, paragraphe 1, point e), il devrait faire référence à une autre loi nationale ou à un autre acte législatif du droit de l’Union qui lui confient le droit de traiter des données de santé à caractère personnel à des fins de conformité dans l’exercice de ses missions. Si le motif du traitement par l’utilisateur de données de santé est l’article 6, paragraphe 1, point f), du règlement (UE) 2016/679, il y a lieu de définir des garanties appropriées et nécessaires conformément au présent règlement. Dans ce contexte, les autorisations de traitement de données délivrées par les organismes responsables de l’accès aux données de santé devraient constituer une décision administrative définissant les conditions d’accès aux données.

(38)

Dans le contexte de l’EHDS, les données de santé électroniques existent déjà et sont collectées par des prestataires de soins de santé, des organisations professionnelles, des institutions publiques, des organismes de réglementation, des chercheurs, des assureurs et autres, dans le cadre de leurs activités. Certaines catégories de données sont collectées principalement pour la prestation de soins de santé (par exemple, les dossiers médicaux électroniques, les données génétiques, les données relatives aux demandes de remboursement, etc.), et d’autres le sont à d’autres fins telles que la recherche, les statistiques, la sécurité des patients, les activités réglementaires ou l’élaboration de politiques (par exemple, les registres de maladies, les registres d’élaboration de politiques, les registres concernant les effets secondaires des médicaments ou des dispositifs médicaux, etc.). Par exemple, des bases de données européennes qui facilitent l’utilisation ou la réutilisation des données sont disponibles dans certains domaines, tels que le cancer (système européen d’information sur le cancer) ou les maladies rares (plateforme européenne d’enregistrement des maladies rares, registres des réseaux européens de référence, etc.). Ces données devraient également être mises à disposition pour une utilisation secondaire. Toutefois, une grande partie des données existantes relatives à la santé ne sont pas mises à disposition à des fins autres que celles pour lesquelles elles ont été collectées. Cela limite la capacité des chercheurs, des innovateurs, des décideurs politiques, des organismes de réglementation et des médecins à les utiliser à différentes fins, dont la recherche, l’innovation, l’élaboration de politiques, la réglementation, la sécurité des patients ou la médecine personnalisée. Afin d’exploiter pleinement les avantages de l’utilisation secondaire des données de santé électroniques, tous les détenteurs de données devraient contribuer à cet effort en mettant à disposition les différentes catégories de données de santé électroniques qu’ils détiennent en vue d’une utilisation secondaire.

(38)

Dans le contexte de l’EHDS, les données de santé électroniques existent déjà et sont collectées par des prestataires de soins de santé, des organisations professionnelles, des institutions publiques, des organismes de réglementation, des chercheurs, des assureurs et autres, dans le cadre de leurs activités. Certaines catégories de données sont collectées principalement pour la prestation de soins de santé (par exemple, les dossiers médicaux électroniques, les données génétiques, les données relatives aux demandes de remboursement, etc.), et d’autres le sont à d’autres fins telles que la recherche, les statistiques, la sécurité des patients, les activités réglementaires ou l’élaboration de politiques (par exemple, les registres de maladies, les registres d’élaboration de politiques, les registres concernant les effets secondaires des médicaments ou des dispositifs médicaux, etc.). Par exemple, des bases de données européennes qui facilitent l’utilisation ou la réutilisation des données sont disponibles dans certains domaines, tels que le cancer (système européen d’information sur le cancer) ou les maladies rares (plateforme européenne d’enregistrement des maladies rares, registres des réseaux européens de référence, etc.). Ces données devraient également être mises à disposition pour une utilisation secondaire. Toutefois, une grande partie des données existantes relatives à la santé ne sont pas mises à disposition à des fins autres que celles pour lesquelles elles ont été collectées. Cela limite la capacité des chercheurs, des innovateurs, des décideurs politiques, des organismes de réglementation et des médecins à les utiliser à différentes fins, dont la recherche, l’innovation, l’élaboration de politiques, la réglementation, la sécurité des patients ou la médecine personnalisée. Afin d’exploiter pleinement les avantages de l’utilisation secondaire des données de santé électroniques, tous les détenteurs de données de santé devraient contribuer à cet effort en mettant à disposition les différentes catégories de données de santé électroniques qu’ils détiennent en vue d’une utilisation secondaire , à condition que cet effort soit toujours mis en œuvre au moyen de processus efficaces et sécurisés, comme l’agrégation et la randomisation, et dans le respect des obligations professionnelles, comme les obligations de confidentialité .

(39)

Les catégories de données de santé électroniques pouvant être traitées en vue d’une utilisation secondaire devraient être suffisamment larges et flexibles pour s’adapter à l’évolution des besoins des utilisateurs de données, tout en restant des données liées à la santé ou connues pour avoir une influence sur la santé. Il peut également s’agir de données pertinentes provenant du système de santé (dossiers médicaux électroniques, données relatives aux demandes de remboursement, registres de maladies, données génomiques, etc.), ainsi que de données ayant une incidence sur la santé (par exemple, la consommation de différentes substances, l’état de sans-abri, l’assurance maladie, le revenu minimum, le statut professionnel , le comportement ou les facteurs environnementaux, notamment la pollution, le rayonnement ionisant, l’utilisation de certaines substances chimiques). Il peut s’agir aussi de données générées par la personne, telles que des données provenant de dispositifs médicaux, d’applications de bien-être ou d’autres dispositifs portables et applications de santé numérique . L’utilisateur de données qui bénéficie de l’accès aux ensembles de données fournis en vertu du présent règlement pourrait enrichir les données par diverses corrections, annotations et autres améliorations, par exemple en complétant les données manquantes ou incomplètes, améliorant ainsi l’exactitude, l’exhaustivité ou la qualité des données dans l’ensemble de données. Afin de renforcer l’amélioration de la base de données d’origine et l’utilisation ultérieure de l’ensemble de données enrichi, l’ensemble de données avec ces améliorations et une description des modifications devraient être mis gratuitement à la disposition du détenteur des données d’origine. Le détenteur de données devrait mettre à disposition le nouvel ensemble de données, à moins qu’il n’adresse une notification justifiée à l’organisme d’accès aux données de santé, par exemple en cas de mauvaise qualité de l’enrichissement des données. L’utilisation secondaire des données électroniques à caractère non personnel devrait également être garantie. En particulier, les données génomiques sur les agents pathogènes ont une valeur importante pour la santé humaine, comme l’a montré la pandémie de COVID-19. L’accès rapide à ces données et leur partage se sont avérés essentiels pour l’élaboration rapide d’outils de détection, de contre-mesures médicales et de réactions aux menaces pour la santé publique. Le plein potentiel des données génomiques sur les agents pathogènes sera exploitable lorsque les sous-traitants dans les domaines de la santé publique et de la recherche partageront les ensembles de données et travailleront en collaboration pour s’informer et s’améliorer mutuellement.

(39)

Les catégories de données de santé électroniques pouvant être traitées en vue d’une utilisation secondaire devraient être suffisamment larges et flexibles pour s’adapter à l’évolution des besoins des utilisateurs de données de santé , tout en restant des données liées à la santé ou connues pour avoir une influence sur la santé. Il peut également s’agir de données pertinentes provenant du système de santé (dossiers médicaux électroniques, données relatives aux demandes de remboursement, registres de maladies, données génomiques, etc.), ainsi que de données ayant une incidence sur la santé (par exemple, la consommation de différentes substances, le statut socioéconomique , le comportement ou les facteurs environnementaux, notamment la pollution, le rayonnement ionisant, l’utilisation de certaines substances chimiques). Il peut s’agir aussi de données provenant de dispositifs médicaux générées automatiquement et de données générées par la personne, telles que des données provenant d’applications de bien-être. L’utilisateur de données qui bénéficie de l’accès aux ensembles de données fournis en vertu du présent règlement pourrait enrichir les données par diverses corrections, annotations et autres améliorations, par exemple en complétant les données manquantes ou incomplètes, améliorant ainsi l’exactitude, l’exhaustivité ou la qualité des données dans l’ensemble de données. Les utilisateurs de données de santé devraient être encouragés à signaler aux organismes responsables de l’accès aux données de santé les erreurs critiques figurant dans les ensembles de données. Afin de renforcer l’amélioration de la base de données d’origine et l’utilisation ultérieure de l’ensemble de données enrichi, l’ensemble de données avec ces améliorations et une description des modifications devraient être mis gratuitement à la disposition du détenteur des données d’origine. Le détenteur de données devrait mettre à disposition le nouvel ensemble de données, à moins qu’il n’adresse une notification justifiée à l’organisme d’accès aux données de santé, par exemple en cas de mauvaise qualité de l’enrichissement des données. L’utilisation secondaire des données électroniques à caractère non personnel devrait également être garantie. En particulier, les données génomiques sur les agents pathogènes ont une valeur importante pour la santé humaine, comme l’a montré la pandémie de COVID-19. L’accès rapide à ces données et leur partage se sont avérés essentiels pour l’élaboration rapide d’outils de détection, de contre-mesures médicales et de réactions aux menaces pour la santé publique. Le plein potentiel des données génomiques sur les agents pathogènes sera exploitable lorsque les sous-traitants dans les domaines de la santé publique et de la recherche partageront les ensembles de données et travailleront en collaboration pour s’informer et s’améliorer mutuellement.

(39 bis)

Afin de garantir la confiance dans la relation entre le patient et le médecin, le principe du secret professionnel et du droit du patient à la confidentialité devrait être garanti lors de la numérisation des services de soins de santé. Une relation de confiance entre les patients, d’une part, et les professionnels de la santé, les prestataires de soins de santé et les autres détenteurs de données de santé à caractère personnel, d’autre part, est un élément primordial de tout traitement et de toute prise en charge sanitaire ou sociale. C’est dans ce contexte que le patient ou le représentant légal du patient devrait avoir son mot à dire dans le traitement de ses données de santé à des fins d’utilisation secondaire sous la forme d’un droit d’opposition au traitement de tout ou partie de ses données de santé aux fins de toutes les utilisations secondaires ou de certaines d’entre elles. À cet égard, il convient de prévoir un mécanisme d’opposition facilement compréhensible et accessible dans un format convivial. Toutefois, compte tenu du caractère sensible des données génétiques, génomiques et protéomiques humaines, des données provenant de biobanques et de la nature de l’utilisation des données provenant d’applications de bien-être, il convient de prévoir que l’utilisation secondaire de ces données ne puisse avoir lieu qu’après le consentement de la personne physique concernée au sens de l’article 4, point 11), du règlement (UE) 2016/679. Il convient d’envisager un mécanisme d’opposition par lequel les personnes concernées donnent explicitement leur consentement ou leur autorisation au traitement d’une partie ou de la totalité de ces données aux fins de toutes les utilisations secondaires ou de certaines d’entre elles. Lorsque les personnes concernées donnent leur consentement explicite à l’utilisation d’une partie ou de la totalité de ces données aux fins de toutes les utilisations secondaires ou de certaines d’entre elles, elles devraient être informées du caractère sensible des données qu’elles partagent. En outre, il est impératif que les personnes physiques bénéficient d’informations suffisantes à propos de leur droit d’opposition, et notamment de la possibilité de reconsidérer ce choix et de consentir au traitement ultérieur de tout en partie de leurs données de santé à des fins d’utilisation secondaire.

(40)

Les détenteurs de données peuvent être des prestataires de soins ou de santé publics, privés ou à but non lucratif, des organisations publiques, privées ou à but non lucratif, des associations ou d’autres entités publiques ou privées qui effectuent des recherches dans le domaine de la santé et qui traitent les catégories de données de santé et relatives à la santé mentionnées ci-dessus. Afin d’éviter toute charge disproportionnée sur les petites entités, les microentreprises sont exemptées de l’obligation de mettre à disposition leurs données pour une utilisation secondaire dans le cadre de l’EHDS. Les entités publiques ou privées reçoivent souvent un financement public, provenant de fonds nationaux ou de l’UE, pour collecter et traiter des données de santé électroniques à des fins de recherche, de statistiques (officielles ou non) ou à d’autres fins similaires, y compris dans des domaines où la collecte de ces données est fragmentée ou difficile, comme les maladies rares, le cancer, etc. Ces données, collectées et traitées par les détenteurs de données avec le soutien de fonds publics nationaux ou de l’UE, devraient être mises à la disposition des organismes d’accès aux données de santé par les détenteurs de données, afin de maximiser les effets de l’investissement public et de soutenir la recherche, l’innovation, la sécurité des patients ou l’élaboration de politiques au bénéfice de la société. Dans certains États membres, les entités privées, notamment les prestataires de soins de santé privés et les organisations professionnelles, jouent un rôle central dans le secteur de la santé. Les données de santé détenues par ces prestataires devraient également être mises à disposition pour une utilisation secondaire. Parallèlement, les données faisant l’objet d’une protection juridique spécifique, comme les droits de propriété intellectuelle des entreprises de dispositifs médicaux ou des sociétés pharmaceutiques, bénéficient souvent de la protection du droit d’auteur ou équivalent. Toutefois, les autorités publiques et les organismes de réglementation devraient avoir accès à ces données, par exemple en cas de pandémie, pour détecter les dispositifs défectueux et protéger la santé humaine. En période de crise de santé publique (par exemple, la fraude liée aux prothèses mammaires PIP), il s’est déjà avéré très difficile pour les autorités publiques d’accéder à de telles données et de comprendre les causes des défauts de certains dispositifs ou de déterminer si le fabricant en avait connaissance. La pandémie de COVID-19 a également révélé la difficulté pour les décideurs politiques d’accéder aux données de santé et autres données relatives à la santé. Ces données devraient être mises à disposition pour les activités publiques et réglementaires afin d’aider les organismes publics à remplir leur mandat légal, tout en respectant, le cas échéant et si possible, la protection dont bénéficient les données commerciales. Des règles spécifiques relatives à l’utilisation secondaire des données de santé devraient être prévues. Des activités d’altruisme en matière de données peuvent être menées par différentes entités, dans le cadre du règlement […] [acte sur la gouvernance des données, COM (2020) 767 final] et compte tenu des spécificités du secteur de la santé.

