Avis, Autorité de protection des données, 2024-02-23
| Jurisdiction | Bélgica |
| Judgment Date | 23 février 2024 |
| ECLI | ECLI:BE:GBAPD:2024:AVIS.20240223.17 |
| Link to Original Source | https://juportal.be/content/ECLI:BE:GBAPD:2024:AVIS.20240223.17 |
| Docket Number | 20/2024 |
| Court | Autorité de protection des données |
Avis n° 20/2024 du 23 février 2024
Objet : un projet d’accord de coopération entre l’État fédéral, la Communauté flamande, la Communauté française, la Communauté germanophone, la Commission communautaire commune, la Région wallonne et la Commission communautaire française concernant l'échange électronique optimal et le partage d'informations et de données entre les acteurs des secteurs du social et de la santé (CO-A-2024-004)
Mots-clés : échange de données de santé – coffres-forts sanitaires – BelRAI – Comité de gestion de la plateforme eHealth – Comité de sécurité de l'information (CSI) – Conférence Interministérielle santé publique – délégations imprécises – relation de soins (de santé) – caresets –sources authentiques – besoin d'une délimitation bien structurée de finalités concrètes déterminées –catégories trop larges de destinataires tiers.
Traduction1
Le Centre de Connaissances de l'Autorité de protection des données (ci-après "l'Autorité"), Présent.e.s : Mesdames Cédrine Morlière, Nathalie Ragheno et Griet Verhenneman et Messieurs Yves-Alexandre de Montjoye et Bart Preneel ;
Vu la loi du 3 décembre 2017 portant création de l'Autorité de protection des données , en particulier les articles 23 et 26 (ci-après "la LCA") ;
Vu l’article 25, alinéa 3 de la LCA selon lequel les décisions du Centre de Connaissances sont adoptées à la majorité des voix ;
Vu le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE (Règlement général sur la protection des données, ci-après le "RGPD") ;
Vu la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (ci-après "la LTD") ;
Vu la demande d'avis de Monsieur Frank Vandenbroucke, Vice-Premier Ministre et Ministre des Affaires sociales et de la Santé publique (ci-après "le demandeur"), reçue le 22/12/2023 ;
Vu les explications complémentaires quant au contenu, reçues les 26/01/2024 et 02/02/2024 ;
Émet, le 23 février 2024, l'avis suivant :
I. OBJET DE LA DEMANDE D'AVIS
1. Le demandeur sollicite l’avis de l’Autorité sur un projet d’accord de coopération entre l’État fédéral, la Communauté flamande, la Communauté française, la Communauté germanophone, la Commission communautaire commune, la Région wallonne et la Commission communautaire française concernant l'échange électronique optimal et le partage d'informations et de données entre les acteurs des secteurs du social et de la santé (ci-après "le projet d’AC").
Contexte et antécédents
2. Le projet d’AC porte sur (voir l’article 1 du projet d’AC) :
- "l’échange de données de santé, partagées par le biais des coffres-forts sanitaires (liés à un metahub) ou des hubs, pour une utilisation primaire et secondaire de ces données par et pour les utilisateurs légitimes identifiés dans le présent accord"
- "la création d'une base de données interfédérale BelRAI 2 ainsi que la possibilité pour une ou plusieurs entités fédérées de créer et d'utiliser leur propre base de données BelRAI. "
3. L’Exposé des motifs précise : "Les services de santé et de bien-être sont des matières personnalisables qui relèvent de la compétence des communautés dans le cadre de la sixième réforme de l'État, à l'exception de celles qui sont expressément réservées à l’autorité fédérale. eHealth est un sujet qui concerne à la fois les compétences des entités fédérées et celles de l’autorité fédérale.
Par conséquent, les parties à cet accord de coopération collaborent pour permettre l'échange de données susmentionné."
4. À cet effet, le projet d’AC est structuré en 6 chapitres, plus précisément :
- Chapitre 1. Champ d’application et définitions (articles 1 et 2)
- Chapitre 2. Relations de soins et accès aux données (articles 3 à 6)
- Chapitre 3. Principes généraux de l’accès aux et de l’échange des données de santé partagées (articles 7 à 10)
- Chapitre 4. Coffres-forts sanitaires et les éléments essentiels du traitement (articles 11 à 18)
- Chapitre 5. BelRAI (articles 19 à 26)
- Chapitre 6. Dispositions générales (règlement des litiges et entrée en vigueur) (articles 27 à 29).
5. L’Autorité parcourra ci-après les différents chapitres du projet d’AC et les examinera à la lumière des principes et garanties à respecter en matière de protection des données tels qu’ils découlent en particulier du RGPD et de la LTD.
