Les CNIL européennes adoptent un avis sur l’Espace européen des données de santé et renforcent leur coopération sur les cas stratégiques
Le 12 juillet 2022, le Comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données ont adopté un avis sur l’Espace européen des données de santé et sélectionné trois cas transfrontaliers stratégiques pour lesquels prioriser une coopération renforcée.
Un avis conjoint sur l’Espace européen des données de santé
Le Comité européen de la protection des données a adopté, conjointement avec le Contrôleur européen de la protection des données, un avis sur la proposition de la Commission européenne d’un règlement relatif à la création d’un Espace européen des données de santé (European health data space ou EHDS en anglais).
Dans cet avis, ils attirent l'attention des co-législateurs sur un certain nombre de préoccupations majeures concernant ce projet, et invitent les co-législateurs à :
- se prononcer pour la localisation sur le territoire de l’Union européenne des données de santé entrant dans le champ de la proposition en raison notamment de leur sensibilité et du volume que ces dernières représentent (500 millions de citoyens européens) .
- clarifier les interactions entre cette proposition et le RGPD afin d’assurer une application cohérente des deux textes et notamment en ce qui concerne les droits des personnes concernées ;
- retenir la compétence exclusive des autorités de protection de données dans le traitement de toute question relative à la protection des données personnelles ;
- limiter strictement les exceptions apportées aux droits des personnes concernées garantis par le RGPD ;
- exclure les données collectées par les applications de bien-être et d’autres applications numériques du champ de la proposition ;
- respecter le principe de minimisation en limitant l’accès aux données de santé aux stricts besoins des professionnels de santé intervenant dans le cadre des usages primaires des données de santé ;
- mieux délimiter les objectifs poursuivis dans le cadre des usages secondaires des données de santé, en démontrant notamment un lien suffisant avec des enjeux de protection sociale et de santé publique ;
- définir une articulation cohérente entre les missions du nouveau Comité EHDS et celles des « groupes de responsabilité conjointe », dont les dénominations portent, par ailleurs, à confusion.
Une procédure d’identification des cas transfrontaliers d’importance stratégique
Le CEPD a adopté lors de la plénière une liste indicative de critères pour identifier les cas transfrontaliers stratégiques pour lesquels prioriser des actions de mise en conformité. Il a également sélectionné les 3 premiers cas stratégiques pilotes pour lesquels, la coopération des autorités de protection des données sera renforcée.
Ces travaux s’inscrivent dans la continuité de la déclaration sur la coopération européenne (en anglais) par laquelle les autorités de l’UE avaient réitéré leur engagement pour une coopération transfrontalière plus étroite et plus collective, notamment en vue d’avoir des procédures plus rapides et structurantes à l’encontre d’acteurs majeurs du numérique.
Afin d’être identifiés comme stratégiques, les cas doivent répondre à un ou plusieurs des critères ci-dessous :
- le cas est lié à un problème structurel ou récurrent dans plusieurs États membres, en particulier s’il soulève une question juridique générale relative à l'interprétation, l'application ou la mise en œuvre du RGPD ;
- le cas concerne situe à l’intersection de la protection des données et d'autres domaines juridiques ;
- un grand nombre de personnes, dans plusieurs États membres, sont concernées ;
- de nombreuses plaintes ont été reçues dans plusieurs États membres ;
- le cas soulève une question fondamentale relevant de la stratégie du CEPD ;
- le cas peut entraîner un risque élevé au regard du RGPD, notamment si :
- des données sensibles sont traitées ;
- des personnes vulnérables, telles que les mineurs, sont concernées ;
- une analyse d'impact sur la protection des données (AIPD) est requise pour le traitement concerné.
En pratique, une autorité de protection des données, comme la CNIL, pourra présenter un cas répondant à l’un de ces critères à ses homologues du CEPD, qui décideront alors si le cas en question peut être considéré comme stratégique.
Un second document vient préciser la procédure de sélection qui comporte deux phases distinctes :
- une phase de sélection rapide des cas pilotes avant la période estivale dans le but d’expérimenter rapidement la procédure de coopération ;
- une seconde phase, plus structurelle et récurrente, de sélection annuelle des cas stratégiques, qui commencera à l’été 2022.
Pour approfondir
- Le comité européen de la protection des données prend des mesures supplémentaires en vue d’une coopération plus étroite concernant les dossiers stratégiques - CEPD
- Le Comité européen de la protection des données
- L’espace européen des données de santé doit garantir un niveau élevé de protection des données de santé électroniques - CEPD
- Le CEPD publie des lignes directrices sur le calcul des amendes RGPD et sur l’utilisation de la reconnaissance faciale par les autorités