(40)

Dans le cadre de l’utilisation secondaire des données de santé électroniques, les détenteurs de données de santé peuvent être des prestataires de soins ou de santé publics, privés ou à but non lucratif, des organisations publiques, privées ou à but non lucratif, des associations ou d’autres entités publiques ou privées qui effectuent des recherches dans le domaine de la santé et qui traitent les catégories de données de santé et relatives à la santé mentionnées ci-dessus. Dans le mesure où ils traitent des données de santé électroniques à caractère personnel, les détenteurs de données de santé sont des responsables du traitement au sens du règlement (UE) 2016/679 dans le secteur de la santé ou des soins. Afin d’éviter toute charge disproportionnée sur les petites entités, les microentreprises sont exemptées de l’obligation de mettre à disposition leurs données pour une utilisation secondaire dans le cadre de l’EHDS. Les organismes responsables de l’accès aux données de santé devraient proposer une aide spécifique aux petites entreprises, et notamment aux médecins et aux pharmacies, pour qu’ils puissent satisfaire à l’obligation qui leur incombe de mettre les données à disposition pour une utilisation secondaire. Les entités publiques ou privées reçoivent souvent un financement public, provenant de fonds nationaux ou de l’UE, pour collecter et traiter des données de santé électroniques à des fins de recherche, de statistiques (officielles ou non) ou à d’autres fins similaires, y compris dans des domaines où la collecte de ces données est fragmentée ou difficile, comme les maladies rares, le cancer, etc. Ces données, collectées et traitées par les détenteurs de données de santé avec le soutien de fonds publics nationaux ou de l’UE, devraient être mises à la disposition des organismes d’accès aux données de santé par les détenteurs de données de santé , afin de maximiser les effets de l’investissement public et de soutenir la recherche, l’innovation, la sécurité des patients ou l’élaboration de politiques au bénéfice de la société. Dans certains États membres, les entités privées, notamment les prestataires de soins de santé privés et les organisations professionnelles, jouent un rôle central dans le secteur de la santé. Les données de santé détenues par ces prestataires devraient également être mises à disposition pour une utilisation secondaire. Parallèlement, les données faisant l’objet d’une protection juridique spécifique, comme les droits de propriété intellectuelle des entreprises de dispositifs médicaux ou des sociétés pharmaceutiques, bénéficient souvent de la protection du droit d’auteur ou équivalent et devraient être mises à disposition en adoptant toutes les mesures nécessaires à la protection de ces droits . Toutefois, les autorités publiques et les organismes de réglementation devraient avoir accès à ces données, par exemple en cas de pandémie, pour détecter les dispositifs défectueux et protéger la santé humaine. En période de crise de santé publique (par exemple, la fraude liée aux prothèses mammaires PIP), il s’est déjà avéré très difficile pour les autorités publiques d’accéder à de telles données et de comprendre les causes des défauts de certains dispositifs ou de déterminer si le fabricant en avait connaissance. La pandémie de COVID-19 a également révélé la difficulté pour les décideurs politiques d’accéder aux données de santé et autres données relatives à la santé. Ces données devraient être mises à disposition pour les activités publiques et réglementaires afin d’aider les organismes publics à remplir leur mandat légal, tout en respectant, le cas échéant et si possible, la protection dont bénéficient les données commerciales. Des règles spécifiques relatives à l’utilisation secondaire des données de santé devraient être prévues. Des activités d’altruisme en matière de données peuvent être menées par différentes entités, dans le cadre du règlement […] [acte sur la gouvernance des données, COM (2020) 767 final] et compte tenu des spécificités du secteur de la santé.

(40 bis)

Les divers groupes démographiques présentent des niveaux variables de compétences numériques, ce qui peut entraver la capacité des personnes physiques à exercer leurs droits à contrôler leurs données de santé électroniques. Outre le droit des personnes physiques d’autoriser une autre personne physique de leur choix à accéder à leurs données de santé électroniques ou à les contrôler en leur nom, les États membres devraient créer des programmes nationaux ciblés de maîtrise des outils numériques, dont des programmes destinés à maximiser l’inclusion sociale et à veiller à ce que toutes les personnes physiques puissent effectivement exercer les droits que leur confère le présent règlement. Les États membres devraient également fournir aux personnes physiques des orientations centrées sur le patient en ce qui concerne l’utilisation des dossiers médicaux électroniques et l’utilisation primaire de leurs données de santé électroniques à caractère personnel. Les orientations devraient être adaptées au niveau de maîtrise des outils numériques de santé des patients en tenant tout particulièrement compte des besoins des groupes vulnérables.

(40 ter)

Les essais et les études cliniques sont d’une importance primordiale pour encourager l’innovation dans l’Union au profit des patients de l’Union. Afin d’encourager l’Union à préserver sa prééminence dans ce domaine, le partage des données issues d’essais cliniques par l’intermédiaire de l’EHDS à des fins d’utilisation secondaire devrait être compatible avec les dispositions pertinentes en matière de transparence définies dans le droit de l’Union, et notamment dans le règlement (UE) .../... [proposition de règlement concernant les normes de qualité et de sécurité des substances d’origine humaine destinées à une application humaine (SoHO) COM(2022)338 final], le règlement (CE) no 726/2004 du Parlement européen et du Conseil (1bis), le règlement (UE) 2019/6 du Parlement européen et du Conseil (1ter) et la directive 2001/83/CE du Parlement européen et du Conseil (1quater) concernant les médicaments à usage vétérinaire et à usage humain et instituant l’EMA, le règlement (CE) no 141/2000 du Parlement européen et du Conseil (1quinquies) relatif aux médicaments destinés aux maladies rares («médicaments orphelins»), le règlement (CE) no 1901/2006 du Parlement européen et du Conseil (1sexies) relatif aux médicaments destinés aux enfants, le règlement (CE) no 1394/2007 du Parlement européen et du Conseil (1septies) concernant les médicaments de thérapie innovante, le règlement (UE) no 536/2014 du Parlement européen et du Conseil (1octies) relatif aux essais cliniques, le règlement (UE) 2017/745 et le règlement (UE) 2017/746.

(41)

L’utilisation secondaire des données de santé au titre de l’EHDS devrait permettre aux entités publiques, privées et à but non lucratif, ainsi qu’aux chercheurs à titre individuel, d’avoir accès aux données de santé à des fins de recherche, d’innovation, d’élaboration de politiques, d’activités éducatives, de sécurité des patients, d’activités réglementaires ou de médecine personnalisée, dans le cadre des finalités prévues par le présent règlement. L’accès aux données pour une utilisation secondaire doit contribuer à l’intérêt général de la société. Les activités pour lesquelles l’accès est licite en vertu du présent règlement peuvent inclure l’utilisation de données de santé électroniques en vue d’une mission accomplie par un organisme public, telle que l’exercice d’une fonction publique, y compris la surveillance de la santé publique, la planification et l’établissement de rapports, l’élaboration de la politique de santé, la garantie de la sécurité des patients, la qualité des soins et la durabilité des systèmes de soins de santé. Les organismes publics ainsi que les institutions, organes et organismes de l’Union peuvent avoir besoin d’accéder régulièrement aux données de santé électroniques pendant une période étendue, notamment pour mener à bien leur mandat, ce qui est prévu par le présent règlement. Les organismes du secteur public peuvent mener des activités de recherche en faisant appel à des tiers, y compris des sous-traitants, pour autant que l’organisme du secteur public reste à tout moment le superviseur de ces activités. La fourniture des données devrait également soutenir les activités liées à la recherche scientifique (y compris la recherche privée), au développement et à l’innovation, à la production de biens et services pour les secteurs de la santé ou des soins, comme les activités d’innovation ou la formation d’algorithmes d’IA qui pourraient protéger la santé des personnes physiques. Dans certains cas, les informations de certaines personnes physiques (telles que les informations génomiques de personnes physiques atteintes d’une certaine maladie) pourraient contribuer à améliorer le diagnostic ou le traitement médical d’autres personnes physiques. Il est nécessaire que les organismes publics aillent au-delà du champ d’application d’urgence publique du chapitre V du règlement […] [règlement sur les données, COM(2022) 68 final]. Toutefois, les organismes du secteur public devraient demander le soutien des organismes responsables de l’accès aux données de santé pour traiter ou relier des données. Le présent règlement offre aux organismes du secteur public un moyen d’accéder aux informations dont ils ont besoin pour remplir les missions qui leur incombent en vertu de la loi, mais n’étend pas leur mandat. Toute tentative d’utiliser les données à des fins de mesures préjudiciables à la personne physique, d’augmentation de primes d’assurance, de publicité pour des produits ou des traitements, ou de mise au point de produits nocifs devrait être interdite.

(41)

L’utilisation secondaire des données de santé au titre de l’EHDS devrait permettre aux entités publiques, privées et à but non lucratif, ainsi qu’aux chercheurs à titre individuel ayant un lien avéré avec le domaine de la santé publique , d’avoir accès aux données de santé à des fins de recherche, d’innovation, d’élaboration de politiques, d’activités éducatives, de sécurité des patients, d’activités réglementaires ou de médecine personnalisée, dans le cadre des finalités prévues par le présent règlement. L’accès aux données pour une utilisation secondaire doit contribuer à l’intérêt général de la société. En particulier, l’utilisation secondaire des données de santé à des fins de recherche et de développement devrait contribuer à présenter un intérêt pour la société sous la forme de nouveaux médicaments, de dispositifs médicaux, de produits et services de soins de santé à des prix abordables et équitables pour les citoyens de l’Union ainsi qu’à améliorer l’accès à ces produits et services et leur disponibilité dans tous les États membres. Les activités pour lesquelles l’accès est licite en vertu du présent règlement peuvent inclure l’utilisation de données de santé électroniques en vue d’une mission accomplie par un organisme public, telle que l’exercice d’une fonction publique, y compris la surveillance de la santé publique, la planification et l’établissement de rapports, l’élaboration de la politique de santé, la garantie de la sécurité des patients, la qualité des soins et la durabilité des systèmes de soins de santé. Les organismes publics ainsi que les institutions, organes et organismes de l’Union peuvent avoir besoin d’accéder régulièrement aux données de santé électroniques pendant une période étendue, notamment pour mener à bien leur mandat, ce qui est prévu par le présent règlement. Les organismes du secteur public peuvent mener des activités de recherche en faisant appel à des tiers, y compris des sous-traitants, pour autant que l’organisme du secteur public reste à tout moment le superviseur de ces activités. La fourniture des données devrait également soutenir les activités liées à la recherche scientifique (y compris la recherche privée, au développement et à l’innovation, à la production de biens et services pour les secteurs de la santé ou des soins, comme les activités d’innovation ou la formation d’algorithmes d’intelligence artificielle qui pourraient protéger la santé des personnes physiques). Dans certains cas, les informations de certaines personnes physiques (telles que les informations génomiques de personnes physiques atteintes d’une certaine maladie) pourraient contribuer à améliorer le diagnostic ou le traitement médical d’autres personnes physiques. Il est nécessaire que les organismes publics aillent au-delà du champ d’application d’urgence publique du chapitre V du règlement […] [règlement sur les données, COM(2022) 68 final]. Toutefois, les organismes du secteur public devraient demander le soutien des organismes responsables de l’accès aux données de santé pour traiter ou relier des données. Le présent règlement offre aux organismes du secteur public un moyen d’accéder aux informations dont ils ont besoin pour remplir les missions qui leur incombent en vertu de la loi, mais n’étend pas leur mandat. Toute tentative d’utiliser les données à des fins de mesures préjudiciables à la personne physique, d’augmentation de primes d’assurance, de publicité pour des produits ou des traitements , d’automatisation des décisions individuelles, de réidentification de personnes physiques ou de mise au point de produits nocifs devrait être interdite.

(42)

La création d’un ou de plusieurs organismes d’accès aux données de santé, favorisant l’accès aux données de santé électroniques dans les États membres, est un élément essentiel pour promouvoir l’utilisation secondaire des données relatives à la santé. Les États membres devraient donc créer un ou plusieurs organismes d’accès aux données de santé, par exemple pour refléter leur structure constitutionnelle, organisationnelle et administrative. Toutefois, s’il existe plusieurs organismes d’accès aux données de santé, l’un d’entre eux devrait être désigné comme coordinateur. Si un État membre crée plusieurs organismes, il doit établir des règles au niveau national pour garantir la coordination de la participation de ces organismes au comité de l’EHDS. Dans ce cas, l’État membre doit en particulier désigner l’organisme d’accès aux données de santé qui sert de point de contact unique, permettant une participation efficace de ces organismes, afin d’assurer une coopération rapide et aisée avec les autres organismes d’accès aux données de santé, le comité de l’EHDS et la Commission. L’organisation et la taille des organismes d’accès aux données de santé peuvent varier (allant d’une organisation dédiée à part entière à une unité ou un service d’une organisation existante), mais doivent avoir les mêmes fonctions, responsabilités et capacités. Les organismes d’accès aux données de santé ne doivent pas être influencés dans leurs décisions concernant l’accès à des données électroniques à des fins d’utilisation secondaire. Toutefois, cette indépendance ne signifie pas que l’organisme d’accès aux données de santé ne peut pas être soumis à des mécanismes de contrôle ou de surveillance concernant ses dépenses financières ou à un contrôle judiciaire. Il convient que chaque organisme d’accès aux données de santé soit doté des moyens financiers et humains, ainsi que des locaux et des infrastructures nécessaires à la bonne exécution de ses missions, y compris celles qui sont liées à la coopération avec d’autres organismes d’accès aux données de santé dans l’ensemble de l’Union. Chaque organisme d’accès aux données de santé devrait disposer d’un budget annuel public propre, qui peut faire partie du budget global national ou d’une entité fédérée. Afin d’améliorer l’accès aux données de santé, en complément de l’article 7, paragraphe 3, du règlement […] du Parlement européen et du Conseil [acte sur la gouvernance des données, COM(2020) 767 final], les États membres devraient confier aux organismes d’accès aux données de santé des compétences leur permettant de prendre des décisions concernant l’accès aux données de santé et leur utilisation secondaire. Il pourrait s’agir d’attribuer de nouvelles tâches aux organismes compétents désignés par les États membres en vertu de l’article 7, paragraphe 1, du règlement […] [acte sur la gouvernance des données, COM(2020) 767 final] ou de désigner des organismes sectoriels, existants ou nouveaux, chargés de ces tâches en matière d’accès aux données de santé.

