Les entrepôts de données de santé hospitaliers face au DGA

Des entrepôts de données de santé soumis au Data Governance Act

Composante essentielle de la stratégie européenne pour le marché unique des données, ce règlement organise au sein d’un chapitre la réutilisation des données, personnelles ou non, des organismes du secteur public au bénéfice de tout réutilisateur à des fins commerciales ou non. 

L’appel à projets (AAP) "accompagnement et soutien à la constitution d'entrepôts de données de santé (EDS) hospitaliers", d’un montant total de 50 millions d’euros, prévoit à son cahier des charges que pour être retenus les projets devront être portés par un établissement de santé public ou privé ou un GCS, seul ou au sein d’un consortium dont les membres sont là encore des établissements de santé publics ou privés ou des GCS.  

Or, la définition donnée par le DGA des organismes du secteur public concernés par cette réutilisation de leurs données est large. En effet, rentrent dans la définition des organismes du secteur public les organismes de droit public créés pour satisfaire spécifiquement les besoins d’intérêt général, sans caractère industriel ou commercial, dotés de la personnalité juridique et financés majoritairement par l’État, les autorités régionales ou locales ou d’autres organismes de droit public et dont la gestion est soumise à un contrôle de ces autorités ou organismes, ou leur organe est composé de membres dont plus de la moitié sont désignés par l’État, les autorités régionales ou locales ou d’autres organismes de droit public. Sous réserve des règles de gouvernance spécifiques à chaque structure, les établissements de santé privés et les GCS, candidats à l’AAP, pourraient être tout aussi concernés par le DGA que les établissements publics de santé.

Autre critère pour entrer dans le périmètre du DGA : la fourniture des données qui feraient l’objet d’une réutilisation doit relever de la mission de service public dévolue aux organismes du secteur public. Si cette notion de « mission de service public » doit se distinguer de la base légale prévue au RGPD et concernant « l’exécution d’une mission d’intérêt public », cette notion est définie dans le DGA par renvoi à la loi, ou aux autres règles contraignantes en vigueur ou, en l’absence de telles règles, conformément aux pratiques administratives courantes. La lecture du cahier des charges de l’AAP prévoyant que ces EDS permettront de multiplier l’analyse des données massives en santé et le développement de la médecine 5P, via des projets de recherche et d’innovation d’excellence, ne peut que laisser présager que ce critère sera également rempli.

Enfin, l’AAP en exigeant la présentation d’au moins 3 projets de recherche qui devront associer au moins un partenaire extérieur au consortium et portant un projet de recherche et d’innovation, conforte là encore l’application du nouveau règlement européen à ces EDS. En effet, si l’échange de données entre des organismes du secteur public aux seules fins de l’exercice de leur mission de service public ou l’échange de données entre chercheurs à des fins de recherche scientifique non commerciale semblent être exclus du périmètre du DGA, la réutilisation de données à des fins autres que l’objectif initial de la mission de service public pour lequel les données ont été produites est pleinement visée par le DGA. 

Qu’importe cette nouvelle réglementation pourrait-on nous rétorquer, une de plus ou de moins à la longue liste des réglementations en la matière RGPD, HDS, Data Act, Règlement sur l’intelligence artificielle… C’est sans compter les nombreuses implications que recouvre ce nouveau DGA qui sont loin d’être insignifiantes pour les organismes du secteur public. 

Des implications en termes de redevances pour les EDS constitués

Nous pourrions parler de la fin des accords d’exclusivité concernant la réutilisation des données, de la dépossession des organismes du secteur public d’exercer leurs droits de propriété intellectuelle sur leurs bases données ou encore des nouvelles obligations mises à la charge de l’organisme du secteur public afin d’assurer notamment l’anonymisation des données, la mise en place d’environnement sécurisé ou même encore obtenir le consentement des personnes concernées ou l’autorisation des détenteurs de données au bénéfice des réutilisateurs. 

À lire aussi : Entrepôts de données dans le domaine de la santé, la check-list de la CNIL

Nous ne retiendrons ici que les redevances auxquelles pourront prétendre les organismes du secteur public au titre de contreparties financières à la réutilisation de leurs données. En effet, les redevances prévues par le DGA au bénéfice des organismes du secteur public pour autoriser la réutilisation des données à toute personne physique ou morale à des fins commerciales ou non seront uniquement « calculées sur la base des coûts liés à la conduite de la procédure de demande de réutilisation des catégories de données […] et limitées aux coûts nécessaires relatifs:

1. à la reproduction, à la fourniture et à la diffusion des données;
2. à l’acquisition des droits;
3. à l’anonymisation ou à d’autres formes de préparation des données à caractère personnel et des données commerciales confidentielles conformément à l’article 5, paragraphe 3;
4. à la maintenance de l’environnement de traitement sécurisé;
5. à l’acquisition du droit d’autoriser la réutilisation conformément au présent chapitre par des tiers extérieurs au secteur public; et
6. à l’assistance fournie aux réutilisateurs pour obtenir le consentement des personnes concernées et l’autorisation des détenteurs de données dont les droits et intérêts peuvent être affectés par cette réutilisation »

A la lecture de ces dispositions, il est plus que nécessaire que les établissements de santé qui se lancent dans la candidature à cet AAP soient conscients de ces conditions financières alors même que l'aide apportée dans le cadre de cet AAP est limitée à 65% des coûts complets. 

L'auteur 

Forte d’une solide formation en droit des TIC, Laurence Huin a développé une expertise juridique et technique en matière de projets numériques.
Elle rejoint le Cabinet Houdart & Associés en septembre 2020 et est associée au sein du pôle Santé numérique.
Elle est ainsi régulièrement sollicitée auprès des acteurs du numérique pour les conseiller et les assister dans leurs problématiques contractuelles et pré-contentieuses (mise en conformité à la réglementation en matière de données personnelles, rédaction et négociation de contrats sur des projets, sécurisation juridique de projets, régulation des contenus et e-reputation). [email protected] | www.houdart.org