• FAQ
  • Glossary
Fermer

FAQ

Why are some conditions more suitable for gene and cell therapies than others?
There is an approved treatment available for my condition - why can't I receive it?
How to look for approved medicines?
How are medicines developed and approved?

Voir toutes les FAQ

Fermer

Glossary

Adeno-associated virus (AAV)
Adenovirus
Adult stem cells
Antibody
Antigen
Base editors
Cas9 nuclease
Chimeric Antigen Receptor (CAR)
Chromosome
Clinical trial

Voir le glossaire complet

Classification des données

Introduction

La nature des données en question est cruciale, car elle déterminera les normes juridiques applicables. Si les données ne sont pas considérées comme des données personnelles, il n’y aura pas de problème particulier de protection des données à traiter, car le Règlement Général sur la Protection des Données (RGPD), le principal texte juridique contraignant applicable dans l’Union européenne (UE), ne s’applique qu’aux données personnelles. La notion de données personnelles joue un rôle clé dans le RGPD, caractérisant son champ d’application matériel. Les dispositions du RGPD ne concernent que les données personnelles, à l’exclusion des données qui :

  • ne concernent pas les personnes physiques (par exemple, les données sur les phénomènes naturels),  
  • bien que concernant les personnes physiques, ne se réfèrent pas à des individus particuliers car il s’agit de données anonymisées, c’est-à-dire de données qui ont perdu leur lien avec des individus particuliers (même si le succès effectif des techniques d’anonymisation reste à démontrer).

Dans le domaine des données personnelles, il existe une catégorie particulière de données, appelées « données sensibles » par l’article 9 du RGPD qui comprend notamment les données génétiques et les données relatives à la santé. Ces données nécessitent une protection supplémentaire car elles sont liées à la personne même. Dès lors, une divulgation non autorisée peut entraîner diverses formes de discrimination et de violation des droits fondamentaux de la personne. La nature particulière des données sensibles apparaît au regard des exigences en matière de traitement de ces données : tout type de données à caractère personnel nécessite une base juridique permettant son traitement, comme le prévoit l’article 6(1) du RGPD. Toutefois, lorsqu’il s’agit de données sensibles, une base juridique supplémentaire, figurant à l’article 9(2) du RGPD, est requise. 

Le 3 mai 2022, la Commission européenne a lancé la Proposition de règlement relatif à l’espace européen des données de santé (EHDS), présenté comme un élément central de l’Union européenne de la santé. Compte tenu de la valeur que les données de santé ont aujourd’hui, mais aussi des exigences strictes imposées à leur utilisation par le RGPD au sein de l’UE, l’objectif de ce texte juridique est de faciliter l’utilisation, la réutilisation et le partage des données électroniques de santé, qu’elles soient personnelles ou non.

La Proposition de Règlement EHDS devrait régir toutes les questions impliquant des « données de santé électroniques », un concept qui a un champ d’application très large, car il couvre toutes les données sur la condition physique et le style de vie. Ce règlement reposerait sur une appréhension large des finalités pour lesquelles les données peuvent être réutilisées (c.à.d. les usages secondaires) : les soins médicaux, bien sûr, mais aussi la recherche, le développement, l’expérimentation de systèmes d’intelligence artificielle, et l’élaboration de politiques de santé. Il doit être souligné que toute forme de commerce à but lucratif serait exclue.  

Dans la partie relative aux données personnelles, le futur Règlement EHDS devra être lu conjointement avec le RGPD afin d’éviter les conflits entre les deux réglementations, mais jusqu’à présent, les liens entre ces deux réglementations sont incertains.

Le développement de la thérapie génique et cellulaire permet l’utilisation de tous ces différents types de données : les données non personnelles, les données personnelles, et plus particulièrement les données sensibles telles que les données génétiques ou de santé, ainsi que les données électroniques de santé.

Acteurs principaux

En vertu du RGPD, les principales parties prenantes sont les responsables du traitement, les sous-traitants et les personnes concernées. 