(42)

La création d’un ou de plusieurs organismes d’accès aux données de santé, favorisant l’accès aux données de santé électroniques dans les États membres, est un élément essentiel pour promouvoir l’utilisation secondaire des données relatives à la santé. Les États membres devraient donc créer un ou plusieurs organismes d’accès aux données de santé, par exemple pour refléter leur structure constitutionnelle, organisationnelle et administrative. Toutefois, s’il existe plusieurs organismes d’accès aux données de santé, l’un d’entre eux devrait être désigné comme coordinateur. Si un État membre crée plusieurs organismes, il doit établir des règles au niveau national pour garantir la coordination de la participation de ces organismes au comité de l’EHDS. Dans ce cas, l’État membre doit en particulier désigner l’organisme d’accès aux données de santé qui sert de point de contact unique, permettant une participation efficace de ces organismes, afin d’assurer une coopération rapide et aisée avec les autres organismes d’accès aux données de santé, le comité de l’EHDS et la Commission. L’organisation et la taille des organismes d’accès aux données de santé peuvent varier (allant d’une organisation dédiée à part entière à une unité ou un service d’une organisation existante), mais doivent avoir les mêmes fonctions, responsabilités et capacités. Les organismes d’accès aux données de santé ne doivent pas être influencés dans leurs décisions concernant l’accès à des données électroniques à des fins d’utilisation secondaire. Les membres des organes de gouvernance et de décision et le personnel de chaque organisme responsable de l’accès aux données de santé devraient donc s’abstenir de toute action incompatible avec leurs fonctions et ne pas exercer d’autre activité incompatible. Toutefois, cette indépendance ne signifie pas que l’organisme d’accès aux données de santé ne peut pas être soumis à des mécanismes de contrôle ou de surveillance concernant ses dépenses financières ou à un contrôle judiciaire. Il convient que chaque organisme d’accès aux données de santé soit doté des moyens financiers , techniques et humains , d’un organisme d’éthique , ainsi que des locaux et des infrastructures nécessaires à la bonne exécution de ses missions, y compris celles qui sont liées à la coopération avec d’autres organismes d’accès aux données de santé dans l’ensemble de l’Union , et qu’il dispose de structures séparées pour le traitement des demandes, d’une part, et pour l’anonymisation, la pseudonymisation et la réidentification, de l’autre . Chaque organisme d’accès aux données de santé devrait disposer d’un budget annuel public propre, qui peut faire partie du budget global national ou d’une entité fédérée. Afin d’améliorer l’accès aux données de santé, en complément de l’article 7, paragraphe 3, du règlement […] du Parlement européen et du Conseil [acte sur la gouvernance des données, COM(2020) 767 final], les États membres devraient confier aux organismes d’accès aux données de santé des compétences leur permettant de prendre des décisions concernant l’accès aux données de santé et leur utilisation secondaire. Il pourrait s’agir d’attribuer de nouvelles tâches aux organismes compétents désignés par les États membres en vertu de l’article 7, paragraphe 1, du règlement […] [acte sur la gouvernance des données, COM(2020) 767 final] ou de désigner des organismes sectoriels, existants ou nouveaux, chargés de ces tâches en matière d’accès aux données de santé. Compte tenu du rôle central des organismes responsables de l’accès aux données de santé dans le cadre de l’utilisation secondaire des données de santé électroniques, notamment en ce qui concerne les décisions d’octroi ou de refus d’une autorisation de traitement de données de santé et la préparation des données en vue de leur mise à disposition des utilisateurs de données de santé, les membres et le personnel de ces organismes devraient disposer des qualifications, de l’expérience et des compétences nécessaires, et notamment d’une expertise juridique et technique en matière de protection des données à caractère personnel, et en particulier des données concernant la santé, ainsi que d’une expertise dans les domaines de l’éthique, des soins de santé, de la recherche scientifique, de la cybersécurité, de la protection de la propriété intellectuelle et des secrets d’affaires, de l’intelligence artificielle et d’autres domaines pertinents. En outre, le processus de prise de décision concernant l’octroi ou le refus de l’autorisation de traitement de données de santé devrait comporter des considérations d’ordre éthique. Le personnel des organismes responsables de l’accès aux données de santé ne devrait pas se trouver dans une situation de conflit d’intérêts préjudiciable à leur indépendance et à l’impartialité de leur conduite.

(43)

Les organismes d’accès aux données de santé devraient surveiller l’application du chapitre IV du présent règlement et contribuer à son application systématique dans l’ensemble de l’Union. À cet effet, les organismes d’accès aux données de santé devraient coopérer entre eux et avec la Commission, sans qu’un accord doive être conclu entre les États membres sur la fourniture d’une assistance mutuelle ou sur la coopération. Les organismes d’accès aux données de santé devraient également coopérer avec les parties prenantes, notamment les organisations de patients. Étant donné que l’utilisation secondaire des données de santé suppose le traitement de données à caractère personnel concernant la santé, les dispositions pertinentes du règlement (UE) 2016/679 s’appliquent et les autorités de contrôle, en vertu des règlements (UE) 2016/679 et (UE) 2018/1725, devraient être chargées de faire respecter ces règles. En outre, sachant que les données de santé sont sensibles et dans un devoir de coopération loyale, les organismes d’accès aux données de santé devraient informer les autorités de protection des données de tout problème lié au traitement des données à des fins d’utilisation secondaire, y compris des sanctions . Outre les tâches nécessaires pour garantir une utilisation secondaire des données de santé efficace, les organismes d’accès aux données de santé devraient s’efforcer d’augmenter la disponibilité d’ensembles de données de santé supplémentaires , de soutenir le développement de l’IA dans le domaine de la santé et de promouvoir l’élaboration de normes communes. Ils devraient appliquer des techniques éprouvées garantissant que le traitement des données de santé électroniques préserve la confidentialité des informations contenues dans les données dont l’utilisation secondaire est autorisée, notamment les techniques de pseudonymisation, d’anonymisation, de généralisation, de suppression et de randomisation des données à caractère personnel. Les organismes d’accès aux données de santé peuvent préparer des ensembles de données en fonction des besoins des utilisateurs de données liés à l’autorisation de traitement de données délivrée. Cela inclut les règles d’anonymisation des ensembles de microdonnées.

(43)

Les organismes d’accès aux données de santé devraient surveiller l’application du chapitre IV du présent règlement et contribuer à son application systématique dans l’ensemble de l’Union. À cet effet, les organismes d’accès aux données de santé devraient coopérer entre eux et avec la Commission, sans qu’un accord doive être conclu entre les États membres sur la fourniture d’une assistance mutuelle ou sur la coopération. Les organismes d’accès aux données de santé devraient également coopérer avec les parties prenantes, notamment les organisations de patients. La procédure de sélection des parties prenantes dans le domaine de la santé devrait être transparente, publique et exempte de tout conflit d’intérêts. Étant donné que l’utilisation secondaire des données de santé suppose le traitement de données à caractère personnel concernant la santé, les dispositions pertinentes du règlement (UE) 2016/679 s’appliquent et les autorités de contrôle, en vertu des règlements (UE) 2016/679 et (UE) 2018/1725, devraient rester les seules autorités compétentes pour faire respecter ces règles. En outre, sachant que les données de santé sont sensibles et dans un devoir de coopération loyale, les organismes d’accès aux données de santé devraient informer les autorités de protection des données de tout problème lié au traitement des données à des fins d’utilisation secondaire, y compris des amendes administratives et des mesures répressives . Outre les tâches nécessaires pour garantir une utilisation secondaire des données de santé efficace, les organismes d’accès aux données de santé devraient s’efforcer d’augmenter la disponibilité d’ensembles de données de santé supplémentaires et de promouvoir l’élaboration de normes communes. Ils devraient appliquer des techniques de pointe éprouvées garantissant que le traitement des données de santé électroniques préserve la confidentialité des informations contenues dans les données dont l’utilisation secondaire est autorisée, notamment les techniques de pseudonymisation, d’anonymisation, de généralisation, de suppression et de randomisation des données à caractère personnel. À cet égard, les organismes responsables de l’accès aux données de santé devraient coopérer par-delà les frontières et s’accorder sur des définitions et des techniques communes. Les organismes d’accès aux données de santé peuvent préparer des ensembles de données en fonction des besoins des utilisateurs de données liés à l’autorisation de traitement de données délivrée. Cela inclut les règles d’anonymisation des ensembles de microdonnées.

(44)

Compte tenu de la charge administrative, pour les organismes d’accès aux données de santé , que représente le fait d’ informer les personnes physiques dont les données sont utilisées dans des projets liés aux données dans un environnement de traitement sécurisé , les exceptions prévues à l’article 14, paragraphe 5, du règlement (UE) 2016/679 devraient s’appliquer. Par conséquent , les organismes d’accès aux données de santé devraient fournir des informations générales concernant les conditions d’utilisation secondaire de leurs données de santé contenant les éléments d’information énumérés à l’article 14, paragraphe 1, et, lorsque cela est nécessaire pour garantir un traitement équitable et transparent, à l’article 14, paragraphe 2, du règlement (UE) 2016/679, par exemple des informations sur la finalité du traitement et les catégories de données traitées. Il convient de faire exception à cette règle lorsque les résultats de la recherche pourraient améliorer le traitement médical de la personne physique concernée. Dans ce cas, l’utilisateur de données devrait informer l’organisme d’accès aux données de santé, qui devrait à son tour informer la personne concernée ou son professionnel de santé. Les personnes physiques devraient pouvoir accéder aux résultats des différents projets de recherche sur le site web de l’organisme d’accès aux données de santé, et ce en toute facilité, idéalement. La liste des autorisations de traitement de données devrait également être publique. Afin de promouvoir la transparence de leur fonctionnement, tous les organismes d’accès aux données de santé devraient publier un rapport d’activité annuel donnant un aperçu de leurs activités.

(44)

Les organismes d’accès aux données de santé devraient respecter les obligations prévues à l’article 14 du règlement (UE) 2016/679 et informer les personnes physiques dont les données sont utilisées dans des projets liés aux données dans un environnement de traitement sécurisé. Les exceptions prévues à l’article 14, paragraphe 5, du règlement (UE) 2016/679 pourraient s’appliquer. Lorsque ces exceptions s’appliquent, les organismes d’accès aux données de santé devraient fournir des informations générales concernant les conditions d’utilisation secondaire de leurs données de santé contenant les éléments d’information énumérés à l’article 14, paragraphe 1, et, lorsque cela est nécessaire pour garantir un traitement équitable et transparent, à l’article 14, paragraphe 2, du règlement (UE) 2016/679, par exemple des informations sur la finalité du traitement et les catégories de données traitées , permettant aux personnes physiques de comprendre si leurs données sont mises à disposition pour une utilisation secondaire en vertu d’autorisations de traitement de données . Il convient de faire exception à cette règle lorsque les résultats de la recherche pourraient améliorer le traitement médical de la personne physique concernée. Dans ce cas, l’utilisateur de données de santé devrait informer l’organisme d’accès aux données de santé, qui devrait à son tour informer le professionnel de la santé qui traite la personne physique concernée ou, au cas où le professionnel de la santé traitant n’est pas identifiable, la personne physique, en respectant le souhait qu’elle aurait exprimé de ne pas être informée, tout en respectant pleinement les principes du secret médical et du secret professionnel . Les personnes physiques devraient pouvoir accéder aux résultats des différents projets de recherche sur le site web de l’organisme d’accès aux données de santé, et ce en toute facilité, idéalement. La liste des autorisations de traitement de données devrait également être publique. Afin de promouvoir la transparence de leur fonctionnement, tous les organismes d’accès aux données de santé devraient publier un rapport d’activité annuel donnant un aperçu de leurs activités.

(46)

Afin de favoriser l’utilisation secondaire des données de santé électroniques, les détenteurs de données doivent s’abstenir de retenir les données, de demander des redevances injustifiées qui ne sont ni transparentes ni proportionnelles aux coûts de mise à disposition des données (et, le cas échéant, aux coûts marginaux de collecte des données), de demander aux utilisateurs de données de copublier la recherche ou d’autres pratiques qui pourraient dissuader les utilisateurs de données de demander les données. Lorsqu’une approbation éthique est nécessaire pour fournir une autorisation de traitement de données, son évaluation devrait être basée sur ses propres mérites. D’autre part, les institutions, organes et organismes de l’Union , y compris l’EMA, l’ECDC et la Commission, disposent de données très importantes et pertinentes. L’accès aux données de ces institutions, organes et organismes doit être accordé par l’intermédiaire de l’organisme d’accès aux données de santé où se trouve le responsable du traitement.

(46)

Afin de favoriser l’utilisation secondaire des données de santé électroniques, les détenteurs de données doivent s’abstenir de retenir les données, de demander des redevances injustifiées qui ne sont ni transparentes ni proportionnelles aux coûts de mise à disposition des données (et, le cas échéant, aux coûts marginaux de collecte des données), de demander aux utilisateurs de données de copublier la recherche ou d’autres pratiques qui pourraient dissuader les utilisateurs de données de demander les données. Lorsqu’une approbation éthique est nécessaire pour fournir une autorisation de traitement de données, son évaluation devrait être basée sur ses propres mérites. D’autre part, les organismes du secteur public et les institutions, organes et organismes de l’Union disposant d’un mandat légal dans le domaine de la santé publique disposent de données très importantes et pertinentes. L’accès aux données de ces institutions, organes et organismes doit être accordé par l’intermédiaire de l’organisme d’accès aux données de santé où se trouve le responsable du traitement.

(47)

Les organismes d’accès aux données de santé et les détenteurs de données uniques devraient être autorisés à percevoir des redevances sur la base des dispositions du règlement […] [acte sur la gouvernance des données, COM(2020) 767 final] en lien avec leurs tâches. Ces redevances peuvent tenir compte de la situation et des intérêts des PME, des chercheurs ou des organismes publics. Les détenteurs de données devraient être autorisés à percevoir des redevances pour la mise à disposition des données. Ces redevances doivent refléter les coûts de la prestation de ces services. Les détenteurs de données privés peuvent également percevoir des redevances pour la collecte de données. Afin de garantir une approche harmonisée concernant les politiques et la structure des redevances, la Commission peut adopter des actes d’exécution. Les dispositions de l’article 10 du règlement [règlement sur les données, COM(2022) 68 final] devraient s’appliquer aux redevances perçues en vertu du présent règlement.

(47)

Les organismes d’accès aux données de santé devraient être autorisés à percevoir des redevances sur la base des dispositions applicables du présent règlement et des dispositions des règlements (UE) .../... [...] [acte sur la gouvernance des données, COM(2020) 767 final] et (UE) .../... [...] [règlement sur les données COM(2022) 68 final] en lien avec leurs tâches. Ces redevances peuvent tenir compte de la situation et des intérêts des PME, des chercheurs ou des organismes publics. Les détenteurs de données de santé devraient être autorisés à percevoir des redevances pour la mise à disposition des données. Ces redevances doivent refléter les coûts de la prestation de ces services. Les détenteurs privés de données de santé peuvent également percevoir des redevances pour la collecte de données. Afin de garantir une approche harmonisée concernant les politiques et la structure des redevances, la Commission devrait adopter des actes d’exécution. Les dispositions de l’article 10 du règlement [règlement sur les données, COM(2022) 68 final] devraient s’appliquer aux redevances perçues en vertu du présent règlement. Il convient de ne pas imposer de redevances aux organismes du secteur public et aux institutions, organes et organismes de l’Union disposant d’un mandat légal dans le domaine de la santé publique.

(48)

Afin de renforcer l’application des règles relatives à l’utilisation secondaire des données de santé électroniques, il convient de prendre des mesures appropriées pouvant conduire à des sanctions ou à des exclusions temporaires ou définitives du cadre de l’EHDS pour les utilisateurs ou les détenteurs de données qui ne respectent pas leurs obligations. L’organisme d’accès aux données de santé devrait être habilité à vérifier la conformité et à donner aux utilisateurs et aux détenteurs de données la possibilité de répondre à toute constatation et de remédier à toute infraction. L’application de sanctions devrait faire l’objet de garanties procédurales appropriées conformément aux principes généraux du droit de l’État membre concerné, y compris le droit à une protection juridictionnelle effective et à une procédure régulière.

(48)

Afin de renforcer l’application des règles relatives à l’utilisation secondaire des données de santé électroniques, il convient d’envisager des mesures appropriées pouvant conduire à des amendes administratives ou à des mesures répressives de la part des organismes responsables de l’accès aux données de santé ou à des exclusions temporaires ou définitives du cadre de l’EHDS pour les utilisateurs ou les détenteurs de données de santé qui ne respectent pas leurs obligations. L’organisme d’accès aux données de santé devrait être habilité à vérifier la conformité et à donner aux utilisateurs et aux détenteurs de données de santé la possibilité de répondre à toute constatation et de remédier à toute infraction. Pour déterminer le montant de l’amende administrative ou la mesure répressive dans chaque cas d’espèce, les organismes responsables de l’accès aux données de santé devraient tenir compte des marges de coût et des critères définis dans le présent règlement.

