Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les CNIL européennes adoptent un avis sur l’Espace européen des données de santé et renforcent leur coopération sur les cas stratégiques

août 2022 par CNIL

Le 12 juillet 2022, le Comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données ont adopté un avis sur l’Espace européen des données de santé et sélectionné trois cas transfrontaliers stratégiques pour lesquels prioriser une coopération renforcée.

Espace européen des données de santé
Un avis conjoint sur l’Espace européen des données de santé

Le Comité européen de la protection des données a adopté, conjointement avec le Contrôleur européen de la protection des données, un avis sur la proposition de la Commission européenne d’un règlement relatif à la création d’un Espace européen des données de santé (European health data space ou EHDS en anglais).

Dans cet avis, ils attirent l’attention des co-législateurs sur un certain nombre de préoccupations majeures concernant ce projet, et invitent les co-législateurs à :

se prononcer pour la localisation sur le territoire de l’Union européenne des données de santé entrant dans le champ de la proposition en raison notamment de leur sensibilité et du volume que ces dernières représentent (500 millions de citoyens européens) .
clarifier les interactions entre cette proposition et le RGPD afin d’assurer une application cohérente des deux textes et notamment en ce qui concerne les droits des personnes concernées ;
retenir la compétence exclusive des autorités de protection de données dans le traitement de toute question relative à la protection des données personnelles ;
limiter strictement les exceptions apportées aux droits des personnes concernées garantis par le RGPD ;
exclure les données collectées par les applications de bien-être et d’autres applications numériques du champ de la proposition ;
respecter le principe de minimisation en limitant l’accès aux données de santé aux stricts besoins des professionnels de santé intervenant dans le cadre des usages primaires des données de santé ;
mieux délimiter les objectifs poursuivis dans le cadre des usages secondaires des données de santé, en démontrant notamment un lien suffisant avec des enjeux de protection sociale et de santé publique ;
définir une articulation cohérente entre les missions du nouveau Comité EHDS et celles des « groupes de responsabilité conjointe », dont les dénominations portent, par ailleurs, à confusion.

Avis conjoint du CEPD et du Contrôleur européen de la protection des données sur la proposition de règlement sur l’EHDS
Une procédure d’identification des cas transfrontaliers d’importance stratégique

Le CEPD a adopté lors de la plénière une liste indicative de critères pour identifier les cas transfrontaliers stratégiques pour lesquels prioriser des actions de mise en conformité. Il a également sélectionné les 3 premiers cas stratégiques pilotes pour lesquels, la coopération des autorités de protection des données sera renforcée.

Ces travaux s’inscrivent dans la continuité de la déclaration sur la coopération européenne (en anglais) par laquelle les autorités de l’UE avaient réitéré leur engagement pour une coopération transfrontalière plus étroite et plus collective, notamment en vue d’avoir des procédures plus rapides et structurantes à l’encontre d’acteurs majeurs du numérique.

Afin d’être identifiés comme stratégiques, les cas doivent répondre à un ou plusieurs des critères ci-dessous :

le cas est lié à un problème structurel ou récurrent dans plusieurs États membres, en particulier s’il soulève une question juridique générale relative à l’interprétation, l’application ou la mise en œuvre du RGPD ;
le cas concerne situe à l’intersection de la protection des données et d’autres domaines juridiques ;
un grand nombre de personnes, dans plusieurs États membres, sont concernées ;
de nombreuses plaintes ont été reçues dans plusieurs États membres ;
le cas soulève une question fondamentale relevant de la stratégie du CEPD ;
le cas peut entraîner un risque élevé au regard du RGPD, notamment si :
des données sensibles sont traitées ;
des personnes vulnérables, telles que les mineurs, sont concernées ;
une analyse d’impact sur la protection des données (AIPD) est requise pour le traitement concerné.

En pratique, une autorité de protection des données, comme la CNIL, pourra présenter un cas répondant à l’un de ces critères à ses homologues du CEPD, qui décideront alors si le cas en question peut être considéré comme stratégique.

Un second document vient préciser la procédure de sélection qui comporte deux phases distinctes :

une phase de sélection rapide des cas pilotes avant la période estivale dans le but d’expérimenter rapidement la procédure de coopération ;
une seconde phase, plus structurelle et récurrente, de sélection annuelle des cas stratégiques, qui commencera à l’été 2022.

Pour approfondir
 EDPB moves ahead with closer cooperation on strategic cases (en anglais)-CEPD
 Le Comité européen de la protection des données
 European Health Data Space must ensure strong protection for electronic health data (en anglais)-CEPD
 Le CEPD publie des lignes directrices sur le calcul des amendes RGPD et sur l’utilisation de la reconnaissance faciale par les autorités


Voir les articles précédents

    

Voir les articles suivants