Les responsables du traitement sont les personnes physiques (personne humaine) ou morales (personne non humaine) qui déterminent quelles données seront traitées, à quelles fins et par quels moyens. (Article 4(7) du RGPD

Le sous-traitant est la personne physique ou morale qui traite les données à caractère personnel pour le compte du responsable du traitement. Il n’existe pas toujours de sous-traitant, car le responsable du traitement lui-même peut être responsable de toutes ces tâches. (Article 4(8) du RGPD

La personne concernée est la personne physique (donc uniquement des personnes humaines, et non des entreprises ou toute autre personne morale) à laquelle les données personnelles se réfèrent.

Les activités de traitement des données des responsables du traitement et dessous-traitants sont surveillées par les autorités nationales et régionales de protection des données, qui ont le pouvoir d’imposer les lourdes amendes prévues par le RGPD

La Proposition de Règlement EHDS introduirait de nouvelles parties prenantes :les destinataires de données, les détenteurs de données, les utilisateurs de données et les organismes d’accès aux données de santé.

Le destinataire des données serait la personne physique ou morale qui reçoit des données d’un autre responsable du traitement dans le cadre de l’utilisation principale des données électroniques de santé. (Article 2(2)(k), de la Proposition de Règlement EHDS

Le titulaire des données serait la personne physique ou morale opérant dans le domaine de la santé (en tant que prestataire de soins de santé, chercheur, développeur d’outils médicaux d’IA, entité ou institution chargée de surveiller l’activité d’un autre acteur), qui a le contrôle des données électroniques de santé à transmettre aux destinataires des données pour les utilisations principales de ces données, ou aux utilisateurs de données des données mentionnées. (Article 2(2)(y) de la Proposition de Règlement EHDS)

L’utilisateur des données serait la personne physique ou morale qui a légalement accès aux données électroniques de santé à des fins secondaires. (Article 2(2)(z), de la Proposition de Règlement EHDS)

Les organismes d’accès aux données de santé seraient des autorités administratives créées dans les États membres pour accomplir les tâches énumérées à l’article 27 de la Proposition de Règlement EHDS, à savoir délivrer l’autorisation d’utilisation des données qui permettra aux utilisateurs de données d’avoir accès aux données de santé électroniques à des fins secondaires, sans doute de manière transparente, simplifiée et sécurisée. Lorsque cela se produit, les organismes d’accès aux données de santé et les utilisateurs de données seront tous deux responsables du traitement (responsables conjoints du traitement).

Définitions

Données à caractère personnel : toute information relative à une personne physique identifiée ou identifiable (la personne concernée). La catégorie des données personnelles définit le champ d’application du RGPD, car ses règles strictes ne s’appliquent qu’aux données personnelles. (Article 4(1) du RGPD

Personne identifiable : la personne physique qui n’est pas connue à l’heure actuelle, mais qui peut être connue à l’aide de certaines données d’identification, telles que son nom, son numéro d’identification national, son identifiant en ligne, etc. (Article 4(1) du RGPD)

Le traitement des données est toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés sur des données à caractère personnel. (Article 4(2) du RGPD)

Les données pseudonymisées sont des données qui ne peuvent plus être attribuées à une personne physique déterminée, sauf en combinaison avec des informations supplémentaires, qui sont conservées séparément de ces données. Le RGPD ne fournit pas de définition juridique de cette notion, mais il définit la « pseudonymisation » à l’article 4(5).

Les données anonymisées sont– a contrario sensu de l’article 4(1) du RGPD – des données qui ne permettent pas d’identifier la personne à laquelle elles se rapportent (par exemple, les données agrégées). Pour que les données soient anonymisées, elles doivent être soumises à un processus d’anonymisation. Il a été dit que les données génétiques ne sont jamais vraiment anonymes. Selon les auteurs d’un article publié en 2019 dans Nature, « même les ensembles de données anonymisés fortement échantillonnés [les auteurs font référence à des ensembles de données génétiques] sont peu susceptibles de satisfaire aux normes modernes d’anonymisation établies par le RGPD et qui remettent sérieusement en question l’adéquation technique et juridique du modèle de désidentification supprimer et oublier ». [1]

Les données génétiques sont des données à caractère personnel « relatives aux caractéristiques génétiques héréditaires ou acquises d'une personne physique qui donnent des informations uniques sur la physiologie ou l'état de santé de cette personne physique et qui résultent, notamment, d'une analyse d'un échantillon biologique de la personne physique en question ». (Article 4(13) du RGPD

Les données de santé sont des « les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne ». (ou les « données concernant la santé» comme le prévoit l’article 4(15) du RGPD).