(49)

Compte tenu du caractère sensible des données de santé électroniques, il est nécessaire de réduire les risques sur la vie privée des personnes physiques en appliquant le principe de minimisation des données énoncé à l’article 5, paragraphe 1, point c), du règlement (UE) 2016/679. Par conséquent, les données de santé électroniques anonymisées et dépourvues de toute donnée à caractère personnel devraient être mises à disposition en vue d’être utilisées lorsque cela est possible et si l’utilisateur de données le demande . Si l’utilisateur de données a besoin d’utiliser des données de santé électroniques à caractère personnel, il devrait clairement indiquer dans sa demande la justification de l’utilisation de ce type de données pour l’activité de traitement des données prévue. Les données de santé électroniques à caractère personnel ne doivent être mises à disposition que sous forme pseudonymisée et la clé de cryptage ne peut être détenue que par l’organisme d’accès aux données de santé. Les utilisateurs de données ne devraient pas tenter de réidentifier des personnes physiques à partir de l’ensemble de données fourni en vertu du présent règlement, sous peine de sanctions administratives voire pénales, lorsque les législations nationales le prévoient. Toutefois, cela ne devrait pas empêcher les utilisateurs de données, dans les cas où les résultats d’un projet mené sur la base d’une autorisation de traitement de données présentent un avantage ou peuvent avoir une incidence sur la santé d’une personne physique concernée (par exemple, la découverte de traitements médicaux ou de facteurs de risque de développement d’une certaine maladie), d’informer l’organisme d’accès aux données de santé, qui à son tour informerait la ou les personnes physiques concernées . En outre, la personne qui émet une demande peut demander aux organismes d’accès aux données de santé de fournir une réponse à sa demande de données, y compris sous forme de statistiques . Dans ce cas, les utilisateurs de données ne traiteraient pas de données de santé et l’organisme d’accès aux données de santé resterait le seul responsable du traitement des données nécessaires pour fournir la réponse à la demande de données.

(49)

Compte tenu du caractère sensible des données de santé électroniques, il est nécessaire de réduire les risques sur la vie privée des personnes physiques en appliquant le principe de minimisation des données énoncé à l’article 5, paragraphe 1, point c), du règlement (UE) 2016/679. Par conséquent, des normes communes pour l’anonymisation des données devraient être élaborées et les données de santé électroniques anonymisées et dépourvues de toute donnée à caractère personnel devraient être mises à disposition en vue d’être utilisées lorsque cela est possible. Si l’utilisateur de données a besoin d’utiliser des données de santé électroniques à caractère personnel, il devrait clairement indiquer dans sa demande la justification de l’utilisation de ce type de données pour l’activité de traitement des données prévue et l’organisme responsable de l’accès aux données de santé devrait déterminer la validité de cette justification . Les données de santé électroniques à caractère personnel ne doivent être mises à disposition que sous forme pseudonymisée et la clé de cryptage ne peut être détenue que par l’organisme d’accès aux données de santé. Lorsqu’il donne accès à un ensemble de données anonymisées ou pseudonymisées, un organisme responsable de l’accès aux données de santé devrait recourir à une technologie d’anonymisation ou de pseudonymisation de pointe qui garantit autant que possible que les personnes physiques ne puissent pas être réidentifiées. Les utilisateurs de données de santé ne devraient pas tenter de réidentifier des personnes physiques à partir de l’ensemble de données fourni en vertu du présent règlement, sous peine de se voir infliger les amendes administratives et les mesures répressives prévues par le présent règlement, voire des sanctions pénales, lorsque les législations nationales le prévoient. Toutefois, cela ne devrait pas empêcher les utilisateurs de données de santé , dans les cas où les résultats d’un projet mené sur la base d’une autorisation de traitement de données présentent un avantage significatif ou peuvent avoir une incidence significative sur la santé d’une personne physique concernée (par exemple, la découverte de traitements médicaux ou de facteurs de risque de développement d’une certaine maladie), d’informer l’organisme d’accès aux données de santé, qui à son tour informerait le professionnel de la santé qui traite la personne physique concernée ou, au cas où le professionnel de la santé traitant n’est pas identifiable, la personne physique, en respectant le souhait qu’elle aurait exprimé de ne pas être informée. À cet effet, l’utilisateur de données de santé devrait être guidé par des principes éthiques et des lignes directrices de l’EMA et de l’ECDC pour déterminer ce qui constitue une constatation significative. En outre, un demandeur de données de santé peut demander aux organismes d’accès aux données de santé de fournir une réponse à sa demande de données de santé , y compris dans un format statistique anonymisé ou agrégé . Dans ce cas, l’utilisateur de données de santé ne traiterait pas de données de santé et l’organisme d’accès aux données de santé resterait le seul responsable du traitement des données nécessaires pour fournir la réponse à la demande de données de santé .

(50)

Afin de garantir que tous les organismes d’accès aux données de santé délivrent les autorisations de manière similaire, il est nécessaire d’établir une procédure commune standard pour la délivrance des autorisations de traitement de données, avec des demandes similaires dans les différents États membres. Le demandeur doit fournir aux organismes d’accès aux données de santé plusieurs éléments d’information qui aideront l’organisme à évaluer la demande et à décider si le demandeur peut recevoir une autorisation d’utilisation secondaire des données, tout en assurant la cohérence entre les différents organismes d’accès aux données de santé. Ces informations comprennent: la base juridique prévue par le règlement (UE) 2016/679 pour demander l’accès aux données (exercice d’une mission d’intérêt public confiée par la loi ou intérêt légitime), les finalités pour lesquelles les données seraient utilisées, la description des données nécessaires et des sources de données possibles, la description des outils nécessaires pour traiter les données, ainsi que les caractéristiques de l’environnement sécurisé nécessaires. Lorsque des données sont demandées sous forme pseudonymisée, le demandeur de données devrait expliquer pourquoi ce format est nécessaire et pourquoi des données anonymes ne suffiraient pas. Une évaluation éthique peut être demandée sur la base de la législation nationale. Les organismes d’accès aux données de santé et, le cas échéant, les détenteurs de données , devraient aider les utilisateurs de données à choisir les ensembles de données ou les sources de données qui conviennent à la finalité de l’utilisation secondaire. Si le demandeur a besoin de données statistiques anonymes, il devrait soumettre une demande de données, en demandant à l’organisme d’accès aux données de santé de fournir directement le résultat. Afin de garantir une approche harmonisée entre les organismes d’accès aux données de santé, la Commission devrait soutenir l’harmonisation des demandes d’accès aux données et des demandes de données.

(50)

Afin de garantir que tous les organismes responsables de l’accès aux données de santé délivrent les autorisations de manière similaire, il est nécessaire d’établir une procédure commune standard pour la délivrance des autorisations de traitement de données, avec des demandes similaires dans les différents États membres. Le demandeur de données de santé doit fournir aux organismes responsables de l’accès aux données de santé plusieurs éléments d’information qui aideront l’organisme à évaluer la demande et à décider si le demandeur peut recevoir une autorisation d’utilisation secondaire des données, tout en assurant la cohérence entre les différents organismes responsables de l’accès aux données de santé. Ces informations comprennent: la base juridique prévue par le règlement (UE) 2016/679 pour demander l’accès aux données (exercice d’une mission d’intérêt public confiée par la loi ou intérêt légitime), les finalités pour lesquelles les données seraient utilisées, la description des données nécessaires et des sources de données possibles, l’identité du demandeur de données de santé ainsi que des personnes spécifiques qui sont autorisées à avoir accès aux données de santé électroniques dans l’environnement de traitement sécurisé et leur qualification eu égard à l’utilisation secondaire prévue, la description des outils nécessaires pour traiter les données, ainsi que les caractéristiques de l’environnement sécurisé nécessaires , une description des garanties prévues pour empêcher toute autre utilisation, toute utilisation abusive ou toute réidentification éventuelle, et une explication des avantages escomptés de l’utilisation secondaire . Lorsque des données sont demandées sous forme pseudonymisée, le demandeur de données de santé devrait expliquer pourquoi ce format est nécessaire et pourquoi des données anonymes ne suffiraient pas. Une évaluation éthique peut être demandée sur la base de la législation nationale. Une évaluation approfondie des demandes d’accès aux données de santé et des documents soumis par le demandeur de données de santé devrait être requise et l’organisme responsable de l’accès aux données de santé ne devrait délivrer une autorisation de traitement de données que si toutes les conditions énoncées dans le présent règlement sont remplies. L’organisme responsable de l’accès aux données de santé et, le cas échéant, les détenteurs de données de santé devraient aider les utilisateurs de données de santé à choisir les ensembles de données ou les sources de données qui conviennent à la finalité de l’utilisation secondaire. Si le demandeur de données de santé a besoin de données statistiques anonymes et sous une forme agrégée , il devrait soumettre une demande de données, en demandant à l’organisme responsable de l’accès aux données de santé de fournir directement le résultat. Le refus d’une autorisation de traitement de données par l’organisme responsable de l’accès aux données de santé ne devrait pas empêcher le demandeur de données de santé de présenter une nouvelle demande d’accès aux données. Afin de garantir une approche harmonisée entre les organismes responsables de l’accès aux données de santé et de limiter autant que possible une charge administrative inutile pour les demandeurs de données de santé , la Commission devrait soutenir l’harmonisation des demandes d’accès aux données de santé et des demandes de données de santé, y compris en établissant, au moyen d’actes d’exécution, des modèles pour les demandes d’accès aux données de santé et les demandes de données de santé .

(50 bis)

Les organismes chargés des questions d’éthique au sein des organismes responsables de l’accès aux données de santé doivent effectuer des évaluations d’éthiques types. Ces évaluations doivent être un élément important du processus. Toutefois, lorsque le demandeur de données de santé a préalablement obtenu l’approbation du comité d’éthique compétent conformément au droit national à des fins de recherche pour lesquelles il demande des données par l’intermédiaire de l’EHDS, le demandeur de données de santé devrait mettre ces informations à la disposition de l’organisme responsable de l’accès aux données de santé dans le cadre de la demande d’accès aux données.

(51)

Étant donné que les ressources des organismes d’accès aux données de santé sont limitées, ces organismes peuvent appliquer des règles de hiérarchisation des priorités, en donnant par exemple la priorité aux institutions publiques plutôt qu’aux entités privées, mais ils ne doivent faire aucune discrimination entre les organismes nationaux ou les organismes d’autres États membres faisant partie de la même catégorie de priorité. L’utilisateur de données devrait pouvoir prolonger la durée de l’autorisation de traitement de données afin, par exemple, de permettre aux réviseurs d’une publication scientifique d’accéder aux ensembles de données ou de rendre possible une analyse supplémentaire de l’ensemble de données sur la base des résultats initiaux. Cela nécessiterait une modification de l’autorisation de traitement de données et pourrait faire l’objet d’une redevance supplémentaire. Cependant, dans tous les cas, l’autorisation de traitement de données doit refléter ces utilisations supplémentaires de l’ensemble de données. De préférence, l’utilisateur de données devrait les mentionner dans sa demande initiale d’autorisation de traitement de données. Afin de garantir une approche harmonisée entre les organismes d’accès aux données de santé, la Commission devrait soutenir l’harmonisation des autorisations de traitement de données.

(51)

Étant donné que les ressources des organismes responsables de l’accès aux données de santé sont limitées, ces organismes peuvent appliquer des règles de hiérarchisation des priorités, en donnant par exemple la priorité aux institutions publiques plutôt qu’aux entités privées, mais ils ne doivent faire aucune discrimination entre les organismes nationaux ou les organismes d’autres États membres faisant partie de la même catégorie de priorité. L’utilisateur de données de santé devrait pouvoir prolonger la durée de l’autorisation de traitement de données afin, par exemple, de permettre aux réviseurs d’une publication scientifique d’accéder aux ensembles de données ou de rendre possible une analyse supplémentaire de l’ensemble de données sur la base des résultats initiaux. Cela nécessiterait une modification de l’autorisation de traitement de données de santé et pourrait faire l’objet d’une redevance supplémentaire. Cependant, dans tous les cas, l’autorisation de traitement de données doit refléter ces utilisations supplémentaires de l’ensemble de données. De préférence, l’utilisateur de données de santé devrait les mentionner dans sa demande initiale d’autorisation de traitement de données. Afin de garantir une approche harmonisée entre les organismes responsables de l’accès aux données de santé, la Commission devrait soutenir l’harmonisation des autorisations de traitement de données.

(52)

Comme l’a montré la crise liée à la pandémie de COVID-19, les institutions, organes et organismes de l’Union, en particulier la Commission, ont besoin d’accéder aux données de santé pendant une période plus longue et de manière récurrente. Ce peut être le cas non seulement dans des circonstances spécifiques en temps de crise, mais aussi pour fournir régulièrement des preuves scientifiques et un soutien technique aux politiques de l’Union. L’accès à ces données peut être requis dans des États membres spécifiques ou dans l’ensemble du territoire de l’Union.

(52)

Comme l’a montré la crise liée à la pandémie de COVID-19, les institutions, organes et organismes de l’Union ayant un mandat légal dans le domaine de la santé publique , en particulier la Commission, ont besoin d’accéder aux données de santé pendant une période plus longue et de manière récurrente. Ce peut être le cas non seulement dans des circonstances spécifiques prévues par le droit national ou de l’Union en temps de crise, mais aussi pour fournir régulièrement des preuves scientifiques et un soutien technique aux politiques de l’Union. L’accès à ces données peut être requis dans des États membres spécifiques ou dans l’ensemble du territoire de l’Union.

(53)

Pour les demandes d’accès à des données de santé électroniques émanant d’un seul détenteur de données dans un seul État membre et afin d’alléger la charge administrative que représente la gestion de ces demandes pour les organismes d’accès aux données de santé, l’utilisateur de données devrait pouvoir demander ces données directement au détenteur de données et délivrer une autorisation de traitement de données tout en respectant l’ensemble des exigences et des garanties liées à cette demande et à cette autorisation. Les demandes concernant plusieurs pays et les demandes nécessitant la combinaison d’ensembles de données provenant de plusieurs détenteurs de données devraient toujours passer par l’intermédiaire des organismes d’accès aux données de santé. Le détenteur de données devrait rendre compte aux organismes d’accès aux données de santé de toutes les autorisations de traitement de données ou demandes de données qu’il fournit.

