Application du DGA en santé : le cas des intermédiaires
03 mars 2023 - 13:51,
Tribune
- Laurence Huin, Houdart & AssociésL’application du Data Governance Act au secteur de la santé est identifiée avant tout au travers des dispositions relatives à la réutilisation des données des organismes du secteur public. En effet, derrière la notion d’ « organismes du secteur public » sont visés les établissements publics de santé et médico-sociaux qui seront en premier lieu concernés, sans exclure les établissements privés de santé non lucratifs qui pourront être concernés par la réutilisation de leurs données, à la condition toutefois de répondre aux trois critères cumulatifs des « organismes du secteur public »[1].
Outre cette réutilisation des données des organismes du secteur public, le DGA prévoit des services d’intermédiation qui rappellent fortement les intermédiaires spécifiques au secteur de la santé qui permettent d’accéder aux données de santé du SNDS et tels que visés par l’article L.1461-3 du code de la santé publique.
Services d’intermédiation et laboratoires de recherche ou bureaux d'études
Le DGA prévoit que les services d’intermédiation ont pour objet d’établir des relations commerciales entre des détenteurs de données (voire les personnes concernées directement) et les utilisateurs de données, et ce, par des moyens techniques, juridiques ou autres. A titre de précision, ne sont pas des services d’intermédiation au sens du DGA notamment, les courtiers de données (data brokers) ou encore les services axés sur l’intermédiation de contenus protégés par le droit d’auteur…
Appliqués au secteur de la santé, cette nouvelle qualification d’acteurs de « services d’intermédiation » et le régime instauré par le DGA peuvent faire penser aux intermédiaires prévus par le code de la santé publique : les laboratoires et bureaux d’études.
En effet, l’article L. 1461-3 II du code précité impose aux industriels et assureurs en santé de recourir à un laboratoire ou à un bureau d’études pour accéder aux données du Système national des données de santé (SNDS), sauf s’ils sont en capacité de démontrer qu’ils ne seront pas en mesure de réaliser l’une des « finalités interdites » du SNDS mentionnées au V de l'article L. 1461-1, à savoir :
- 1° La promotion des produits mentionnés au II de l'article L. 5311-1 en direction des professionnels de santé ou d'établissements de santé ;
- 2° L'exclusion de garanties des contrats d'assurance et la modification de cotisations ou de primes d'assurance d'un individu ou d'un groupe d'individus présentant un même risque.
Ces intermédiaires, laboratoires ou bureaux d’études, sont visés également dans la méthodologie de référence 006 (MR006) de la CNIL pour accéder aux données du PMSI.
Au regard de la définition de leurs missions, on comprend le parallèle entre ces acteurs.
Des conditions communes
Le parallèle entre services d’intermédiation visés par le DGA et les laboratoires de recherche ou bureau d’étude prévus par le code de la santé publique ne s’arrête pas là. On note plusieurs similitudes dans leurs obligations.
Tout d’abord, les services d’intermédiation se voient soumis à une obligation de notification à l’autorité compétence du pays préalablement à l’exercice de leur activité et dont le contenu est fixé dans le DGA. Une fois la notification reçue, l’autorité compétente doit confirmer le respect des exigences réglementaires par le service d’intermédiation qui pourra alors utiliser le « label » spécifique prévu pour les services d’intermédiation de données reconnu dans l’Union. La Commission européenne tiendra un registre de tous les prestataires de services d’intermédiation de données.
Corrélativement, on rappellera que les responsables des laboratoires et bureaux d’études prévus par le code de la santé publique sont tenus de réaliser un engagement de conformité à un référentiel[2] auprès de la CNIL[3] qui leur adresse un récépissé. La liste des structures ayant adressé cet engagement de conformité est rendue publique sur le site internet de la Plateforme des données de santé (Health Data Hub)[4].
D’autre part, si certaines obligations prévues par le DGA sont novatrices, telle que l’obligation de tenir un journal de l’activité d’intermédiation de données, d’autres font écho à celles déjà existantes en droit français applicables aux laboratoires et bureaux d’études.
Ainsi, l’interdiction du DGA de réutiliser des données à des fins autres[5] ou l’interdiction de pratiques frauduleuses ou abusives[6] évoque les obligations d’indépendance prévues par l’arrêté de 2017 notamment la déclaration d’indépendance. Les obligations de sécurité pour le stockage, traitement et transmission des données prévues dans le DGA[7] font également penser aux obligations fixées par l’arrêté du 22 mars 2017 relatif au référentiel de sécurité applicable au Système national des données de santé.
Ce parallèle évident entre les services d’intermédiation et les laboratoires et bureaux d’études prévus par le code de la santé publique pour permettre aux industriels et assureurs d’accéder aux données du SNDS devrait convaincre les détenteurs de données de santé – en premier lieu desquels les établissements publics de santé – qu’à partir du 24 septembre prochain, les acteurs du secteur de la santé s’empareront du DGA pour demander la réutilisation des données de santé.
[1] Article 2 18) du DGA
[2] Arrêté du 17 juillet 2017 relatif au référentiel déterminant les critères de confidentialité, d'expertise et d'indépendance pour les laboratoires de recherche et bureaux d'études
[3] Article L. 1461-3 II du code de la santé publique
[4] Consultable ici
[5] Article 12 a du DGA
[6] Article 12 g du DGA
[7] Article 12 l du DGA
L'auteur
Forte d’une solide formation en droit des TIC, Laurence Huin a développé une expertise juridique et technique en matière de projets numériques.
Elle rejoint le Cabinet Houdart & Associés en septembre 2020 et est associée au sein du pôle Santé numérique.
Elle est ainsi régulièrement sollicitée auprès des acteurs du numérique pour les conseiller et les assister dans leurs problématiques contractuelles et pré-contentieuses (mise en conformité à la réglementation en matière de données personnelles, rédaction et négociation de contrats sur des projets, sécurisation juridique de projets, régulation des contenus et e-reputation). [email protected] | www.houdart.org