Selon l’article 9(1) du RGPD, les données sensibles comprennent les données qui révèlent « l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique ». 

Les données sensibles constituent une catégorie particulière de données personnelles, dont la protection juridique est plus stricte en raison du lien intime entre ces données et la personne humaine. Cette caractéristique pourrait potentiellement entraîner de graves menaces pour les droits fondamentaux de la personne concernée en cas de traitement injustifié et/ou de violation de données impliquant ces données. Par conséquent, le traitement de ce type de données est, en règle générale, interdit par l’article 9(1) du RGPD, à moins que l’une des conditions prévues à l’article 9(2) du RGPD ne soit remplie.

Les « données de santé électroniques à caractère personnel » sont un concept qui devrait être introduit par la Proposition de Règlement EHDS, qui fait référence aux « données concernant la santé et aux données génétiques telles que définies dans le Règlement (UE) 2016/679, ainsi qu’aux données se rapportant aux déterminants de la santé, ou aux données traitées dans le cadre de la prestation de services de soins de santé, qui existent sous forme électronique ». (Article 2(2)(a) de la Proposition de Règlement EHDS)   

 

[1] Rocher, L., Hendrickx, J.M. et de Montjoye, YA. Estimating the success of re-identifications in incomplete datasets using generative modelsNat Commun 10, 3069 (2019). (en anglais)

Enjeux

Le RGPD régit le traitement des données à caractère personnel. Dans le contexte de la santé et du traitement des données génétiques humaines, déterminer quand les données sont des données personnelles est d’une importance fondamentale et, en même temps, un défi. Comme indiqué dans la sous-entrée « Principes fondamentaux de la protection des données », la nature intrinsèque et les caractéristiques des données génétiques humaines posent des défis complexes non seulement pour la classification des données, mais également pour l’interprétation et l’application des principes et des règles de protection des données dans leur ensemble.

En ce qui concerne le traitement des données génétiques humaines au sein des écosystèmes cliniques, sanitaires et pharmaceutiques, y compris à des fins de recherche, il devient de plus en plus difficile de déterminer quand les données génomiques doivent être considérées comme des données personnelles. Au fur et à mesure que les progrès techniques et scientifiques se développent, l’analyse des données génétiques humaines devient de plus en plus spécialisée et complexe, ce qui peut entraîner une segmentation des données génétiques humaines à un point tel que cela peut entraver la tâche de les classer en qualité d’informations génétiques, informations concernant la santé, et données personnelles ou non personnelles.

En outre, les données génétiques humaines sont souvent pseudonymisées ou traitées par des moyens automatisés qui visent à extraire les éléments personnels ou identifiables de ces données. Bien souvent, de telles mesures n’assurent pas l’anonymisation irréversible des données à caractère personnel compte tenu de l’existence d’un lien, même indirect, avec la personne concernée par ces données.

Dans le même temps, les données génomiques peuvent être considérées comme des données à caractère personnel intrinsèquement identifiables (même dans les cas où il n’y a pas d’autres liens avec la personne concernée ou d’impact sur celle-ci), car elles constituent des éléments qui intègrent inextricablement une partie de l’identité d’une personne.

De plus, un autre enjeu est l’interprétation de la notion de données génétiques humaines telle que définie en droit. Les ambiguïtés scientifiques et juridiques associées à ce type particulier de données, ainsi que la tendance actuelle à la fragmentation juridique et l’absence d’une approche homogène, compromettent une définition tangible. Cela génère des risques et des menaces liés aux principes et exigences existants en matière de protection des données. Cela rend aussi difficile l’élaboration de réglementations, de lignes directrices ou de bonnes pratiques spécifiques en matière de traitement des données génétiques humaines dans l’UE.