(54)

Compte tenu du caractère sensible des données de santé électroniques, les utilisateurs de données ne devraient pas avoir un accès illimité à ces données. Tout accès aux données de santé électroniques demandées à des fins d’utilisation secondaire devrait se faire au moyen d’un environnement de traitement sécurisé. Afin d’assurer des garanties techniques et de sécurité solides pour les données de santé électroniques, l’organisme d’accès aux données de santé ou, le cas échéant, le détenteur de données unique devrait fournir l’accès à ces données dans un environnement de traitement sécurisé conforme aux normes techniques et de sécurité élevées définies en application du présent règlement. Certains États membres ont pris des mesures pour localiser de tels environnements sécurisés en Europe. Le traitement des données à caractère personnel dans un environnement sécurisé devrait être conforme au règlement (UE) 2016/679, y compris, lorsque l’environnement sécurisé est géré par un tiers, aux exigences de l’article 28 et, le cas échéant, du chapitre V. Cet environnement de traitement sécurisé devrait réduire les risques pour la vie privée liés à ces activités de traitement et empêcher que les données de santé électroniques soient transmises directement aux utilisateurs de données. L’organisme d’accès aux données de santé ou le détenteur de données qui fournit ce service devrait garder à tout moment le contrôle sur l’accès aux données de santé électroniques, sachant que l’accès accordé aux utilisateurs de données est déterminé par les conditions de l’autorisation de traitement de données délivrée. Seules les données de santé électroniques à caractère non personnel qui ne contiennent aucune donnée de santé électronique devraient être extraites par les utilisateurs de données de l’environnement de traitement sécurisé. Il s’agit d’une garantie essentielle pour préserver les droits et libertés des personnes physiques en ce qui concerne le traitement de leurs données de santé électroniques à des fins d’utilisation secondaire. La Commission devrait aider les États membres à élaborer des normes de sécurité communes afin de promouvoir la sécurité et l’interopérabilité des différents environnements sécurisés.

(54)

Compte tenu du caractère sensible des données de santé électroniques, les utilisateurs de données ne devraient pas avoir un accès illimité à ces données , conformément au principe de minimisation des données . Tout accès aux données de santé électroniques demandées à des fins d’utilisation secondaire devrait se faire au moyen d’un environnement de traitement sécurisé. Afin d’assurer des garanties techniques et de sécurité solides pour les données de santé électroniques, l’organisme responsable de l’accès aux données de santé devrait fournir l’accès à ces données dans un environnement de traitement sécurisé conforme aux normes techniques et de sécurité élevées définies en application du présent règlement. Certains États membres ont pris des mesures pour localiser de tels environnements sécurisés en Europe. Le traitement des données à caractère personnel dans un environnement sécurisé devrait être conforme au règlement (UE) 2016/679, y compris, lorsque l’environnement sécurisé est géré par un tiers, aux exigences de l’article 28 et, le cas échéant, du chapitre V. Néanmoins, aux fins d’une supervision et d’une protection adéquates des données à caractère personnel, ces environnements doivent être situés dans l’Union s’ils sont utilisés pour accéder à des données de santé à caractère personnel. Cet environnement de traitement sécurisé devrait réduire les risques pour la vie privée liés à ces activités de traitement et empêcher que les données de santé électroniques soient transmises directement aux utilisateurs de données. L’organisme responsable de l’accès aux données de santé ou le détenteur de données qui fournit ce service devrait garder à tout moment le contrôle sur l’accès aux données de santé électroniques, sachant que l’accès accordé aux utilisateurs de données est déterminé par les conditions de l’autorisation de traitement de données délivrée. Seules les données de santé électroniques à caractère non personnel qui ne contiennent aucune donnée de santé électronique devraient être extraites par les utilisateurs de données de l’environnement de traitement sécurisé. Il s’agit d’une garantie essentielle pour préserver les droits et libertés des personnes physiques en ce qui concerne le traitement de leurs données de santé électroniques à des fins d’utilisation secondaire. La Commission devrait aider les États membres à élaborer des normes de sécurité communes afin de promouvoir la sécurité et l’interopérabilité des différents environnements sécurisés.

(55)

Pour le traitement des données de santé électroniques dans le cadre d’une autorisation accordée, les organismes d’accès aux données de santé et les utilisateurs de données devraient être des responsables conjoints du traitement au sens de l’article 26 du règlement (UE) 2016/679, ce qui signifie que les obligations des responsables conjoints du traitement énoncées dans ledit règlement s’appliqueront. Pour soutenir les organismes d’accès aux données de santé et les utilisateurs de données , la Commission devrait , au moyen d’un acte d’exécution, fournir un modèle pour les accords que devront conclure les organismes d’accès aux données de santé et les utilisateurs de données en tant que responsables du traitement conjoints . Afin de mettre en place un cadre inclusif et durable pour l’utilisation secondaire plurinationale des données de santé électroniques, une infrastructure transfrontière devrait être établie . DonnéesDeSanté@UE (HealthData@EU) devrait accélérer l’utilisation secondaire des données de santé électroniques tout en renforçant la sécurité juridique, en respectant la vie privée des personnes physiques et en garantissant l’interopérabilité. En raison du caractère sensible des données de santé, des principes tels que la «prise en compte du respect de la vie privée dès la conception» et le fait de «poser des questions sur les données au lieu de déplacer les données» devraient être respectés dans la mesure du possible. Les participants autorisés à DonnéesDeSanté@UE (HealthData@EU) pourraient être des organismes d’accès aux données de santé, des infrastructures de recherche établies en tant que Consortium pour une infrastructure européenne de recherche (ERIC) en vertu du règlement (CE) no 723/2009 du Conseil (50) ou des structures similaires établies au titre d’une autre législation de l’Union, ainsi que d’autres types d’entités, y compris des infrastructures relevant du forum stratégique européen pour les infrastructures de recherche (ESFRI) ou des infrastructures fédérées dans le cadre du nuage européen pour la science ouverte (EOSC). Les autres participants autorisés devraient obtenir l’approbation du groupe de responsabilité conjointe du traitement pour adhérer à DonnéesDeSanté@UE (HealthData@EU). D’autre part, DonnéesDeSanté@UE (HealthData@EU)devrait permettre l’utilisation secondaire de différentes catégories de données de santé électroniques, y compris la mise en relation des données de santé avec des données provenant d’autres espaces de données tels que l’environnement, l’agriculture, le domaine social, etc. La Commission pourrait fournir un certain nombre de services dans le cadre de DonnéesDeSanté@UE (HealthData@EU), dont l’échange d’informations entre les organismes d’accès aux données de santé et les participants autorisés pour la gestion des demandes d’accès transfrontière, la mise à disposition de catalogues de données de santé électroniques par l’intermédiaire de l’infrastructure, l’identification du réseau et l’interrogation des métadonnées, ainsi que des services de connectivité et de conformité. La Commission pourrait également mettre en place un environnement sécurisé, permettant la transmission et l’analyse de données provenant de différentes infrastructures nationales, à la demande des responsables du traitement. La stratégie numérique de la Commission favorise la mise en relation des différents espaces européens communs des données. En ce qui concerne le secteur de la santé, l’interopérabilité avec des secteurs tels que les secteurs environnemental, social et agricole peut être utile pour obtenir des informations supplémentaires sur les déterminants de la santé. Dans un souci d’efficacité informatique, de rationalisation et d’interopérabilité des échanges de données, les systèmes existants de partage de données devraient être réutilisés autant que possible, comme ceux en cours de construction pour l’échange de justificatifs dans le cadre du système technique du règlement (UE) 2018/1724 du Parlement européen et du Conseil (51).

(55)

Pour le traitement des données de santé électroniques dans le cadre d’une autorisation accordée, les détenteurs de données de santé, les organismes responsables de l’accès aux données de santé et les utilisateurs de données de santé devraient chacun à leur tour être considérés comme responsables du traitement pour une partie spécifique du processus en fonction de leurs rôles respectifs dans ce processus. Le détenteur de données de santé devrait être considéré comme responsable du traitement pour la divulgation des données de santé électroniques à caractère personnel demandées à l’organisme responsable de l’accès aux données de santé , tandis que l’organisme responsable de l’accès aux données de santé devrait à son tour être considéré comme responsable du traitement des données de santé électroniques à caractère personnel lors de la préparation des données et de leur mise à disposition de l’utilisateur de données de santé . L’utilisateur de données de santé devrait être considéré comme responsable du traitement des données de santé électroniques à caractère personnel dans un format pseudonymisé dans l’environnement de traitement sécurisé en vertu de son autorisation de traitement de données . L’organisme responsable de l’accès aux données de santé devrait être considéré comme sous-traitant pour le traitement effectué par l’utilisateur de données de santé en vertu d’une autorisation de traitement de données dans l’environnement de traitement sécurisé . DonnéesDeSanté@UE (HealthData@EU) devrait accélérer l’utilisation secondaire des données de santé électroniques tout en renforçant la sécurité juridique, en respectant la vie privée des personnes physiques et en garantissant l’interopérabilité. En raison du caractère sensible des données de santé, des principes tels que la «prise en compte du respect de la vie privée dès la conception» , le «respect de la vie privée par défaut» et le fait de «poser des questions sur les données au lieu de déplacer les données» devraient être respectés dans la mesure du possible. Les participants autorisés à DonnéesDeSanté@UE (HealthData@EU) pourraient être des organismes responsables de l’accès aux données de santé, des infrastructures de recherche établies en tant que Consortium pour une infrastructure européenne de recherche (ERIC) en vertu du règlement (CE) no 723/2009 du Conseil (50) ou des structures similaires établies au titre d’une autre législation de l’Union, ainsi que d’autres types d’entités, y compris des infrastructures relevant du forum stratégique européen pour les infrastructures de recherche (ESFRI) ou des infrastructures fédérées dans le cadre du nuage européen pour la science ouverte (EOSC). Les autres participants autorisés devraient obtenir l’approbation du groupe de responsabilité conjointe du traitement pour adhérer à DonnéesDeSanté@UE (HealthData@EU). D’autre part, DonnéesDeSanté@UE (HealthData@EU) devrait permettre l’utilisation secondaire de différentes catégories de données de santé électroniques, y compris la mise en relation des données de santé avec des données provenant d’autres espaces de données tels que l’environnement, l’agriculture, le domaine social, etc. La Commission pourrait fournir un certain nombre de services dans le cadre de DonnéesDeSanté@UE (HealthData@EU), dont l’échange d’informations entre les organismes responsables de l’accès aux données de santé et les participants autorisés pour la gestion des demandes d’accès transfrontière, la mise à disposition de catalogues de données de santé électroniques par l’intermédiaire de l’infrastructure, l’identification du réseau et l’interrogation des métadonnées, ainsi que des services de connectivité et de conformité. La Commission pourrait également mettre en place un environnement sécurisé, permettant la transmission et l’analyse de données provenant de différentes infrastructures nationales, à la demande des responsables du traitement. La stratégie numérique de la Commission favorise la mise en relation des différents espaces européens communs des données. En ce qui concerne le secteur de la santé, l’interopérabilité avec des secteurs tels que les secteurs environnemental, social et agricole peut être utile pour obtenir des informations supplémentaires sur les déterminants de la santé. Dans un souci d’efficacité informatique, de rationalisation et d’interopérabilité des échanges de données, les systèmes existants de partage de données devraient être réutilisés autant que possible, comme ceux en cours de construction pour l’échange de justificatifs dans le cadre du système technique du règlement (UE) 2018/1724 du Parlement européen et du Conseil (51).

(59)

Les informations sur la qualité et l’utilité des ensembles de données augmentent considérablement la valeur des résultats de recherches et d’innovations faisant un usage intensif de données, tout en favorisant la prise de décisions réglementaires et politiques fondées sur des données scientifiquement validées. L’amélioration de la qualité et de l’utilité des ensembles de données grâce au choix éclairé des clients et l’harmonisation des exigences connexes au niveau de l’Union, en tenant compte des normes, des lignes directrices et des recommandations existantes aux niveaux européen et international en matière de collecte et d’échange de données (notamment les principes FAIR: faciles à trouver, accessibles, interopérables et réutilisables), profite également aux détenteurs de données, aux professionnels de la santé, aux personnes physiques et à l’économie de l’Union en général. Une étiquette de qualité et d’utilité des données pour les ensembles de données informerait les utilisateurs de données sur les caractéristiques de qualité et d’utilité d’un ensemble de données et leur permettrait de choisir les ensembles de données qui répondent le mieux à leurs besoins. L’étiquette de qualité et d’utilité des données ne devrait pas empêcher les ensembles de données d’être mis à disposition via l’EHDS, mais devrait assurer la transparence entre les détenteurs de données et les utilisateurs de données. Par exemple, un ensemble de données qui ne répond à aucune exigence en matière de qualité et d’utilité des données devrait porter l’étiquette de la catégorie de qualité et d’utilité la plus faible, mais devrait malgré tout être mis à disposition. Les attentes définies dans les cadres décrits à l’article 10 du règlement […] [législation sur l’intelligence artificielle, COM(2021) 206 final] et la documentation correspondante spécifiée à l’annexe IV devraient être prises en considération lors de l’élaboration du cadre de qualité et d’utilité des données. Les États membres devraient faire connaître l’étiquette de qualité et d’utilité des données au moyen d’activités de communication. La Commission pourrait soutenir ces activités.

(59)

Les informations sur la qualité et l’utilité des ensembles de données augmentent considérablement la valeur des résultats de recherches et d’innovations faisant un usage intensif de données, tout en favorisant la prise de décisions réglementaires et politiques fondées sur des données scientifiquement validées. L’amélioration de la qualité et de l’utilité des ensembles de données grâce au choix éclairé des clients et l’harmonisation des exigences connexes au niveau de l’Union, en tenant compte des normes, des lignes directrices et des recommandations existantes aux niveaux européen et international en matière de collecte et d’échange de données (notamment les principes FAIR: faciles à trouver, accessibles, interopérables et réutilisables), profite également aux détenteurs de données, aux professionnels de la santé, aux personnes physiques et à l’économie de l’Union en général. Une étiquette de qualité et d’utilité des données pour les ensembles de données informerait les utilisateurs de données sur les caractéristiques de qualité et d’utilité d’un ensemble de données et leur permettrait de choisir les ensembles de données qui répondent le mieux à leurs besoins. L’étiquette de qualité et d’utilité des données ne devrait pas empêcher les ensembles de données d’être mis à disposition via l’EHDS, mais devrait assurer la transparence entre les détenteurs de données et les utilisateurs de données. Par exemple, un ensemble de données qui ne répond à aucune exigence en matière de qualité et d’utilité des données devrait porter l’étiquette de la catégorie de qualité et d’utilité la plus faible, mais devrait malgré tout être mis à disposition. Les attentes définies dans les cadres décrits à l’article 10 du règlement […] [législation sur l’intelligence artificielle, COM(2021) 206 final] et la documentation correspondante spécifiée à l’annexe IV devraient être prises en considération lors de l’élaboration du cadre de qualité et d’utilité des données. Les étiquettes devraient être évaluées par les organismes responsables de l’accès aux données de santé. Les États membres devraient faire connaître l’étiquette de qualité et d’utilité des données au moyen d’activités de communication. La Commission pourrait soutenir ces activités.

