II. LA NÉCESSITÉ DE GARANTIR LES DROITS PRÉVUS PAR LE RGPD
Les données de santé à caractère personnel sont soumises au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, dit règlement général sur la protection des données, ou RGPD.
Le règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union13(*) prévoit des dispositions particulières pour ce qui est des données de santé à caractère personnel dans le but de garantir les droits des personnes physiques concernées.
Ces deux textes disposent que le traitement des données de santé à caractère personnel est interdit et précisent les conditions dans lesquelles il peut être dérogé à cette interdiction, respectivement à l'article 9 du RGPD et à l'article 10 du règlement (UE) 2018/1725.
A. UNE DÉFINITION DES DONNÉES DE SANTÉ QUI DOIT ÊTRE CONFORME AU RGPD
1. Pour les données à caractère personnel
La proposition de règlement définit les données de santé électroniques à caractère personnel comme « les données concernant la santé et les données génétiques telles que définies par le règlement RGPD, ainsi que les données se rapportant aux déterminants de la santé, ou les données traitées dans le cadre de la prestation de services de soins de santé, qui existent sous forme électronique ». La Commission justifie cette définition en expliquant que les données comprenant les déterminants sociaux, environnementaux et comportementaux seraient particulièrement pertinentes à des fins de recherche notamment.
Néanmoins, il apparaît aux rapporteurs que cela engendrerait une insécurité juridique dans la mesure où le champ ainsi établi ne cadre pas avec les définitions figurant dans le RGPD qui prévoit des dispositions particulières pour les données de santé et les données génétiques.
Ils estiment préférable que les données à caractère personnel qui feront l'objet d'un traitement dans le cadre de cette proposition de règlement soient soumises à la même protection que celle garantie par le RGPD. Les rapporteurs proposent donc de retenir la définition du RGPD dans la proposition de règlement.
2. Pour les données à caractère non personnel
Le Comité européen de la protection des données et le Contrôleur européen de la protection des données ont rendu un avis conjoint sur la proposition de règlement14(*), le 12 juillet 2022. Dans cet avis, ils rappellent que la distinction entre données à caractère personnel et données à caractère non personnel est parfois difficile à faire en pratique. Dans la proposition de règlement, ces dernières sont définies comme les données concernant la santé et les données génétiques qui ne répondent pas à la définition des données à caractère personnel énoncée dans le RGPD.
Dès lors, les rapporteurs estiment que la définition des données de santé à caractère non personnel doit être précisée et que, lorsque celles-ci sont indissociables des données de santé à caractère personnel, les dispositions du RGPD visant ces dernières doivent s'appliquer à l'ensemble.
* 13 Règlement (UE) n° 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE.
* 14 https://edpb.europa.eu/system/files/2023-04/edpb_edps_jointopinion_202203_europeanhealthdataspace_fr.pdf