Bien que les concepts de données génétiques et de données de santé puissent se chevaucher, les données génétiques peuvent donner un aperçu de l’état de santé futur d’une personne concernée. De plus, les données génétiques peuvent révéler des informations concernant des groupes d’individus (tels que la famille). Cela entraîne également des complexités dans l’application des principes et des dispositions de protection des données car la plupart des cadres juridiques adoptent une approche individualiste des droits à la protection des données.

Tout traitement de données personnelles doit être conforme au RGPD, considéré comme la législation la plus stricte au monde en matière de protection des données. Lorsqu’il s’agit de données sensibles – telles que des données de santé et des données génétiques – le processus devient encore plus complexe, en particulier parce que deux fondements juridiques cumulatifs doivent être réunis pour garantir la licéité du traitement des données : un fondement juridique général pour tout type de traitement de données à caractère personnel, prévu à l’article 6(1) du RGPD, et un fondement juridique spécifique, requis uniquement pour les données sensibles, établi à l’article 9(2), du RGPD.

Le non-respect des dispositions du RGPD peut entraîner de lourdes amendes administratives. L’article 83 du RGPD prévoit deux niveaux d’amendes : les moins sévères peuvent aller jusqu’à 10 millions d’euros, ou dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu (article 83(4) du RGPD) ; tandis que l’infraction la plus grave peut entraîner une amende pouvant aller jusqu’à 20 millions d’euros, ou dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu (article 83(5) du RGPD). En outre, les responsables du traitement et/ou les sous-traitants qui, en raison de la violation du RGPD, ont causé un préjudice matériel ou moral à une personne physique, pourraient être tenus de verser une indemnité pour dommages, conformément à l’article 82 du RGPD.

Le RGPD n’exclut pas la mise en place de sanctions pénales en cas de violation de celui-ci, comme le prévoient les législations nationales des États membres.

Un moyen d’éviter d’être régi par le RGPD – et donc d’éviter ses sanctions sévères – est d’opérer avec des données anonymisées. Cependant, l’anonymisation complète est extrêmement difficile à obtenir, car même le plus petit détail peut révéler l’identité de la personne physique. [2] Les défis posés par l’anonymisation sont particulièrement rigoureux en ce qui concerne les données de santé et les données génétiques. Il a été dit que l’anonymisation est impossible à réaliser, car il est toujours possible d’inverser le processus et d’identifier la personne concernée. Cela est particulièrement vrai pour les données génétiques, qui sont liées aux caractéristiques d’identification premières de la personne humaine.

Le considérant 34 du RGPD étend la définition des données génétiques à un concept général, qui inclut non seulement l’analyse chromosomique, l’analyse de l’ADN ou de l’ARN, mais aussi tous les autres types d’analyse permettant d’obtenir des informations équivalentes. Ainsi, bien que l’on puisse suggérer que (i) toutes les informations génétiques ne sont pas des données génétiques ; (ii) toutes les informations génétiques ne sont pas des données personnelles ; iii) un échantillon génétique n’est pas une donnée à caractère personnel tant qu’il ne permet pas de tirer des conclusions par l’analyse et la production de données ; ainsi que (iv) les données résultant de l’analyse des données génétiques ne peuvent constituer des données à caractère personnel que dans la mesure où ces données génétiques sont associées à une personne identifiable ; la définition des données à caractère personnel incluse dans le RGPD est large dans la mesure où elle englobe toute identification par référence à des facteurs spécifiques à l’identité génétique d’un individu, indépendamment des moyens d’analyse en jeu.

Par conséquent, l’effet pratique d’une telle interprétation nous amène à la conclusion que le traitement des données génétiques humaines (qui comprennent les marqueurs génétiques de base uniquement liés à une personne), ainsi que les résultats découlant d’un tel traitement, constitueront très probablement des données personnelles. En outre, le traitement de certaines catégories particulières de données à caractère personnel, notamment les données génétiques, doit être conforme à l’article 9 du RGPD.

De plus, tous les résultats issus de l’analyse de données génétiques liées à un échantillon biologique spécifique sont généralement des données personnelles, même si les résultats eux-mêmes ne sont pas propres à l’individu, car l’échantillon est par nature spécifique à un individu et fournit un lien avec son identité génétique spécifique.