6. L’Autorité rappelle également plusieurs avis - souvent critiques - déjà émis précédemment dans ce contexte :
- l’avis n° 122/2021 du 8 juillet 2021 relatif à un avant-projet de loi portant des dispositions diverses en matière de santé (en particulier l’utilisation de la base de données BelRAI en tant que source de données pour le dossier multidisciplinaire du patient : points 36 à 77) ;
- l’avis n° 83/2023 du 27 avril 2023 concernant un avant-projet d’ordonnance modifiant l’ordonnance du 4 avril 2019 portant sur la plate-forme d’échange électronique des données de santé ;
- l’avis n° 88/2023 du 17 mai 2023 concernant un projet d'arrêté du Gouvernement flamand portant exécution du décret du 8 juillet 2022 portant création de la plate-forme Vitalink [Ndt : uniquement disponible en néerlandais] ;
- l’avis n° 127/2023 du 8 septembre 2023 concernant un avant-projet de loi de modification de la loi du 21 août 2008 relative à l'institution et à l'organisation de la plate-forme eHealth et portant diverses dispositions et de modification de la loi du 29 janvier 2014 portant des dispositions relatives à la carte d'identité sociale et la carte ISI+ (en particulier l’encadrement légal du répertoire des références : points 1 à 45) ;
- l’avis n° 40/2023 du 9 février 2023 relatif à un projet d’Accord de coopération entre l’État fédéral, la Communauté flamande, la Communauté française, la Communauté germanophone, la Commission communautaire commune, la Région wallonne et la Commission communautaire française concernant le traitement de données relatives à CoBRHA+.
II. EXAMEN DE LA DEMANDE
Remarques préalables
7. Chaque traitement de données à caractère personnel doit avoir une base juridique ou de licéité, comme le prévoit l’article 6, paragraphe 1 du RGPD. Les traitements de données qui sont instaurés par une mesure normative sont presque toujours basés sur l’article 6, paragraphe 1, point c) ou e) du RGPD3.
8. En vertu de l’article 22 de la Constitution, de l'article 8 de la CEDH et de l’article 6, paragraphe 3 du RGPD, de tels traitements doivent être prévus par une réglementation claire et précise, dont l’application doit être prévisible pour les personnes concernées 4. En d’autres termes, la réglementation qui encadre ou dont la mise en œuvre implique des traitements de données doit répondre aux exigences de prévisibilité et de précision, de telle sorte qu’à sa lecture, les personnes concernées peuvent entrevoir clairement les traitements qui seront faits de leurs données et les circonstances dans lesquelles ces traitements sont autorisés. En outre, selon l’article 22 de la Constitution, il est nécessaire que les "éléments essentiels" du traitement de données soient définis au moyen d’une norme légale formelle.
9. Conformément aux principes de légalité et de prévisibilité, la norme législative doit au moins définir les éléments essentiels suivants du traitement :
- la (les) finalité(s) précise(s) et concrète(s) ;
- l’identité du (des) responsable(s) du traitement (à moins que cela ne soit clair).
Si les traitements de données envisagés représentent une ingérence importante dans les droits et libertés des personnes concernées5, la norme législative doit définir des éléments complémentaires du traitement. Dans le présent projet d’AC, c’est le cas - pour à vrai dire tous les éléments - puisque ceux-ci s’accompagnent manifestement d’un traitement à grande échelle de données à caractère personnel pour la plupart sensibles6. Il s’agit des éléments (essentiels) complémentaires suivants :
- les (catégories de) données qui sont nécessaires à la réalisation de cette (ces) finalité(s) ;
- les catégories de personnes concernées dont les données seront traitées ;
- le délai maximal de conservation des données ;
- les (catégories de) destinataires auxquels les données seront communiquées et les circonstances dans lesquelles elles le seront, ainsi que les motifs y afférents ;
- le cas échéant et dans la mesure où cela est nécessaire, la limitation des obligations et/ou droits mentionné(e)s aux articles 5, 12 à 22 et 34 du RGPD.
10. L'article 22 de la Constitution interdit au législateur de renoncer à la possibilité de définir lui-même les ingérences qui peuvent venir restreindre le droit au respect de la vie privée 7. Dans ce contexte, une délégation au pouvoir exécutif "n’est pas contraire au principe de légalité, pour autant que l’habilitation soit définie de manière suffisamment précise et porte sur l’exécution de mesures dont les éléments essentiels sont fixés préalablement par le législateur8”.
11. Comme cela transparaîtra ci-après, le projet d’AC prévoit, pour l’élaboration de très nombreux éléments, une délégation, non seulement au pouvoir exécutif (par voie d’un accord de coopération d’exécution), mais également au comité de gestion de la plateforme eHealth9, au comité de sécurité de l’information10 (ci-après CSI) et à la Conférence Interministérielle santé publique 11. La description souvent peu précise de ces délégations rend difficile, voire impossible, l'évaluation de la mesure dans laquelle elles affectent les éléments essentiels du traitement susmentionnés.
12. La confusion relative à la portée de plusieurs notions et concepts néanmoins fondamentaux 12
- utilisés tout au long du projet d’AC et de son Exposé des motifs - nuit à la lisibilité et à la prévisibilité du projet d’AC, telles que requises par le RGPD et l’article 22 de la Constitution pour toute réglementation régissant le...
Pour continuer la lecture
SOLLICITEZ VOTRE ESSAI