Data Act et Santé, obligations des acteurs et perspectives
Locations
En 2020, la Commission européenne a présenté sa stratégie européenne destinée à la création d'un marché unique de la donnée, et ce afin de tirer pleinement profit de la donnée, qu'elle soit à caractère personnel ou non.
L'idée sous-jacente est de favoriser la circulation et l'utilisation des données, partant du postulat que "Des données de qualité et interopérables provenant de différents domaines permettent d'accroître la compétitivité et l'innovation et de garantir une croissance économique pérenne".
Dans ce contexte, le Data Act a été adopté le 13 décembre 2023 afin d'établir un cadre harmonisé visant au partage des données relatives à un produit ou à un service connexe, avec une entrée en application à partir du 12 septembre 2025.
Adopté en réponse à la prolifération, ces dernières années, des produits connectés à l'internet, plus communément désigné "Internet of Things", ce texte a vocation à s'appliquer très largement.
Le Data Act crée, à la charge des "fabricants de produits connectés" et "fournisseurs de services connexes", une obligation de concevoir leurs produits et fournir leurs services de telle sorte que les données relatives à ces produits et services soient par défaut accessibles à l'utilisateur.
Dans le secteur de la santé, sont utilisés de nombreux produits connectés, tels que les "équipements de santé et de bien-être" (par ex, balances connectées) et les "dispositifs médicaux [DM] et sanitaires" (par ex, prothèses cardiaques implantables). Ces produits connectés sont notamment rattachés à des services connexes sans lesquels ils ne pourraient exécuter certaines de leurs fonctions (par ex, prothèse cardiaque implantable et Dispositif Médical Numérique de télésurveillance associé).
Compte tenu de l'impact de cette obligation sur la conception -et la certification lorsque les produits constituent des DM-, celle-ci ne s'appliquera qu'aux produits connectés et services connexes mis sur le marché après le 12 septembre 2026.
Lorsque les données ne sont pas directement accessibles, ou que l'utilisateur du dispositif connecté demande la mise à disposition des données à un tiers, le Data Act crée une obligation de partage à la charge, non pas du fabricant ou fournisseur, mais du "détenteur de données", applicable dès le 12 septembre 2025.
Se pose donc la question de savoir dans quelles situations le détenteur de données serait une entité distincte de celle du fabricant, soumise à l'obligation de partage. Tel sera le cas lorsque le fabricant ne dispose pas du "contrôle de l'accès aux données" selon la FAQ de la Commission européenne sur le sujet, et ce bien qu'il ait conçu le produit connecté. A ce titre, les sous-traitants, tels que définis par le RGPD, ne sont pas considérés comme agissant en qualité de détenteurs, mais peuvent être spécifiquement chargés par le responsable de traitement de mettre les données à disposition.
Dans un contexte de prise en charge sanitaire, lorsqu'un établissement ou professionnel de santé agit en qualité de responsable de traitement et un fabricant de DM en qualité de sous-traitant, ce dernier ne sera pas considéré comme détenteur. Il en résultera alors que le fabricant de DM ne sera pas soumis à l'obligation de partage, pour autant l'établissement ou professionnel de santé pourra toujours, en qualité de responsable du traitement, l'imposer à son sous-traitant.
D'autres questions émergent quant à l'articulation entre le Data Act et le RGPD.
Les données relatives à un dispositif médical impliqueront quasi systématiquement des données à caractère personnel de santé.
Or, le Data Act ne constitue pas une base juridique pour la collecte ou la génération de données à caractère personnel par le détenteur de données. Dès lors, lorsque l'utilisateur n'est pas la personne concernée, le Data Act ne crée pas de base juridique permettant de donner l'accès à des données à caractère personnel ou de mettre des données à caractère personnel à la disposition d'un tiers.
Le Data Act ne pouvant porter atteinte aux droits des personnes concernées en matière de protection des données, le détenteur de données ne pourra alors donner suite aux demandes qu'en anonymisant les données à caractère personnel ou, lorsque les données facilement accessibles contiennent les données à caractère personnel de plusieurs personnes concernées, en ne transmettant que des données à caractère personnel relatives à l'utilisateur.
S'agissant de la nature des données, le Data Act ne rend obligatoire que la mise à disposition de données "sous forme brute". Ces données comprennent les "données générées automatiquement sans autre forme de traitement" et les "données qui ont été prétraitées dans le but de les rendre compréhensibles et utilisables".
Lorsque les données font l'objet d'"investissements supplémentaires", notamment au moyen d'"algorithmes complexes et propriétaires", les données sont dites "dérivées" et le détenteur de données n'est pas dans l'obligation de les mettre à disposition en application du Data Act.
Enfin, dans un rapport B2B, les conditions de mise à disposition devront être "équitables, raisonnables et non discriminatoires", moyennant une compensation raisonnable pouvant inclure une marge.
L'applicabilité des obligations du Data Act s'apprécient donc au regard de la qualification des acteurs, elle-même dépendante de celle retenue au titre du RGPD ; ces obligations devant être mises en œuvre dans le respect de la protection des données et du secret médical, selon le cas d'usage.
Cet article a aussi été publié sur le site dsih.fr