Néanmoins, il convient de noter que dans certains cas, les données génétiques peuvent ne pas constituer des données personnelles. Par exemple, cela pourrait être le cas d’informations anonymisées (par exemple, les résultats de tests génétiques) qui ne peuvent plus, en aucune circonstance, être associées à une personne spécifique, à condition qu’il n’y ait pas d’autres enregistrements d’identité génétique ni d’autres identifiants. Cependant, comme nous l’avons vu, ce scénario n’est pas courant en pratique.

Dans un document de 2021, le European Data Protection Board (EDPB) a reconnu la faillibilité des techniques d’anonymisation des données génétiques et a recommandé aux contrôleurs de données de toujours traiter ces données comme s’il s’agissait de données personnelles, même lorsqu’elles sont prétendument anonymisées : « L’EDPB souligne que la possibilité d’anonymiser les données génétiques reste une question non résolue. À ce jour, il reste à démontrer si une combinaison de moyens techniques et organisationnels peut être effectivement employée pour retirer les informations génétiques du champ d’application matériel du RGPD (...) il est fortement conseillé que ces données génétiques soient traitées comme des données à caractère personnel et que leur traitement soit effectué avec la mise en œuvre de mesures techniques et organisationnelles appropriées pour assurer le respect du Règlement » [3]

Traduction en Français. 

 

[2] They who must not be identified—distinguishing personal from non-personal data under the GDPRInternational Data Privacy Law10(1), 11-36, 2020. (en anglais)

[3] European data Protection Board, EDPB Document on response to the request from the European Commission for clarifications on the consistent application of the GDPR, focusing on health research, 2 February, 2021 

 

Opportunités et incitations

La Commission européenne a déjà noté qu’il y a un énorme volume de données qui ne sont pas utilisées dans l’UE (éventuellement en raison des limitations imposées par le RGPD et de la crainte de violation de ses exigences), ce qui a entraîné d’énormes pertes financières et compromis les développements technologiques dans l’UE. La Proposition de Règlement EHDS vise à répondre à ces besoins, en créant un régime plus souple pour fonctionner avec des données de santé électroniques. Contrairement au RGPD – qui restreint fortement l’utilisation, la réutilisation et le partage des données personnelles – la Proposition de Règlement EHDS vise à dynamiser toutes ces activités. L’une de ses dispositions prometteuses est l’article 34, qui énonce les exigences relatives aux utilisations secondaires de ces données par les utilisateurs dans le cadre d’une autorisation délivrée par les organismes d’accès aux données de santé (demande d’accès aux données visant plusieurs titulaires de données), (Article 49 de la Proposition de Règlement EHDS) ou par le titulaire des données lui-même (demande d’accès aux données à un seul détenteur de données dans un seul État membre). (Articles 45-46 de la Proposition de Règlement EHDS)

Une autre possibilité pour traiter des données sans être lié par les critères exigeants imposés par le RGPD est d’utiliser des données synthétiques, c’est-à-dire des données produites par l’intelligence artificielle. [4] Certains experts affirment que les données synthétiques ne sont pas des données personnelles et, en tant que telles, ne sont pas régies par le RGPD. [5] Toutefois, cette évaluation est encore sujette à discussion. Dans un communiqué de presse du Contrôleur européen de la protection des données (European Data Protection Supervisor (EDPS)) [6], il est indiqué que les données synthétiques peuvent permettre d’identifier les personnes auxquelles se réfèrent les données utilisées pour créer de telles données synthétiques. Si cela s’avère exact, les données synthétiques doivent toujours être considérées comme des données personnelles.

 

[4] Synthetic Data - What Is It and What You Need to Know About It, Hyperight, Feb. 22, 2022 (en anglais)

[5] What Privacy Officers Need to Know About Synthetic Data, WireWheel, July 13, 2021 (en anglais)

[6] Contrôleur européen de la protection des données, Synthetic Data | European Data Protection Supervisor (en anglais)

Étapes pratiques

Avant d’initier tout traitement de données impliquant des données à caractère personnel, le responsable du traitement doit garantir que son organisation respecte les principes de protection des données dès la conception et par défaut (article 25 du RGPD). Cette évaluation préalable pourrait permettre d’éviter de futures poursuites pour défaut de protection adéquate des données à caractère personnel traitées. Parmi les garde-fous techniques à mettre en œuvre, notons les procédures de classification automatique des données personnelles, les formes de pseudonymisation et de chiffrement des données, et les mesures techniques de cybersécurité.