(61)

Des efforts de coopération et des travaux sont en cours entre différentes organisations professionnelles, la Commission et d’autres institutions en vue de définir des champs minimaux de données et d’autres caractéristiques de différents ensembles de données (par exemple, les registres). Ces travaux sont plus avancés dans des domaines tels que le cancer, les maladies rares et les statistiques et devraient être pris en considération lors de la définition de nouvelles normes. Cependant, de nombreux ensembles de données ne sont pas harmonisés, ce qui pose des problèmes de comparabilité et complique la recherche transfrontière. Par conséquent, des règles plus détaillées devraient être définies dans les actes d’exécution afin de garantir l’harmonisation de la fourniture, du codage et de l’enregistrement des données de santé électroniques. Les États membres devraient œuvrer à la mise en place de services et de systèmes de santé électroniques européens offrant des avantages économiques et sociaux durables ainsi que des applications interopérables, de manière à atteindre un niveau élevé de confiance et de sécurité, à renforcer la continuité des soins et à garantir l’accès à des soins de santé de haute qualité et sûrs.

(61)

Des efforts de coopération et des travaux sont en cours entre différentes organisations professionnelles, la Commission et d’autres institutions en vue de définir des champs minimaux de données et d’autres caractéristiques de différents ensembles de données (par exemple, les registres). Ces travaux sont plus avancés dans des domaines tels que le cancer, les maladies rares , les maladies cardiovasculaires et métaboliques, l’évaluation des facteurs de risque et les statistiques et devraient être pris en considération lors de la définition de nouvelles normes et de modèles harmonisés spécifiques aux maladies pour des éléments de données structurés . Cependant, de nombreux ensembles de données ne sont pas harmonisés, ce qui pose des problèmes de comparabilité et complique la recherche transfrontière. Par conséquent, des règles plus détaillées devraient être définies dans les actes d’exécution afin de garantir l’harmonisation de la fourniture, du codage et de l’enregistrement des données de santé électroniques. Les États membres devraient œuvrer à la mise en place de services et de systèmes de santé électroniques européens offrant des avantages économiques et sociaux durables ainsi que des applications interopérables, de manière à atteindre un niveau élevé de confiance et de sécurité, à renforcer la continuité des soins et à garantir l’accès à des soins de santé de haute qualité et sûrs. Les infrastructures de données de santé et les registres existants mis en place par les institutions et les parties prenantes peuvent contribuer à définir et à mettre en œuvre des normes de données et à assurer l’interopérabilité, et il convient de continuer à les exploiter pour tirer parti de l’expertise engrangée.

(62 bis)

Il est essentiel d’améliorer la maîtrise des outils numériques de santé pour les personnes physiques ainsi que pour les professionnels de la santé qui les suivent afin de renforcer la confiance, la sécurité et la bonne utilisation des données de santé et, ainsi, de parvenir à mettre pleinement en œuvre le présent règlement. L’amélioration de la maîtrise des outils numériques de santé est cruciale pour donner aux personnes physiques le contrôle véritable de leurs données de santé et la gestion active de leurs parcours de soins, et leur permettre de comprendre les implications de la gestion de ces données pour une utilisation primaire et secondaire. Il convient donc que les États membres, collectivités régionales et locales comprises, agissent en faveur de la maîtrise des outils numériques de santé et de la sensibilisation du public tout en s’assurant que la mise en œuvre du présent règlement contribue à la réduction des inégalités et n’entraîne pas de discrimination à l’encontre des populations présentant des lacunes numériques. Une attention particulière devrait être portée aux personnes handicapées et aux groupes vulnérables, dont les migrants et les personnes âgées. Les professionnels de la santé et les techniciens informatiques devraient être suffisamment formés aux nouvelles infrastructures numériques pour garantir la cybersécurité et la gestion éthique des données de santé.

(63)

L’utilisation des fonds devrait également contribuer à la réalisation des objectifs de l’EHDS. Les acheteurs publics, les autorités nationales compétentes des États membres, y compris les autorités de santé numérique et les organismes d’accès aux données de santé, ainsi que la Commission, devraient faire référence aux spécifications techniques, normes et profils applicables en matière d’interopérabilité, de sécurité et de qualité des données, ainsi qu’aux autres exigences élaborées au titre du présent règlement lorsqu’ils définissent les conditions des marchés publics, des appels à propositions et de l’attribution des fonds de l’Union, y compris les fonds structurels et de cohésion.

(63)

L’utilisation des fonds devrait également contribuer à la réalisation des objectifs de l’EHDS. Les acheteurs publics, les autorités nationales compétentes des États membres, y compris les autorités de santé numérique et les organismes responsables de l’accès aux données de santé, ainsi que la Commission, devraient faire référence aux spécifications techniques, normes et profils applicables en matière d’interopérabilité, de sécurité et de qualité des données, ainsi qu’aux autres exigences élaborées au titre du présent règlement lorsqu’ils définissent les conditions des marchés publics, des appels à propositions et de l’attribution des fonds de l’Union, y compris les fonds structurels et de cohésion. Pour obtenir ou financer des services fournis par des responsables du traitement et des sous-traitants établis dans l’Union qui traitent des données de santé électroniques à caractère personnel, ceux-ci devraient être tenus de démontrer qu’ils conserveront les données dans l’Union et qu’ils ne sont pas assujettis à des législations de pays tiers contraires aux règles en matière de protection des données de l’Union. Les fonds de l’Union doivent être répartis de manière adéquate et suffisante entre les États membres en veillant à ce qu’ils soient dotés comme il se doit et en tenant compte des différents niveaux de numérisation des systèmes de santé et des coûts liés à l’interopérabilité et à la compatibilité des infrastructures de données nationales avec les exigences de l’EHDS. La mise à disposition de données à des fins d’utilisation secondaire nécessite des ressources supplémentaires pour les systèmes de soins de santé, en particulier les systèmes publics. Il convient d’aborder et de réduire au minimum cette charge supplémentaire pour les entités publiques autant que possible pendant la phase de mise en œuvre de l’EHDS.

(63 bis)

Les coûts économiques de la mise en œuvre du présent règlement devraient être supportés tant au niveau des États membres qu’au niveau de l’Union, et il convient de parvenir à un partage équitable de cette charge entre les fonds nationaux et ceux de l’Union. Le financement initial de l’Union pour parvenir à mettre en œuvre l’EHDS en temps voulu se limite aux fonds qui peuvent être mobilisés dans le cadre financier pluriannuel (CFP) pour la période 2021-2027, dans lequel 220 millions d’EUR peuvent être mis à disposition au titre du programme «L’UE pour la santé» et du programme pour une Europe numérique. Toutefois, aux fins d’une mise en œuvre efficace et cohérente de l’EHDS dans tous les États membres, un financement plus important sera nécessaire. La mise en œuvre de l’EHDS nécessite des investissements appropriés dans le renforcement des capacités et la formation, ainsi qu’un bon financement en faveur de la consultation et de la participation du public. Dès lors, la Commission devrait mobiliser des ressources supplémentaires pour l’EHDS dans le cadre du réexamen du CFP 2021-2027 et du prochain CFP, en vertu du principe selon lequel les nouvelles initiatives devraient être assorties de nouveaux financements.

(64 bis)

Le fonctionnement de l’EHDS implique le traitement d’une grande quantité de données à caractère personnel et non personnel hautement sensibles. En vertu de l’article 8, paragraphe 3, de la charte des droits fondamentaux de l’Union européenne, une autorité indépendante doit contrôler le traitement de ces données de santé. Le contrôle du respect des exigences de protection et de sécurité par une autorité de contrôle indépendante, effectué en vertu du droit de l’Union, est une composante essentielle de la protection des personnes à l’égard du traitement des données à caractère personnel et ne peut être pleinement assuré en l’absence d’une obligation de conserver les données de santé électroniques en question au sein de l’Union. Par conséquent, compte tenu de la nécessité d’atténuer les risques d’accès illicite et de surveillance inefficace, dans le respect du principe de proportionnalité, le présent règlement devrait imposer aux États membres de stocker les données de santé électroniques dans l’Union. Ces exigences en matière de stockage devraient garantir un niveau élevé et uniforme de protection des personnes concernées au sein de l’Union, préserver le bon fonctionnement du marché intérieur, conformément à l’article 114 du traité FUE, qui constitue la base juridique du présent règlement, et permettre de renforcer la confiance des citoyens dans l’EHDS.

(64 ter)

L’obligation de stocker les données de santé électroniques dans l’Union n’exclut pas les transferts de ces données vers des pays tiers ou à des organisations internationales par l’octroi d’un accès aux données de santé électroniques. L’accès aux données par l’intermédiaire de l’environnement de traitement sécurisé peut impliquer le transfert de données à caractère personnel, tel que défini au chapitre V du règlement (UE) 2016/679. Il est possible de concilier une obligation générale de stocker les données à caractère personnel dans l’Union avec des transferts spécifiques autorisés en vertu du droit de l’Union en matière de protection des données à caractère personnel, par exemple dans le cadre de la recherche scientifique, de la prestation de soins ou de la coopération internationale. En particulier, il importe que, lorsque des données à caractère personnel sont transférées de l’Union à des responsables du traitement, à des sous-traitants ou à d’autres destinataires dans des pays tiers ou à des organisations internationales, le niveau de protection des personnes physiques garanti dans l’Union par le règlement (UE) 2016/679 ne soit pas compromis, y compris en cas de transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l’organisation internationale à des responsables du traitement ou des sous-traitants dans le même pays tiers ou dans un pays tiers différent, ou à une autre organisation internationale. Les transferts de données de santé à caractère personnel vers des pays tiers ou à des organisations internationales ne peuvent être effectués que dans le plein respect du chapitre V du règlement (UE) 2016/679. Ainsi, les responsables du traitement et les sous-traitants qui traitent des données de santé électroniques à caractère personnel restent soumis à l’article 48 dudit règlement relatif aux transferts et aux divulgations non autorisés par le droit de l’Union et doivent se conformer à cette disposition en cas de demande d’accès émanant d’un pays tiers. Conformément aux conditions prévues à l’article 9, paragraphe 4, du règlement (UE) 2016/679, les États membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne les transferts de données de santé à caractère personnel vers des pays tiers ou à des organisations internationales.

(64 quater)

L’accès des entités de pays tiers aux données de santé électroniques ne devrait avoir lieu que sur la base du principe de réciprocité. La mise à disposition de données de santé à un pays tiers ne peut avoir lieu que si la Commission a établi, au moyen d’un acte délégué, que le pays tiers concerné autorise les entités de l’Union à utiliser les données de santé dans les mêmes conditions et avec les mêmes garanties qu’au sein de l’Union. La Commission devrait contrôler cette liste et prévoir un réexamen périodique de celle-ci. Lorsque la Commission constate qu’un pays tiers n’assure plus l’accès aux mêmes conditions, ce pays tiers devrait être retiré de cette liste.

(65)

Afin de promouvoir l’application cohérente du présent règlement, un comité de l’espace européen des données de santé (comité de l’EHDS) devrait être mis en place. La Commission devrait participer à ses activités et le présider. L’objectif est l’application cohérente du présent règlement dans l’ensemble de l’Union, notamment en aidant les États membres à coordonner l’utilisation des données de santé électroniques pour les soins, la certification, mais aussi concernant l’utilisation secondaire des données de santé électroniques. Au niveau national, les autorités de santé numérique qui s’occupent de l’utilisation primaire des données de santé électroniques peuvent être différentes des organismes d’accès aux données de santé qui s’occupent de l’utilisation secondaire des données de santé électroniques. Ces fonctions sont différentes et il est nécessaire de coopérer de manière distincte dans chacun de ces domaines. Le comité de l’EHDS devrait pouvoir créer des sous-groupes chargés de ces deux fonctions, ainsi que d’autres sous-groupes, selon les besoins. Pour travailler efficacement, les autorités de santé numérique et les organismes d’accès aux données de santé devraient créer des réseaux et des liens au niveau national avec différents autres organismes et autorités, mais aussi au niveau de l’Union. Ces organismes pourraient comprendre les autorités de protection des données, les organes de cybersécurité ou d’identification électronique, les organismes de normalisation, ainsi que les organes et groupes d’experts relevant des règlements […], […], […] et […] [acte sur la gouvernance des données, règlement sur les données, législation sur l’intelligence artificielle et règlement sur la cybersécurité].

(65)

Afin de promouvoir l’application cohérente du présent règlement, y compris l’interopérabilité transfrontière des données de santé, ainsi que d’éventuels mécanismes de soutien financier pour assurer un développement égal des systèmes de données dans l’ensemble de l’Union en ce qui concerne l’utilisation primaire et secondaire des données de santé électroniques, un comité de l’espace européen des données de santé (comité de l’EHDS) devrait être mis en place. La Commission devrait participer à ses activités et le présider. Le comité de l’EHDS devrait participer à l’application cohérente du présent règlement dans l’ensemble de l’Union, notamment en aidant les États membres à coordonner l’utilisation des données de santé électroniques pour les soins, la certification, mais aussi concernant l’utilisation secondaire des données de santé électroniques. Au niveau national, les autorités de santé numérique qui s’occupent de l’utilisation primaire des données de santé électroniques peuvent être différentes des organismes responsables de l’accès aux données de santé qui s’occupent de l’utilisation secondaire des données de santé électroniques. Ces fonctions sont différentes et il est nécessaire de coopérer de manière distincte dans chacun de ces domaines. Le comité de l’EHDS devrait pouvoir créer des sous-groupes chargés de ces deux fonctions, ainsi que d’autres sous-groupes, selon les besoins. Pour travailler efficacement, les autorités de santé numérique et les organismes responsables de l’accès aux données de santé devraient créer des réseaux et des liens au niveau national avec différents autres organismes et autorités, mais aussi au niveau de l’Union. Ces organismes pourraient comprendre les autorités de protection des données, les organes de cybersécurité ou d’identification électronique, les organismes de normalisation, ainsi que les organes et groupes d’experts relevant des règlements […], […], […] et […] [acte sur la gouvernance des données, règlement sur les données, législation sur l’intelligence artificielle et règlement sur la cybersécurité]. Le comité de l’EHDS devrait fonctionner conformément à son code de conduite, de manière impartiale, indépendante, dans l’intérêt public et de manière transparente, et publier les dates des réunions et les comptes rendus des débats, ainsi qu’un rapport annuel. Il convient en outre de prévoir des garanties suffisantes pour faire en sorte que les membres du comité de l’EHDS ne se trouvent pas en situation de conflit d’intérêts.

(65 bis)

Un forum consultatif devrait être mis en place pour conseiller le comité de l’EHDS dans l’accomplissement de ses tâches en apportant la contribution des parties prenantes sur les questions relatives au présent règlement. Le forum consultatif devrait être composé de représentants des patients, des consommateurs, des professionnels de la santé, des entreprises, des chercheurs scientifiques et du monde universitaire. Sa composition doit être équilibrée et il doit représenter les points de vue des différentes parties prenantes. Les intérêts tant commerciaux que non commerciaux doivent être représentés.

