Le CEPD et le Contrôleur européen de la protection des données mettent en avant le rôle des CNIL européennes quant à la régulation de l’Espace européen des données de santé et sur l’identification des cas transfrontaliers stratégiques
Transparence de la vie publique vs Respect de la vie privée : la CJUE arbitre
12 août 2022
Prospection commerciale et sécurité des données personnelles : une société d’hôtellerie sanctionnée de 600.000 euros par la CNIL
22 août 2022Un avis sur la proposition de la Commission européenne d’un règlement relatif à la création d’un espace européen de santé a été conjointement rendu par le Comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données dans lequel ils mettent en avant les points de préoccupations majeures.
Pour rappel, cette proposition de règlement européen vise à mettre en place l’espace européen des données de santé s’inscrivant dans la stratégie européenne pour les données. Cette démarche avait été au préalable initié après la création du Service Européen de Santé en Ligne (Sesali), service auquel appartient la France depuis juillet 2021[1]
Dans l’avis, sont exposés la nécessité pour les colégislateurs :
- D’imposer la localisation des données de santé sur le territoire de l’Union ;
- De clarifier les interactions existantes avec le RGPD ;
- De retenir la compétence exclusive des autorités de protection des données pour régler les problématiques en la matière ;
- De limiter les exceptions aux droits des personnes concernées ;
- D’exclure du champ du règlement les données collectées par les applications de bien-être ;
- De respecter le principe de minimisation ;
- De délimiter les objectifs poursuivis en cas d’usage secondaire des données de santé.
Dans le même temps et dans la continuité de la déclaration sur la coopération européenne, le CEPD a mis en avant les critères permettant d’identifier les cas transfrontaliers stratégiques et a sélectionné les trois premiers cas stratégiques pour lesquels la coopération sera renforcée.
Pour que le cas soit identifié comme stratégique, il doit remplir un ou plusieurs des critères suivants :
- Être lié à un problème structurel ou récurrent dans plusieurs États membres ;
- Être situé à l’intersection entre la protection des données et un autre domaine juridique ;
- Concerner un grand nombre de personnes dans plusieurs États membres ;
- Avoir fait l’objet de nombreuses plaintes dans plusieurs États membres ;
- Soulever une question fondamentale qui relève de la stratégie du CEPD ;
- Présenter un risque élevé au regard du RGPD (données sensibles, personnes vulnérables, traitement nécessitant une analyse d’impact).
Les autorités de contrôle pourront également présenter des cas aux autres autorités qui décideront s’il est considéré comme stratégique ou non.
Pour en savoir plus,
[1] https://www.lexagone.fr/lespace-europeen-des-donnees-de-sante-ehds-un-nouveau-depart-pour-la-politique-de-sante-numerique-de-lue/