La nomination d’un Délégué à la Protection des Données (DPD) est toujours recommandée, afin de s’assurer que le traitement des données est conforme au RGPD. Cependant, dans certains cas elle est obligatoire : chaque fois que l’organisation traite des données sensibles à grande échelle ; ou, pour tous les autres types de données à caractère personnel, lorsque le traitement implique un suivi régulier et systématique à grande échelle des personnes concernées (article 37 du RGPD).

Selon l’article 5(1)(a) du RGPD, chaque activité de traitement de données nécessite un fondement juridique approprié, qui doit figurer à l’article 6(1) du RGPD, pour être considérée comme licite. Le responsable du traitement des données doit déterminer laquelle des situations énumérées à l’article 6(1) est la plus adéquate à la lumière des circonstances particulières du traitement.

Le consentement est peut-être l’option la plus intuitive (article 6(1)(a) du RGPD), mais en réalité il est extrêmement difficile de remplir les conditions exigeantes posées pour le consentement comme base juridique: il doit être éclairé, volontaire, concret et exprimé par une action positive claire. Par conséquent, le consentement ne peut pas être présumé par de simples comportements antérieures (il doit s’agir d’un « opt-in » et non d’un « opt out »).

Lorsque les données à caractère personnel sont également des données sensibles, un fondement juridique supplémentaire est requis, conformément à l’article 9(2) du RGPD. Il n’y a pas de correspondance absolue entre les bases juridiques prévues à l’article 6 et l’article 9 du RGPD, ce qui rend complexe la recherche d’une double base juridique.

Une analyse d’impact relative à la protection des données (AIPD) doit être réalisée chaque fois que le responsable du traitement utilise de nouvelles technologies dont les caractéristiques les rendent aptes à interférer négativement avec les droits et libertés des personnes physiques (article 35(1) du RGPD). C’est notamment le cas lorsque le traitement des données implique un traitement automatisé, y compris le profilage ; le traitement massif de données sensibles (tel qu’énuméré à l’article 9(1), du RGPD) ; ou la surveillance systématique et extensible des zones accessibles au public (article 35(3) du RGPD).

Ce serait certainement le cas d’une entreprise de biotechnologie proposant des tests génétiques directement aux consommateurs afin d’évaluer et de prédire les risques pour la santé ou, de la même manière, d’un prestataire de soins ou d’un hôpital traitant les données génétiques et de santé des patients par le biais du système d’information hospitalier.

Parmi les autres déclencheurs, le traitement des données génétiques humaines porte souvent sur des données sensibles ou des données à caractère hautement personnel, ainsi que sur des données concernant des personnes vulnérables et/ou des données traitées à grande échelle. Les parties prenantes doivent garder à l’esprit que, chaque fois que ces facteurs sont applicables, une AIPD doit être entreprise.

Dans certains cas, le responsable du traitement devra tenir un registre des activités de traitement (article 30 du RGPD) :

  1. Lorsque l’entreprise compte plus de 250 employés ; 
  2. Lorsque le traitement peut comporter un risque pour les droits et libertés des personnes concernées ;
  3. Lorsque le traitement des données n’est pas occasionnel (un traitement « non occasionnel » n’est pas la même chose qu’un traitement « systématique ») ; ou

Lorsque le traitement porte sur des données sensibles (au sens de l’article 9(1) du RGPD) et/ou des données relatives à des condamnations pénales et des infractions pénales (conformément à l’article 10 du RGPD).

Interactions avec les régulateurs

Tout traitement de données à caractère personnel est soumis au contrôle, et à une éventuelle évaluation préalable, par des autorités nationales de protection des données (et dans certains pays également des autorités régionales), appelées « autorités de contrôle » au sens du RGPD. Ces autorités travaillent en étroite collaboration avec le Comité européen de protection des données (European Data Protection Board), qui supervise l’application uniforme du RGPD au sein de l’UE. 