(66 bis)

Toute personne physique devrait avoir le droit d’introduire une réclamation auprès d’une autorité de santé numérique ou d’un organisme responsable de l’accès aux données de santé, en particulier dans l’État membre où elle a sa résidence habituelle, et disposer d’un droit à un recours juridictionnel effectif conformément à l’article 47 de la charte des droits fondamentaux de l’Union européenne si elle estime que les droits que lui confère le présent règlement ne sont pas respectés ou si l’autorité de santé numérique ou l’organisme responsable de l’accès aux données de santé ne donne pas suite à sa réclamation, la refuse ou la rejette, en tout ou en partie, ou si l’entité n’agit pas alors qu’une action est nécessaire pour protéger les droits de la personne physique concernée. L’enquête faisant suite à une réclamation devrait être menée, sous réserve d’un contrôle juridictionnel, dans la mesure appropriée au cas d’espèce. L’autorité de santé numérique ou l’organisme responsable de l’accès aux données de santé devrait informer la personne physique de l’état d’avancement et de l’issue de la réclamation dans un délai raisonnable. Si l’affaire nécessite une enquête plus approfondie ou une coordination avec une autre autorité de santé numérique ou un autre organisme responsable de l’accès aux données de santé, des informations intermédiaires devraient être fournies à la personne physique. Afin de faciliter le dépôt des réclamations, chaque autorité de santé numérique et chaque organisme responsable de l’accès aux données de santé devrait prendre des mesures telles que la fourniture d’un formulaire de réclamation pouvant également être rempli par voie électronique, sans exclure la possibilité d’utiliser d’autres moyens de communication. Lorsque la réclamation concerne les droits des personnes physiques, l’organisme responsable de l’accès aux données de santé devrait en informer les autorités de contrôle au titre du règlement (UE) 2016/679 et leur envoyer une copie de la réclamation.

(66 ter)

Lorsqu’une personne physique estime que les droits que lui confère le présent règlement ont été violés, elle devrait avoir le droit de mandater un organisme, une organisation ou une association à but non lucratif, constitués conformément au droit d’un État membre, dont les objectifs statutaires sont d’intérêt public et qui sont actifs dans le domaine de la protection des données à caractère personnel, pour qu’ils introduisent une réclamation en son nom.

(66 quater)

Toute personne physique ou morale a le droit de former un recours en annulation des décisions du comité de l’EHDS devant la Cour de justice dans les conditions prévues à l’article 263 du traité FUE. En tant que destinataires de ces décisions, les autorités de santé numérique ou les organismes responsables de l’accès aux données de santé concernés qui souhaitent les contester doivent former un recours dans un délai de deux mois à compter de leur notification, comme le prévoit l’article 263 du traité FUE. Conformément à l’article 263 du traité FUE, un détenteur de données de santé, un demandeur de données de santé, un utilisateur de données de santé ou l’auteur d’une réclamation peut former un recours en annulation contre les décisions du comité de l’EHDS qui le concernent dans un délai de deux mois à compter de leur publication sur le site internet du comité de l’EHDS. Sans préjudice de ce droit prévu à l’article 263 du traité FUE, toute personne physique ou morale devrait disposer d’un droit de recours juridictionnel effectif devant la juridiction nationale compétente contre une décision d’une autorité de santé numérique ou d’un organisme responsable de l’accès aux données de santé qui produit des effets juridiques la concernant. Une telle décision concerne en particulier l’exercice, par l’organisme responsable de l’accès aux données de santé, de pouvoirs d’enquête, d’adoption de mesures correctrices et d’autorisation, ou encore le refus ou le rejet de réclamations. Toutefois, le droit à un recours juridictionnel effectif ne couvre pas les mesures prises par les autorités de santé numérique et les organismes responsables de l’accès aux données de santé qui ne sont pas juridiquement contraignantes, telles que les avis émis ou les conseils fournis. Les procédures contre une autorité de santé numérique ou un organisme responsable de l’accès aux données de santé devraient être portées devant les juridictions de l’État membre dans lequel l’autorité de santé numérique ou l’organisme responsable de l’accès aux données de santé est établi et devraient être menées conformément au droit procédural de cet État membre. Ces juridictions devraient disposer d’une pleine compétence, et notamment de celle d’examiner toutes les questions de fait et de droit relatives au litige dont elles sont saisies. Lorsqu’une réclamation est refusée ou rejetée par une autorité de santé numérique ou un organisme responsable de l’accès aux données de santé, l’auteur de la réclamation peut saisir les juridictions du même État membre.

(66 quinquies)

Lorsqu’une juridiction saisie d’une action contre une décision prise par une autorité de santé numérique ou un organisme responsable de l’accès aux données de santé a des raisons de croire que des actions concernant le même accès aux données de santé électroniques par le même utilisateur de données de santé, portant par exemple sur le même objet pour un traitement à des fins d’utilisation secondaire, sont introduites devant une juridiction compétente dans un autre État membre, il convient qu’elle contacte cette autre juridiction afin de confirmer l’existence de telles actions connexes. Si des actions connexes sont pendantes devant une juridiction dans un autre État membre, toute juridiction autre que celle qui a été saisie en premier devrait pouvoir surseoir à statuer ou, à la demande de l’une des parties, se dessaisir au profit de la juridiction saisie en premier si celle-ci est compétente pour connaître de l’action concernée et si le droit dont elle relève permet de regrouper de telles actions connexes. Devraient être réputées connexes les actions qui sont à ce point étroitement liées qu’il y a intérêt à les instruire et à les juger en même temps afin d’éviter que ne soient rendues des décisions inconciliables, issues de procédures séparées.

(66 sexies)

Dans le cas d’une procédure contre un détenteur de données de santé ou un utilisateur de données de santé, le demandeur devrait avoir la possibilité de saisir les juridictions des États membres dans lesquels le détenteur de données de santé ou l’utilisateur de données de santé dispose d’un établissement ou de l’État membre dans lequel réside la personne physique, sauf si le détenteur de données de santé est une autorité publique d’un État membre agissant dans l’exercice de ses prérogatives de puissance publique.

(66 septies)

L’autorité de santé numérique, l’organisme responsable de l’accès aux données de santé, le détenteur de données de santé ou l’utilisateur de données de santé devraient indemniser tout dommage qu’une personne pourrait subir du fait d’un traitement contraire au présent règlement. L’autorité de santé numérique, l’organisme responsable de l’accès aux données de santé, le détenteur de données de santé ou l’utilisateur de données de santé devraient être exemptés de responsabilité s’ils démontrent que le dommage ne leur est nullement imputable. La notion de dommage devrait être interprétée au sens large, à la lumière de la jurisprudence de la Cour de justice, d’une manière qui tienne pleinement compte des objectifs du présent règlement. Cela est sans préjudice de toute action en dommages-intérêts fondée sur une infraction à d’autres règles du droit de l’Union ou du droit national. Un traitement effectué en violation du présent règlement devrait aussi comprendre un traitement effectué en violation des actes délégués et d’exécution adoptés conformément au présent règlement et au droit national précisant les règles relatives au présent règlement. Les personnes physiques devraient recevoir une réparation complète et effective pour le dommage subi. Lorsque les autorités de santé numérique, les organismes responsables de l’accès aux données de santé, les détenteurs de données de santé ou les utilisateurs de données de santé participent au même traitement, chaque acteur devrait être tenu responsable de la totalité des dommages. Toutefois, lorsqu’elles sont associées à la même procédure judiciaire, conformément au droit de l’État membre, il devrait être possible de répartir la réparation en fonction de la responsabilité de chaque autorité de santé numérique, organisme responsable de l’accès aux données de santé, détenteur de données de santé ou utilisateur de données de santé pour les dommages causés par le traitement, à condition qu’une réparation complète et effective de la personne physique ayant subi les dommages soit assurée. Toute autorité de santé numérique, tout organisme responsable de l’accès aux données de santé, tout détenteur de données de santé ou tout utilisateur de données de santé qui a versé une réparation intégrale devrait pouvoir former un recours ultérieur contre d’autres autorités de santé numérique, organismes responsables de l’accès aux données de santé, détenteurs de données de santé ou utilisateurs de données de santé participant au même traitement.

(66 octies)

Lorsque le présent règlement prévoit des règles spécifiques en matière de compétence, notamment en ce qui concerne les procédures visant à former un recours juridictionnel, notamment pour obtenir réparation, à l’encontre d’une autorité de santé numérique, d’un organisme responsable de l’accès aux données de santé, d’un détenteur de données de santé ou d’un utilisateur de données de santé, les règles de compétence générales telles que celles énoncées dans le règlement (UE) no 1215/2012 du Parlement européen et du Conseil (1bis) ne devraient pas porter atteinte à l’application de ces règles spécifiques.

(66 nonies)

Afin de renforcer l’application des règles du présent règlement, des sanctions, y compris des amendes administratives, devraient être infligées pour toute violation du présent règlement, en complément ou à la place des mesures appropriées imposées par l’autorité de santé numérique ou l’organisme responsable de l’accès aux données de santé en vertu du présent règlement. En cas de violation mineure, ou si l’amende susceptible d’être imposée constitue une charge disproportionnée pour une personne physique, un rappel à l’ordre devrait pouvoir être adressé plutôt qu’une amende. Il convient toutefois de tenir dûment compte de la nature, de la gravité et de la durée de la violation, du caractère intentionnel de la violation et des mesures prises pour atténuer le dommage subi, du degré de responsabilité ou de toute violation pertinente commise précédemment, de la manière dont l’autorité de santé numérique ou l’organisme responsable de l’accès aux données de santé a eu connaissance de la violation, du respect des mesures ordonnées à l’encontre du détenteur de données de santé ou de l’utilisateur de données de santé, de l’application d’un code de conduite, et de toute autre circonstance aggravante ou atténuante. L’application de sanctions, amendes administratives comprises, devrait faire l’objet de garanties procédurales appropriées conformément aux principes généraux du droit de l’Union et de la charte des droits fondamentaux, y compris le droit à une protection juridictionnelle effective et à une procédure régulière.

(66 decies)

Les États membres devraient pouvoir déterminer le régime des sanctions pénales applicables en cas de violation du présent règlement, y compris de violation des dispositions nationales adoptées en application et dans les limites du présent règlement. Ces sanctions pénales pourraient aussi comprendre la saisie des profits réalisés en violation du présent règlement. Toutefois, l’application de sanctions pénales en cas de violation de ces dispositions nationales et l’application de sanctions administratives ne devraient pas entraîner la violation du principe ne bis in idem tel qu’il a été interprété par la Cour de justice.

(66 undecies)

Il convient de prévoir des dispositions permettant aux organismes responsables de l’accès aux données de santé d’infliger des amendes administratives pour des infractions au présent règlement, dont certaines sont à considérer comme des infractions graves, telles que la réidentification de personnes physiques, le téléchargement de données de santé à caractère personnel en dehors de l’environnement de traitement sécurisé et le traitement de données à des fins d’utilisations interdites ou sans autorisation de traitement de données. Le présent règlement devrait définir les violations ainsi que le montant maximal et les critères de fixation des amendes administratives dont elles sont passibles, qui devraient être fixés par l’organisme responsable de l’accès aux données de santé compétent dans chaque cas d’espèce, en prenant en considération toutes les caractéristiques propres à chaque cas et compte dûment tenu, notamment, de la nature, de la gravité et de la durée de la violation et de ses conséquences, ainsi que des mesures prises pour garantir le respect des obligations découlant du présent règlement et pour prévenir ou atténuer les conséquences de la violation. Lorsque des amendes administratives sont imposées à une entreprise, le terme «entreprise» doit, à cette fin, être compris comme une entreprise conformément aux articles 101 et 102 du traité FUE. Lorsque des amendes administratives sont imposées à des personnes qui ne sont pas une entreprise, l’organisme responsable de l’accès aux données de santé devrait tenir compte, lorsqu’il examine quel serait le montant approprié de l’amende, du niveau général des revenus dans l’État membre ainsi que de la situation économique de la personne en cause. Le mécanisme de contrôle de la cohérence pourrait aussi contribuer à une application cohérente des amendes administratives. Il devrait appartenir aux États membres de déterminer si et dans quelle mesure les autorités publiques devraient faire l’objet d’amendes administratives. L’application d’une amende administrative ou le fait de donner un avertissement ne portent pas atteinte à l’exercice d’autres pouvoirs des organismes responsables de l’accès aux données de santé ou à l’application d’autres sanctions en vertu du présent règlement.

(66 duodecies)

Les systèmes juridiques du Danemark et de l’Estonie ne permettent pas d’imposer des amendes administratives comme le prévoit le présent règlement. Il devrait être possible d’appliquer les règles relatives aux amendes administratives de telle sorte que, au Danemark, l’amende soit imposée par les juridictions nationales compétentes sous la forme d’une sanction pénale et, en Estonie, l’amende soit imposée par l’autorité de contrôle dans le cadre d’une procédure de délit, à condition qu’une telle application des règles dans ces États membres ait un effet équivalent aux amendes administratives imposées par les autorités de contrôle. C’est pourquoi les juridictions nationales compétentes devraient tenir compte de la recommandation formulée par l’organisme responsable de l’accès aux données de santé qui est à l’origine de l’amende. En tout état de cause, les amendes imposées devraient être effectives, proportionnées et dissuasives.

(66 terdecies)

Lorsque le présent règlement n’harmonise pas les sanctions administratives ou si cela est rendu nécessaire dans d’autres circonstances, par exemple en cas de violation grave du présent règlement, les États membres devraient mettre en œuvre un système qui prévoit des sanctions effectives, proportionnées et dissuasives. La nature de ces sanctions pénales ou administratives devrait être déterminée par le droit national.

(69 bis)

Conformément à l’article 42 du règlement (UE) 2018/1725, lors de l’élaboration d’actes délégués ou d’actes d’exécution, la Commission devrait consulter le Contrôleur européen de la protection des données en cas d’incidence sur la protection des droits et libertés des personnes physiques à l’égard du traitement des données à caractère personnel et, lorsqu’un tel acte revêt une importance particulière pour la protection des droits et libertés des personnes physiques à l’égard du traitement des données à caractère personnel, la Commission peut également consulter le comité européen de la protection des données. En outre, la Commission devrait consulter le comité européen de la protection des données dans les cas spécifiés dans le règlement (UE) 2016/679 et lorsque cela est pertinent dans le contexte du présent règlement.

(70)

Les États membres devraient prendre toutes les mesures nécessaires pour que les dispositions du présent règlement soient mises en œuvre et, notamment, prévoir des sanctions effectives, proportionnées et dissuasives en cas de violation de ces dispositions. Pour certaines infractions spécifiques , les États membres devraient tenir compte des marges et des critères définis dans le présent règlement.

(70)

Les États membres devraient prendre toutes les mesures nécessaires pour que les dispositions du présent règlement soient mises en œuvre et, notamment, prévoir des sanctions effectives, proportionnées et dissuasives en cas de violation de ces dispositions. Pour décider du montant de la sanction dans chaque cas d’espèce , les États membres devraient tenir compte des marges et des critères définis dans le présent règlement. La réidentification des personnes physiques devrait être considérée comme une violation particulièrement grave du présent règlement. Les États membres devraient pouvoir envisager de criminaliser la réidentification par les utilisateurs de données de santé à des fins de dissuasion.

