IV. UN ESPACE EUROPÉEN DES DONNÉES DE SANTÉ DONT LA GOUVERNANCE DOIT ÊTRE COHÉRENTE ET PARTAGÉE
A. UNE GOUVERNANCE FAISANT INTERVENIR PLUSIEURS ENTITÉS À COORDONNER
1. La désignation de plusieurs entités
a) Cinq entités nationales
La proposition de règlement prévoit la désignation d'au moins cinq entités nationales.
Dans le cadre de l'utilisation primaire des données de santé, il est prévu que chaque État membre désigne une autorité de santé numérique responsable de la mise en oeuvre des droits et obligations prévus aux chapitres II et III de la proposition de règlement. Cette autorité aura également pour mission d'assurer, à l'échelon national, la mise en oeuvre du format européen d'échange des dossiers médicaux électroniques et de contribuer au développement de ce format. Chaque État membre désigne également un point de contact national pour la santé numérique afin d'assurer la connexion entre tous les points de contacts nationaux pour la santé numérique et la plateforme centrale pour la santé numérique, MyHealth@EU. Chaque État membre devrait également désigner une ou plusieurs autorités de surveillance du marché des systèmes de DME.
Dans le cadre d'une utilisation secondaire des données de santé, les États membres désignent un ou plusieurs organismes responsables de l'accès aux données de santé chargés d'accorder l'autorisation d'accès aux données de santé électroniques à des fins d'utilisation secondaire. En outre, chaque État membre désigne un point de contact national pour l'utilisation secondaire des données de santé, responsable de la mise à disposition de données de santé à des fins d'utilisation secondaire dans un contexte transfrontière et qui sera le participant autorisé à HealthData@EU pour l'État membre en question.
b) Trois entités européennes
La proposition de règlement prévoit la mise en place d'un comité de l'espace européen des données de santé afin de faciliter la coopération et l'échange d'informations entre les États membres. Ce comité est composé de représentants de haut niveau des autorités de santé numérique des États membres et des organismes responsables de l'accès aux données de santé. La composition, l'organisation et le fonctionnement seront fixés dans le règlement intérieur du comité qui sera proposé par la Commission. Des sous-groupes concernant respectivement l'usage primaire et l'usage secondaire des données de santé pourraient être institués. Ce comité aura pour rôle d'assister les États membres dans la mise en place du futur règlement et devra faciliter l'échange d'informations et la coopération.
Il est également prévu que la Commission établisse deux groupes chargés du contrôle conjoint pour les infrastructures MyHealth@EU et HealthData@EU, composés notamment de représentants des points de contacts nationaux. La composition, l'organisation et le fonctionnement de ces groupes seront fixés dans le règlement intérieur adopté par lesdits groupes. Ces groupes prendront des décisions concernant la mise au point et l'exploitation des infrastructures transfrontières, en ce qui concerne les changements d'infrastructure, l'ajout d'infrastructures ou de services supplémentaires, ou encore la garantie de l'interopérabilité avec d'autres infrastructures.
2. La nécessité d'éviter les conflits de compétence
Potentiellement, ce sont donc au moins cinq entités qui devront être désignées ou créées au niveau national. Il s'agit d'éviter les conflits de compétence entre ces entités mais également avec l'autorité de contrôle instituée en vertu de l'article 51 du RGPD (la CNIL pour la France).
Le Comité européen de la protection des données et le Contrôleur européen de la protection des données suggèrent d'introduire une consultation obligatoire et un devoir de coopération avec les autorités de protection des données en ce qui concerne l'évaluation des réclamations et la mise en oeuvre de la proposition, chaque fois que des aspects liés à la protection des données sont en jeu. En outre, ils soulignent que les autorités chargées de la protection des données sont les seules autorités compétentes pour les questions de protection des données et qu'elles devraient donc rester le seul point de contact pour la personne concernée en ce qui concerne ces questions, y compris dans les cas où ces autorités n'ont pas été consultées.
Pour les rapporteurs, il est nécessaire de bien clarifier les compétences de chaque autorité nouvellement créée et les conditions de leur coopération avec l'autorité de contrôle instituée par le RGPD.