La Proposition de Règlement EHDS prévoit la création de deux nouveaux régulateurs : les organismes nationaux d’accès aux données de santé et le Conseil européen de l’espace des données de santé (European Health Data Space Board).

Législation de l’Union européenne

Charte des droits fondamentaux de l'Union européenne, JO C 326 du 26.10.2012, p. 391-407, numéro CELEX : 12012P/TXT

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l'intérêt pour l'EEE), JO L 119 du 4.5.2016, p. 1-88, numéro CELEX : 32016R0679.

Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du ConseilJO L 119 du 4.5.2016, p. 89-131, numéro CELEX : 32016L0680

Proposition de Règlement du Parlement européen et du Conseil sur la gouvernance européenne des données (acte sur la gouvernance des données), 25 novembre 2020, COM/2020/767 final, numéro CELEX : 52020PC0767

Proposition de règlement du Parlement européen et du Conseil relatif à l'espace européen des données de santé, 3 mai 2022, COM/2022/197 final, numéro CELEX : 52022PC0197

Orientations de l’Union européenne

Comité européen de la protection des données (European Data Protection Board) :

Littérature pertinente (en anglais)

  1. They who must not be identified-distinguishing personal from non-personal data under the GDPR  - Michele Finck and Frank Pallas. International Data Privacy Law, 2020, Vol. 10, No. 1, 11-36
    1. Scientific abstract
  2. The EU General Data Protection Regulation (GDPR): A Commentary - Christopher Kuner, Lee A Bygrave, Christopher Docksey, Laura Drechsler and Luca Tosoni (editors).    New York, Oxford Academic online edition (2020).
    1. Scientific abstract
  3. The EU’s General Data Protection Regulation (GDPR) in a Research Context - Christopher F. Mondschein, Cosimo Monda. Fundamentals of Clinical Data Science (2019): 55-71.
    1. Scientific abstract
  4. Big Data in medical research and EU data protection law: challenges to the consent or anonymise approach - Mostert, M., Bredenoord, A., Biesaart, M. et al. European Journal of Human Genetics 24, (2016): 956–960.
    1. Scientific abstract
  5. Estimating the success of re-identifications in incomplete datasets using generative models - Rocher, L., Hendrickx, J.M. & de Montjoye, YA. Estimating the success of re-identifications in incomplete datasets using generative models. Nature Communications 10, 3069 (2019).
    1. Scientific abstract
  6. Good Privacy Protection Practice in Clinical Research: Principles of Pseudonymization and Anonymization   - Heinz Schriever and Markus Schröder. Berlin, München, Boston: De Gruyter, (2014).
    1. Scientific abstract
  7. GDPR and Biobanking - Santa Slokenberga, Olga Tzortzatou and Jane Reichel (editors). Springer book (2021).
    1. Scientific abstract
  8. The Patient, Data Protection and Changing Healthcare Models: The Impact of e-Health on Informed Consent, Anonymisation and Purpose Limitation - Verhenneman G., Intersentia (05/2021).

Remerciements

Publié le 14/03/2023 

Mise à jour : 01/07/2024 

Auteurs :  

Vera Lúcia Raposo, Professeure associée, Faculté de droit NOVA - Université NOVA de Lisbonne ; FutureHealthlaw / WhatNext.Law et

Tomás de Brito Paulo, LL.M Law & Technology à l’Université de Tilburg, Tilburg, Pays-Bas ; Associé chez Vieira de Almeida & Associados, Lisbonne, Portugal 

Revu par  Aurélie Mahalatchimy, Coordinatrice EuroGCT du Groupe de travail n°4, UMR 7318 DICE CERIC, Aix-Marseille Université, CNRS, Aix-en-Provence- France

Traduit par Luc-Sylvain Gilbert et Aurélie Mahalatchimy

Research Pathways Overview

Table of contents

Retour en haut de page
Le contenu de cette page vous a-t-il été utile ? Envoyez-nous vos commentaires