(71)

Afin de déterminer si le présent règlement atteint ses objectifs de manière effective et efficace, s’il est cohérent et toujours pertinent et s’il apporte une valeur ajoutée au niveau de l’Union, la Commission devrait procéder à une évaluation du présent règlement. La Commission devrait procéder à une évaluation partielle du présent règlement 5 ans après son entrée en vigueur, sur l’autocertification des systèmes de DME, et à une évaluation globale du présent règlement 7 ans après son entrée en vigueur. La Commission devrait transmettre des rapports sur ses principales constatations à la suite de chaque évaluation au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions.

(71)

Afin de déterminer si le présent règlement atteint ses objectifs de manière effective et efficace, s’il est cohérent et toujours pertinent et s’il apporte une valeur ajoutée au niveau de l’Union, la Commission devrait procéder à une évaluation du présent règlement. La Commission devrait procéder à une évaluation partielle du présent règlement 5 ans après son entrée en vigueur, et à une évaluation globale du présent règlement 7 ans après son entrée en vigueur. La Commission devrait transmettre des rapports sur ses principales constatations à la suite de chaque évaluation au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions.

(74)

Le Contrôleur européen de la protection des données et le comité européen de la protection des données ont été consultés conformément à l’article 42 du règlement (UE) 2018/1725 et ont rendu un avis le […] .

(74)

Le Contrôleur européen de la protection des données et le comité européen de la protection des données ont été consultés conformément à l’article 42 du règlement (UE) 2018/1725 et ont rendu leur avis conjoint 03/2022 le 12 juillet 2022 .

(76)

Compte tenu de la nécessité d’une préparation technique, le présent règlement devrait être applicable à partir de la date correspondant à [ 12 mois après son entrée en vigueur],

(76)

Compte tenu de la nécessité d’une préparation technique, le présent règlement devrait être applicable à partir de la date correspondant à [ 24 mois après son entrée en vigueur],

a)

renforce les droits des personnes physiques en ce qui concerne la disponibilité et le contrôle de leurs données de santé électroniques;

a)

précise les droits des personnes physiques en ce qui concerne la disponibilité , le partage et le contrôle de leurs données de santé électroniques;

a)

aux fabricants et fournisseurs de systèmes de DME et d’applications de bien-être mis sur le marché et mis en service dans l’Union, ainsi qu’aux utilisateurs de ces produits;

a)

aux fabricants et fournisseurs de systèmes de DME et d’applications de bien-être , ainsi que de produits pour lesquels l’interopérabilité avec les systèmes de DME est revendiquée, mis sur le marché et mis en service dans l’Union, ainsi qu’aux utilisateurs de ces produits;

c)

les définitions des termes «données», «accès», «altruisme en matière de données», «organisme du secteur public» et «environnement de traitement sécurisé» figurant à l’article 2, points 1), 8), 10), 11) et 14) de [l’acte sur la gouvernance des données, COM ( 2020 ) 767 final] ;

c)

les définitions des termes «données», «accès», «altruisme en matière de données», «organisme du secteur public» et «environnement de traitement sécurisé» figurant à l’article 2, points 1), 8), 10), 11) et 14) du règlement ( UE ) 2022/868 ;

a)

«données de santé électroniques à caractère personnel», les données concernant la santé et les données génétiques telles que définies dans le règlement (UE) 2016/679 , ainsi que les données se rapportant aux déterminants de la santé, ou les données traitées dans le cadre de la prestation de services de soins de santé , qui existent sous forme électronique;

a)

«données de santé électroniques à caractère personnel», les données concernant la santé et les données génétiques telles que définies dans le règlement (UE) 2016/679, qui existent sous forme électronique;

b)

«données de santé électroniques à caractère non personnel», les données concernant la santé et les données génétiques sous forme électronique qui ne répondent pas à la définition des données à caractère personnel énoncée à l’article 4, point 1, du règlement (UE) 2016/679;

b)

«données de santé électroniques à caractère non personnel», les données concernant la santé et les données génétiques agrégées sous forme électronique qui ne répondent pas à la définition des données à caractère personnel énoncée à l’article 4, point 1), du règlement (UE) 2016/679; lorsque des données à caractère personnel et des données à caractère non personnel contenues dans ensemble de données sont inextricablement liées, l’ensemble de données est traité dans son intégralité en tant qu’ensemble de données de santé électroniques à caractère personnel;

d)

«utilisation primaire des données de santé électroniques», le traitement de données de santé électroniques à caractère personnel pour la fourniture de services de santé visant à évaluer, maintenir ou rétablir l’état de santé de la personne physique à laquelle ces données se rapportent, y compris la prescription, la dispensation et la fourniture de médicaments et de dispositifs médicaux, ainsi que pour les services de sécurité sociale, administratifs ou de remboursement pertinents;

d)

«utilisation primaire des données de santé électroniques», le traitement de données de santé électroniques pour la fourniture de services de santé visant à évaluer, maintenir ou rétablir l’état de santé de la personne physique à laquelle ces données se rapportent, y compris la prescription, la dispensation et la fourniture de médicaments et de dispositifs médicaux, ainsi que pour les services de sécurité sociale, administratifs ou de remboursement pertinents;

e)

«utilisation secondaire des données de santé électroniques», le traitement de données de santé électroniques aux fins énoncées au chapitre IV du présent règlement. Les données utilisées peuvent inclure des données de santé électroniques à caractère personnel initialement collectées dans le cadre d’une utilisation primaire, mais aussi des données de santé électroniques collectées à des fins d’utilisation secondaire ;

e)

«utilisation secondaire des données de santé électroniques», le traitement de données de santé électroniques aux fins énoncées au chapitre IV du présent règlement. Les données utilisées peuvent inclure des données de santé électroniques à caractère personnel initialement collectées dans le cadre d’une utilisation primaire, mais aussi des données de santé électroniques collectées aux fins énoncées au chapitre IV du présent règlement ;

j)

«service d’accès des professionnels de la santé», un service qui, accompagné par un système de DME, permet aux professionnels de la santé d’accéder aux données de leurs patients personnes physiques;

k)

«destinataire de données», une personne physique ou morale qui reçoit des données d’un autre responsable du traitement dans le cadre de l’utilisation primaire de données de santé électroniques;

k)

«destinataire de données de santé», un destinataire tel que défini à l’article 4, point 9), du règlement (UE) 2016/679, dans le cadre de l’utilisation primaire de données de santé électroniques;

l)

«télémédecine», la fourniture de services de soins de santé, y compris de soins à distance et de pharmacies en ligne , au moyen des technologies de l’information et de la communication, dans des situations où le professionnel de la santé et le patient (ou plusieurs professionnels de la santé) ne se trouvent pas au même endroit;

l)

«télémédecine», la fourniture de services de soins de santé, y compris de soins à distance, au moyen des technologies de l’information et de la communication, dans des situations où le professionnel de la santé et le patient (ou plusieurs professionnels de la santé) ne se trouvent pas au même endroit;

m)

«DME» (dossier médical électronique), un ensemble de données de santé électroniques relatives à une personne physique collectées dans le système de santé et traitées à des fins de soins de santé;

m)

«DME» (dossier médical électronique), un ensemble de données de santé électroniques relatives à une personne physique collectées dans le système de santé et traitées aux fins de la fourniture de services de soins de santé;

n)

«système de DME» (système de dossiers médicaux électroniques), tout appareil ou logiciel destiné par son fabricant à être utilisé pour le stockage, l’intermédiation, l’importation, l’exportation, la conversion, l’édition ou la consultation des dossiers médicaux électroniques;

n)

«système de DME» (système de dossiers médicaux électroniques), tout produit (matériel informatique ou logiciel ) principalement destiné par son fabricant à être utilisé pour le stockage, l’intermédiation, l’importation, l’exportation, la conversion, l’édition ou la consultation des dossiers médicaux électroniques par les professionnels de la santé, ou dont l’utilisation à ces fins peut raisonnablement être envisagée par son fabricant ;

o)

«application de bien-être», tout appareil ou logiciel destiné par son fabricant à être utilisé par une personne physique pour le traitement de données de santé électroniques à d’autres fins que les soins de santé, par exemple à des fins de bien-être ou de poursuite de modes de vie sains;

q)

«incident grave», tout dysfonctionnement ou toute détérioration des caractéristiques ou des performances d’un système de DME mis à disposition sur le marché qui entraîne, pourrait avoir entraîné ou pourrait entraîner , directement ou indirectement:

q)

«incident grave», tout dysfonctionnement ou toute détérioration des caractéristiques ou des performances d’un système de DME mis à disposition sur le marché qui entraîne, a entraîné ou est susceptible d’entraîner , directement ou indirectement:

i)

le décès d’une personne physique ou des dommages graves à la santé d’une personne physique;

i)

le décès d’une personne physique ou des dommages graves à la santé ou aux droits d’une personne physique;

y)

«détenteur de données» , toute personne physique ou morale qui est une entité ou un organisme du secteur de la santé ou des soins ou qui effectue des recherches dans ces secteurs, ainsi que les institutions, organes et organismes de l’Union qui ont le droit ou l’obligation , conformément au présent règlement, au droit de l’Union applicable ou à la législation nationale le mettant en œuvre , ou, dans le cas de données à caractère non personnel, par le contrôle de la conception technique d’un produit et de services liés, la capacité de mettre à disposition certaines données, y compris de les enregistrer, de les fournir, d’en restreindre l’accès ou de les échanger;

y)

«détenteur de données de santé» , toute personne physique ou morale qui est une entité ou un organisme du secteur de la santé , de la sécurité sociale ou des soins , ou du secteur des services de remboursement, ou qui effectue des recherches dans ces secteurs, ainsi que les institutions, organes et organismes de l’Union , qui, conformément au présent règlement, au droit de l’Union applicable ou à la législation nationale le mettant en œuvre:

i)

est un responsable du traitement au sens du règlement (UE) 2016/679 et a le droit ou l’obligation, conformément au présent règlement, au droit de l’Union applicable ou à la législation nationale le mettant en œuvre, de traiter des données de santé électroniques à caractère personnel; ou

ii)

a la capacité de mettre à disposition des données de santé électroniques à caractère non personnel, y compris de les enregistrer, de les fournir, d’en restreindre l’accès ou de les échanger, par le contrôle de la conception technique d’un produit et de services liés;

z)

«utilisateur de données» , une personne physique ou morale qui dispose d’un accès licite aux données de santé électroniques à caractère personnel ou non personnel à des fins d’utilisation secondaire ;

z)

«utilisateur de données de santé» , une personne physique ou morale ou une institution, un organe ou un organisme de l’Union qui dispose , conformément au présent règlement, d’un accès licite aux données de santé électroniques à des fins d’utilisation secondaire au titre d’une autorisation de traitement de données ou d’une demande de données de santé ;

z bis)

«demandeur de données de santé», toute personne physique ou morale ayant un lien professionnel démontrable avec les secteurs des soins de santé, de la santé publique ou de la recherche médicale et qui soumet une demande de données de santé;

a bis)

«autorisation de traitement de données», une décision administrative délivrée par un organisme responsable de l’accès aux données de santé ou par un détenteur de données à un utilisateur de données, lui donnant le droit de traiter les données de santé électroniques indiquées dans l’autorisation aux fins des utilisations secondaires précisées dans ladite autorisation, sur la base des conditions énoncées dans le présent règlement;

a bis)

«autorisation de traitement de données de santé », une décision administrative délivrée par un organisme responsable de l’accès aux données de santé ou par un détenteur de données à un utilisateur de données, lui donnant le droit de traiter les données de santé électroniques indiquées dans l’autorisation aux fins des utilisations secondaires précisées dans ladite autorisation, sur la base des conditions énoncées dans le présent règlement;

ae bis)

«application de bien-être», tout appareil ou logiciel destiné par son fabricant à être utilisé par une personne physique pour le traitement de données de santé électroniques afin spécifiquement de fournir des informations sur l’état de santé de personnes individuelles, de gérer, préserver ou améliorer cet état de santé, ou encore de prodiguer des soins.

a)

mettent en place, à l’échelon national, régional ou local, un ou plusieurs services d’accès aux données de santé électroniques permettant l’exercice des droits prévus aux paragraphes 1 et 2 ;

a)

mettent en place, à l’échelon national, régional ou local, un ou plusieurs services d’accès aux données de santé électroniques permettant l’exercice des droits prévus au présent article ;

b)

mettent en place un ou plusieurs services de procuration permettant à une personne physique d’autoriser d’autres personnes physiques de son choix à accéder à ses données de santé électroniques en son nom.

b)

mettent en place un ou plusieurs services de procuration permettant à une personne physique d’autoriser légalement d’autres personnes physiques de son choix à accéder à ses données de santé électroniques en son nom pendant une période déterminée ou indéterminée en cas de besoin, uniquement à des fins spécifiques, ou permettant aux représentants légaux de patients d’accéder aux données de santé électroniques des personnes physiques dont ils gèrent les affaires, conformément au droit national .

a)

ont accès aux données de santé électroniques de leurs patients personnes physiques, quels que soient l’État membre d’affiliation et l’État membre de traitement;

a)

ont accès , sur la base des principes de minimisation des données et de limitation de la finalité, aux données de santé électroniques de leurs patients personnes physiques et exclusivement aux fins de leur traitement, y compris l’administration concernée , quels que soient l’État membre d’affiliation et l’État membre de traitement , conformément à l’article 9, paragraphe 2, point h), du règlement 2016/679 ;

e)

résultats de laboratoire;

e)

résultats de laboratoire , résultats de tests médicaux et autres résultats complémentaires et de diagnostics ;

f)

lettres de sortie d’hospitalisation.

f)

lettres de sortie d’hospitalisation du patient;

f bis)

directives médicales des personnes physiques et informations sur le consentement pour les substances d’origine humaine et les dons d’organes.

a)

elles sont pertinentes pour les services de santé fournis à des personnes physiques;

b)

selon les informations les plus récentes, elles sont utilisées dans un nombre important de systèmes de DME adoptés dans les États membres;

c)

des normes internationales existent en ce qui les concerne, et ces normes ont été examinées en vue de leur application dans l’Union.

a)

des ensembles de données contenant des données de santé électroniques et définissant des structures, telles que des champs de données et des groupes de données pour la représentation de contenu clinique et d’autres parties des données de santé électroniques;

a)

des ensembles de données harmonisés contenant des données de santé électroniques et définissant des structures, telles que des champs minimaux de données et des groupes de données pour la représentation de contenu clinique et d’autres parties des données de santé électroniques , qui peuvent être élargis pour inclure des données relatives à des maladies spécifiques ;

c)

des spécifications techniques pour l’échange de données de santé électroniques, y compris la représentation du contenu, les normes et les profils.

c)

des spécifications techniques d’interopérabilité pour l’échange de données de santé électroniques, y compris la représentation du contenu, les normes et les profils , ainsi que pour la traduction des données de santé électroniques .

a)

les catégories de prestataires de soins de santé qui doivent enregistrer les données de santé par voie électronique;

b)

les catégories de données de santé que les prestataires de soins de santé visés au point a) doivent systématiquement enregistrer au format électronique;

c)

les exigences en matière de qualité des données relatives à l’enregistrement des données de santé électroniques.

b)

veiller à ce que des informations complètes et actualisées sur la mise en œuvre des